Linux九阴真经之九阴白骨爪残卷2(SSH)

SSH

ssh:安全的远程登录

 

两种方式的用户登录认证

 

基于passwork

基于key

 

客户端

常见的客户端工具有:Windows版的putty、securecrt、xshell;linux中有ssh、sftp、scp、slogin等

 

配置文件: /etc/ssh/ssh_config

 

ssh命令

用法:ssh  username@host   CMD

选项:

      -p   port :  远程服务器监听端口

      -b          :  指定连接的源IP

      -v          :  调试模式

      -C         :  压缩方式

      -X         : 支持x11转发

      -Y         :支持信任x11转发

      -t          :强制伪tty分配    例:  ssh  -t  remoteserver1  ssh  remoteserver2

 

ssh 客户端

 

当客户端第一次连接服务器时,服务器会发送自己的公钥给客户端,并保存在客户端的~./ssh/know_hosts中。下次连接时不会再询问。

 

SSH服务登录验证

基于密码登录验证

 

由上图我们总结出如下步骤

(1)客户单向服务器发起SSH请求,服务器会把自己的公钥发送给客户端

(2)用户根据服务器发送的公钥,对密码进行加密

(3)加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功

 

基于秘钥的登录方式验证

 

(1)首先在客户端生成一对密钥(ssh-keygen)

(2)并将客户端的公钥拷贝(ssh-copy-id) 到服务器

(3)当客户端再一次发送连接请求,包括IP,用户名

(4)服务器得到客户端的请求后,会到authorized——keys中查找,如果有响应的IP和用户,   就会随机生成一个字符串,利如:acdf

(5)服务器将使用客户端拷贝过来的公钥对字符串进行加密,然后发送给客户端

(6)得到服务器发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端

(7)服务器接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致就允许免密码登录

 

 

基于key认证

基于密钥的认证:

(1)在客户端生成密钥对

ssh-keygen  -t  rsa(指定加密方式)  -p''(指定空密码)  -f  "~/.ssh/id_rsa"

(2)把公钥文件传输至远程服务器对应用户的家目录

ssh-copy-id  -i  ~/.ssh/id_rsa.pub  root@IPADDR

(3)测试

(4)在SecureCRT或Xshell实现基于key验证
在SecureCRT工具—>创建公钥—>生成Identity.pub文件
转化为openssh兼容格式(适合SecureCRT,Xshell不需要转化格式),并复制到需登录主机上相应文件authorized_keys中,注意权限必须为600,在需登录的ssh主机上执行:
ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys

(5)重设私钥口令:
ssh-keygen –p     (为私钥加密)

(6)验证代理(authentication agent)保密解密后的密钥
这样口令就只需要输入一次
在GNOME中,代理被自动提供给root用户
否则运行ssh-agent bash

(7)钥匙通过命令添加给代理
ssh-add

 

例:配置基于密钥的免密登录

 

1、在客户端A生成密钥对,按3次回车键

[root@laobai ~/.ssh]#ssh-keygen

2、把公钥传给客户端B对应的家目录,并重命名为 authorized_keys

 

3、在客户端Bde ~/.ssh 的目录下检查是否有authorized_keys 文件

 

4、在客户端A测试连接客户端B,发现无需输入密码,直接登录

 

scp命令

两种方式:

scp [options]  [user@] host:/sourcefile    /destpath  : 将自己的文件上传至服务器

scp [options]  、sourcefile  [user@]host:/ destpath:将服务器上的文件下载至本机

常用选项

   -c:压缩数据流

   -r:递归复制

   -p:保持原文件的属性信息

   -q:静默模式

   -P PORT:指明remote  host 的监听的端口

  

  sftp

基于ssh的交互式文件传输工具,用法与ftp工具相似

用法:sftp  username@host

常用指令:ls cd mkdir rmdir pwd get put

 

rsync命令

基于ssh和rsh服务实现高效率的远程系统之间复制文件,与scp的区别就是 rsync 只复制有更改的文件。

rsync  -av  /etc/  192.168.1.10:/date    复制目录和目录下文件到另一台主机

rsync  -av  /etc/ 192.168.1.10 :/date    只复制目录下的文件到另一台主机

特点: 比scp 更快, 只复制不同的文件

选项

   -n  模拟复制过程

   -v  显示详细过程

   -r   地柜复制目录树

   -p   保留权限

   -t    保留时间戳

   -g   保留组信息

   -o   保留所有者信息

   -l   将软链接文件本身进行复(默认)

   -L  将软链接文件指向的文件复制

   -a   存档,相当于-rlptgoD,但不保留ACL(-A) 和 SElinux属性(-X)

 

passh工具

 

pass是一个python编写可以在多台服务器上执行命令的工具,也可以实现文件复制

选项

--version:查看版本

-h :主机文件列表,内容格式"[user@]host[:port]"

-H:主机字符串,内容格式”[user@]host[:port]”


-l:登录使用的用户名


-p:并发的线程数【可选】


-o:输出的文件目录【可选】


-e:错误输入文件【可选】


-t:TIMEOUT 超时时间设置,0无限制【可选】


-O:SSH的选项


-v:详细模式


-A:手动输入密码模式


-x:额外的命令行参数使用空白符号,引号,反斜线处理


-X:额外的命令行参数,单个参数模式,同-x


-i:每个服务器内部处理信息输出


-P:打印出服务器返回信息

 

 示例

 通过pssh批量关闭seLinux
pssh -H root@192.168.1.10 -i "sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config"

批量发送指令
pssh -H root@192.168.1.10 -i setenforce 0


pssh -H xuewb@192.168.1.10 -i hostname


当不支持ssh的key认证时,通过 -A选项,使用密码认证批量执行指令


pssh -H xuewb@192.168.1.10 -A -i hostname


将标准错误和标准正确重定向都保存至/app目录下


pssh -H 192.168.1.10 -o /app -e /app -i "hostname"

 

PSCP.PSSH命令

 pscp.pssh 功能是将本地文件批量复制到远程主机

 -v 显示过程中保留常规属性

 -a 复制过程中保留常规属性

 -r 递归柜复制目录 

 将本地curl.sh 复制到/app/目录


pscp.pssh -H 192.168.1.10 /root/test/curl.sh /app/


pscp.pssh -h host.txt /root/test/curl.sh /app/


将本地多个文件批量复制到/app/目录


pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh /app/


将本地目录批量复制到/app/目录


pscp.pssh -H 192.168.1.10 -r /root/test/ /app/

 

posted @ 2018-05-20 18:22  老白&  阅读(265)  评论(0编辑  收藏  举报