SSH是一个安全协议,在数据传输时候会把数据包进行加密处理,确保数据安全。SSH服务可以提供远程连接服务器的服务,对传输的数据进行加密,除了ssh,Telnet也可以提供远程连接服务。但是Telnet是明文,监听端口是23,且不支持root用户登录。
本篇文章给大家介绍SSH服务相关内容,包括ssh常用命令、scp命令、ssh验证方式、秘钥认证流程、秘钥远程连接服务器、Windows生成秘钥实现连接Linux、ssh远程执行命令、免交互expect、免交互sshpass。
1、SSH相关命令
ssh有客户端与服务端,这种模式称为C/S架构,ssh客户端支持windows、linux、mac等平台。在ssh客户端中包含ssh|slogin远程登陆、scp远程拷贝、sftp文件传输、ssh-copy-id秘钥分发等程序。
SSH远程登录服务器
Linux连接Linux服务器
ssh -p22 root@10.0.0.6
# -p指定连接远程主机端口,默认22端口可以忽略
# @前面为用户名,如果用当前用户连接,可以不指定用户
# @后面可以为ip,也可以为用户名,用户名需要做hosts解析SCP命令
# -P 指定端口,默认22端口可不写 scp -P2222 test.txt 172.16.1.31:/opt/
# -r 递归拷贝目录 scp -r koten 172.16.1.31:/root
# -p 在拷贝文件前后保持文件或目录属性不变
# -l 限制传输使用宽带(默认kb)
推送:scp 本地文件 远端服务器的哪个位置
scp test.txt 172.16.1.31:/root/
拉取:scp 远端服务器的文件,拷贝到本地哪个位置
scp 172.16.1.31:/etc/hosts /opt
#限速
[root@Web01 ~]# scp /opt/1.txt root@172.16.1.31:/tmp
root@172.16.1.31 password:
test 100% 656MB '83.9MB/s' 00:07
#限速为8096kb,换算为MB,要除以 8096/8=1024KB=1MB
[root@Web01 ~]# scp -rp -l 8096 /opt/1.txt root@172.16.1.31:/tmp
root@172.16.1.31s password:
test 7% 48MB '1.0MB/s' 09:45
总结:
1、scp通过ssh协议加密方式进行文件或目录的拷贝
2、scp连接时的用户作为拷贝文件或目录的权限
3、scp支持数据的推送和拉取,但是每次都是全量拷贝,效率较低sftp远程数据传输命令
#默认可以通过sftp命令连接sftp服务
sftp root@10.0.0.8
sftp -oPort=52113 root@10.0.0.8 #sftp的特殊端口连接
#sftp使用get下载文件至本地服务器
sftp > get conf.txt /tmp/
#sftp使用put上传本地服务器文件至远程服务器
sftp > put /root/1.txt /root/2、SSH验证方式
1、基于验证密码远程登录(不安全,可能会被破解)
ssh -p22 root@10.0.0.8
root@10.0.0.8 password:2、基于秘钥远程登录(一般使用这种)
秘钥认证流程
SSH秘钥认证过程相当于自己钥匙开自己锁,钥匙只有客户端有,锁只有服务端有,一般叫做这个为秘钥对。
客户端ssh-keygen生成秘钥对,公钥id_rsa.pub是锁,私钥id_rsa是钥匙
1、客户端发送公钥给服务端(服务端会存放客户端的公钥至如下路径~/.ssh/authorized_keys,默认没有.ssh目录,有的话可能是保存了个known_hosts,是保存了默认yes,有的话远程连接就不用输入yes了)
2、客户端通过ssh协议连接服务端
3、服务端返回公钥询问
4、客户端使用私钥解密
5、秘钥验证通过,即可连接
创建密钥
ssh-keygen -t rsa #生成秘钥对 默认rsa加密 或者ssh-keygen,后面所有参数可以省略,一直回车即可。-t指定秘钥类型,-C koten ,可以在你的秘钥后面加点东西。
查看密钥
ll .ssh/id_rsa .ssh/id_rsa.pub #.ssh/id_rsa是钥匙,权限是600, .ssh/id_rsa.pub是锁头
注意:如果可以正常通过秘钥方式远程连接 目录权限以及秘钥对的权限必须正确
root权限必须是500,.ssh必须为700,秘钥必须为600,锁头是644,锁头需要看服务器的文件权限
在31服务器查看公钥文件,权限必须是600
ll .ssh/
注意:不适用ssh-copy-id,可以直接复制公钥到31服务器上手动创建authorized_keys,并授权为600权限。
拷贝过后就实现了秘钥方式登录,如果切换到普通用户就不可行了,需要再生成秘钥对
也可以一个客户端的公钥发给好多服务端推送密钥
#分发秘钥,将A服务器的公钥写入B服务器
ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.0.0.8
ssh-copy-id #命令
-i #指定下发公钥的路径
root #以什么用户身份进行公钥分发,如果不输入,表示以当前系统用户身份分发公钥
10.0.0.8 #下发公钥至那台服务器,填写远程主机IP地址远程连接测试
#远程登录远端主机的方式
ssh root@172.16.1.31 #秘钥分发后直接切换主机
#不登录远程主机,但可以对远程主机执行命令
ssh root@172.16.1.41 "hostname -i"
172.16.1.41
ssh 172.16.1.7 '可执行的命令' 里面有单引号,外面就弄成双引号,单引双引都有,就在目标主机上写脚本,远程执行脚本
也可以使用图形化脚本,命令写在底层3、SSH场景实践
跳板机
用户可以通过Windows、MAC、Linux客户端连接跳板机,实现免密码登录;跳板机连接后端无外网的Linux主机实现远程登录,实现多用户(开发、运维、测试)可以登录单台服务器(跳板机)无密码,单用户(跳板机)登录多台服务器(web、nfs、mysql...)无密码的效果。
windows通过10.0.0.31连接web服务器
NFS(10.0.0.31、172.16.1.31)、web01(172.16.1.7)、web02(172.16.1.8)
1、在NFS生成秘钥对
2、将公钥拷贝到目标主机 7和8 中间需要7和8的服务器密码
3、拷贝好后测试连通性
4、windows通过31跳板机连接7和8,一个主机一个xshell会话,可以通过xshell登录脚本,自动ssh
Xshell生成秘钥对上传到31服务器
1、工具-->新建用户秘钥-->添加-->属性-->公钥-->复制到目标主机~/.ssh/authorized_keys中
禁止root登录,秘钥就会自动弹出来,就是没有输入用户名的界面
NFS先禁止root登录(38行),禁止使用密码(65行),创建koten用户,创建密码,Windows密钥拷贝到NFS的koten用户 su-root 再去连接172.16.1.7或172.16.1.8
SSH安全优化
SSH作为远程连接服务,我们需要考虑该服务的安全,所以需要对该服务进行安全方面的配置
1、更改远程连接登录的端口
2、禁止root管理员直接登录
3、密码认证方式改为秘钥认证
4、重要服务不使用公网IP地址
5、使用防火墙限制来源IP地址
[root@Web01 ~]# cat /etc/ssh/sshd_config
###SSH###
#Port 6666 # 变更SSH服务远程连接端口
#PasswordAuthentication no # 禁止使用密码直接远程登录
#PermitRootLogin no # 禁止root用户直接远程登录
GSSAPIAuthentication no # 禁止GSS认证,减少连接时产生的延迟
UseDNS no # 禁止ssh进行dns反向解析,影响ssh连接效率参数 免交互expect
1、安装expect
yum install -y expect
2、编写expect脚本
#!/usr/bin/expect
set ip 10.0.0.51
set pass 123456
set timeout 30
spawn ssh root@$ip
expect {
"(yes/no)" {send "yes\r"; exp_continue}
"password:" {send "$pass\r"}
}
expect "root@*" {send "df -h\r"}
expect "root@*" {send "exit\r"}
expect eof免交互sshpass
1、安装sshpass
yum install -y sshpass
2、sshpass命令
sshpass -p 123456 ssh root@10.0.0.51
-p:指定密码
-f:从文件中取密码
-e:从环境变量中取密码
-P:设置密码提示持续分享运维干货,感谢大家的阅读和关注!
