ssh安全优化免密登陆
ssh协议
为什么使用ssh协议?
在进行传输时,会对数据进行加密,保证会话安全;telnet协议不是加密传输,在传输过程中如果被抓包,就会造成信息泄露,telnet默认不支持root远程。
# 常用协议端口
ftp 21
ssh 22
telnet 23 # 不支持root登陆
rsync 873
rdp 3389
ssh的相关命令
# 1、ssh远程登陆
ssh username@IP -p portnumber
username 表示的是用户名
-p 指定端口
IP 表示的是远程主机的IP
# 2、scp文件传输
scp local_file username@IP:/dir
ssh免密登陆
原理
SSH免秘钥登录 就是避免了主机之间ssh需要输用户名和密码这一步。
- 公钥(id_dsa.pub)
- 私钥(id_dsa)
- 授权列表文件(authorized_keys)
实现方法:以A B两台机器为例
1.A机器分别生成各自的公钥(id_dsa.pub)+私钥(id_dsa),使用ssh-keygen命令,rsa|dsa两种加密方法,任意选一个。
ssh-keygen 然后全部默认回车;在 ~/.ssh目录下查看生成了 id_dsa.pub+id_dsa
2.将A的公钥内容添加到B机器的授权列表文件(authorized_keys)
ssh-copy-id -i /root/.ssh/id_rsa.pub root@B机器的IP
AB机器ssh免秘钥互相登录啦
登录原理过程:以A机器ssh登录B机器为例。
1.A向B发送登录请求
2.B 在自己的授权列表文件中查看是否有A的公钥;没有则拒绝A登录
3.B中有A公钥,则B随机生成一个字符串,并用A的公钥进行加密,发送给A
4.A 收到加密后的字符串,用自己的私钥进行解密,得到原始字符串,返回给B
5.B 对比字符串,如果一致就授权A登录。 A登录B 成功。
实现过程
- 客户机(跳板机)----私钥 id_rsa
- 服务端------公钥 id_rsa.pub
# 1、创建密钥对
[root@web02 ~]# ssh-keygen
-t 指定加密算法 dsa rsa两种算法
# 2、发送公钥(需要知道root密码)
[root@web02 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.16.1.7
-i 指定公钥
# 2-1 发送公钥(不需要知道root密码)
1、客户端查看公钥
[root@web02 ~]# cat /root/.ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD+xIvwrNgftG9mVbeTh+iTn4eCheCl4W54yoTurEGBqbVy9iUu1BeN3sc4KmFtAaY8PpvJab4SJnzSwTrrPyq/SZPCMP0jhYfnmFu3YyMFAfF2U3qzuvuJ4HZ20U2dCcCZLbGQxUfFO4tiUkt9fMeORL3G4sas3ENRni6Iq8vLx1auzSaI2XYXEWL0hA2OoeC6V79z/tTfolvY8xKSIatIsMc0GiC5gzDfxWgW1KekU15nFrkai//XPVumDLTprlUHkoI2M5GFm0IcImKzjg2ymMWSrnJCR/WBYNTF6j16DFpN9WLPKxHEOVDdSwS6/aRyc43+vjf5/041NxJoO25n root@web02
2、客户端创建认证目录
mkdir /root/.ssh
3、把公钥复制到服务端
vi /root/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD+xIvwrNgftG9mVbeTh+iTn4eCheCl4W54yoTurEGBqbVy9iUu1BeN3sc4KmFtAaY8PpvJab4SJnzSwTrrPyq/SZPCMP0jhYfnmFu3YyMFAfF2U3qzuvuJ4HZ20U2dCcCZLbGQxUfFO4tiUkt9fMeORL3G4sas3ENRni6Iq8vLx1auzSaI2XYXEWL0hA2OoeC6V79z/tTfolvY8xKSIatIsMc0GiC5gzDfxWgW1KekU15nFrkai//XPVumDLTprlUHkoI2M5GFm0IcImKzjg2ymMWSrnJCR/WBYNTF6j16DFpN9WLPKxHEOVDdSwS6/aRyc43+vjf5/041NxJoO25n root@web02
4、授权
chmod 700 /root/.ssh/
chmod 600 /root/.ssh/authorized_keys
生产场景案例
# 1、创建密钥
[root@m01 ~]# ssh-keygen
# 2、分发公钥
[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.16.1.7
[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.16.1.8
[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.16.1.31
[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.16.1.41
# 3、在跳板机上编辑脚本
[root@m01 ~]# vi jump_server.sh
#!/bin/bash
web01="172.16.1.7"
web02="172.16.1.8"
nfs="172.16.1.31"
backup="172.16.1.41"
m01="172.16.1.61"
cat<EOF
+-------------------------+
| 1) web01 |
| 2) web02 |
| 3) nfs |
| 4) backup |
| h) help |
+-------------------------+
EOF
read -p 'Please input Number:' num
if [ $num -eq 1 ];then
ssh root@web01
elif [ $num -eq 2 ];then
ssh root@web02
elif [ $num -eq 3 ];then
ssh root@nfs
elif [ $num -eq 4 ];then
ssh root@backup
fi
ssh安全优化
[root@web01 ~]# vi /etc/ssh/sshd_config
Port 6666 # 变更SSH服务远程连接端口
PermitRootLogin no # 禁止root用户直接远程登录
PasswordAuthentication no # 禁止使用密码直接远程登录
# 这两个可以减少ssh的延迟尤其是在使用ansible的时候
UseDNS no # 禁止ssh进行dns反向解析,影响ssh连接效率参数
GSSAPIAuthentication no # 禁止GSS认证,减少连接时产生的延迟
# 在企业中需要优化的内容:
安全方面的优化:
ssh 端口
不允许root登陆
禁止使用密码登陆
性能方面的优化:
不使用dns反向解析
不使用gss的认证
systemctl restart sshd
expect免交互
[root@web01 ~]# yum -y install expect
[root@web01 ~]# vi expect.ext
#!/usr/bin/expect
set ip 10.0.0.31
set pass 1
set timeout 30
spawn ssh root@$ip
expect {
"(yes/no)" {send "yes\r"; exp_continue}
"password:" {send "$pass\r"}
}
expect "root@*" {send "df -h\r"}
expect "root@*" {send "exit\r"}
expect eof
sshpass免交互
[root@m01 ~]# yum -y install sshpass
[root@m01 ~]# sshpass -p 1 ssh -o stricthostkeychecking=no root@10.0.0.31
-p # 指定密码
