一、SSH简介
SSH是最常用的远程安全登陆协议,具体的软件实现有:
- OpenSSH: ssh协议的开源实现,CentOS默认安装
- dropbear:一个轻量级的开源实现
SSH协议版本:
- v1:基于CRC-32做MAC,不安全;man-in-middle
- v2:基于DH算法做密钥交换,基于RSA或DSA实现身份认证
SSH常用的两种用户登认证
- 基于password
- 基于key
二、OpenSSH软件
1、OpenSSH介绍
- 相关软件包由openssh、openssh-client、openssh-server组成
- 基于C/S结构
- Linux client: ssh, scp, sftp,slogin
- Windows客户端:xshell, putty, securecrt, sshsecureshellclient
- 服务端:sshd服务 systemctl status sshd.service
2、ssh客户端
- 配置文件:/etc/ssh/ssh_config
-
Host PATTERN StrictHostKeyChecking no 首次登录不显示检查提示
-
格式:ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
-p port:远程服务器监听的端口
-b:指定连接的源IP
-v:调试模式
-C:压缩方式
-X: 支持x11转发
-Y:支持信任x11转发
ForwardX11Trusted yes
-t: 强制伪tty分配
ssh -t remoteserver1 ssh remoteserver2
3、ssh服务用户和口令登录验证
- 客户端发起ssh请求,服务器会把自己的公钥发送给用户
- 用户会根据服务器发来的公钥对密码进行加密
- 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
4、ssh服务基于密钥登录验证
- 首先在客户端生成一对密钥(ssh-keygen)
- 并将客户端的公钥ssh-copy-id 拷贝到服务端
- 当客户端再次发送一个连接请求,包括ip、用户名
- 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
- 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
- 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
- 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
注意: 基于key验证,私钥的保存特别关键,可以用ssh-keygen -p加口令验证,此时ssh对方主机时输入的口令是私钥的口令,而不是对方服务器口令
三、实验
1、实验一:多台服务器之间都基于key登录验证:
- 第一种方法:
每台服务器上执行ssh-keygen
ssh-copy-id 本机IP
别的服务器执行同样的command
scp authorized_keys 到所有服务器
- 第二种方法:
scp -pr .ssh到所有主机上,共享一个密钥。
2、实验二:批量发布脚本到所有服务器上
- 按照实验一建立一台管理客户端到多台服务器的基于key的登录验证
- 编写script f1.sh
#!:/bin/bash
hostname
编写ip.txt,把key通过验证的服务器IP加入
- 执行如下的命令
for ip in $(cat ip.txt); do scp f1.sh $ip:/root/ ;done(批量copy脚本f1.sh到多台服务器)
for ip in $(cat ip.txt); do ssh $ip "/root/f1.sh" ;done(可以远程批量执行脚本)
3、实验三:脚本实现多台服务器之间的key登录验证设置
实用场景:100台机器实现key验证:
- 编写脚本:
#!/bin/bash
rpm -q expect &> /dev/null || yum install expect -y
ssh-keygen -P "" -f "/root/.ssh/id_rsa"
password=verimatrix
while read ipaddr;do
expect <<EOF
set timeout 10
spawn ssh-copy-id $ipaddr
expect {
"yes/no" { send "yes
";exp_continue }
"password" { send "$password
" }
}
expect eof
EOF
done < ip.txt
- 把100台服务器的IP写入ip.txt
四、几个有用的命令
1、pssh批量执行
- 前提:需要安装pssh从EPEL yum reposity,第二,主机间需要实现基于key的登陆验证方式
- 把需要管理的服务器的ip写入ip.txt文件
- pssh -h ip.txt -i hostname 显示所有服务器的hostname
- pssh -h ip.txt -i 'useradd psshuser' 在所有服务器上新建用户psshuser
- pssh -h ip.txt -i 'getenforce' 显示所有服务器的Slinux策略
- pssh -h ip.txt -o /app/test/script/psshtest -i 'cat /etc/fstab' 在本机目录下/app/test/script/psshtest 生成以服务器IP为文件名的输出结果
- pssh -h ip.txt 'sed -i "s/^SELINUX=.*/SELINUX=enforcing/" /etc/selinux/config' 修改所有服务器的Selinux为enable
2、PSCP.PSSH命令
pscp.pssh -h ip.txt /root/f1.sh /data/ (把)额发生过f1.sh推送到远程主机上/data是远程主机的文件夹
pssh -h ip.txt -i ”/data/f1.sh“在所有服务上执行f1.sh脚本
3、PSLURP.PSSH命令
pslurp -h ip.txt -L /app/test/script/psshtest /var/log/messages m 把ip.txt中指定的服务器的/var/log/messages复制到本机/app/test/script/psshtest目录下,执行之后会在此目录下生以ip.txt中指定的ip为名称的文件夹,同时以m的文件名字保存。