1、ssh介绍:
SSH是secure shell protocol的简写,由IETF网络工作小组制定,在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后再进行传输,确保传递的数据安全。
默认状态下,SSH服务主要提供两个服务功能:一个是提供类似telnet远程连接服务器的服务,即ssH服务,另一个类似FTP服务端sftp-server,借助SSH协议来传输数据的,提供更安全的SFTP服务。
提醒:ssh客户端还包含一个很有用的远程安全拷贝命令SCP,也是通过ssh协议工作的。
ssh的工作机制大致是本地ssh客户端先发送一个连接请求到远程的ssh服务端,服务端检查连接的客户端发送到数据包和IP地址,如果确认合法,就会发送密钥给ssh给客户端,此时,客户端本地再将密钥发回给服务端,自此连接建立。

ssh2同时支持RSA和DSA密钥,但是SSH1仅支持RSA密钥

2、ssh服务认证类型:
1)基于口令的安全认证:
主机IP,端口号,用户名,密码
2)基于密钥的安全验证
密钥对验证SSH:
ssh-keygen –t rsa/des
指定密钥对位置,回车在宿主目录的.ssh/下
设置私钥短语
确认短语
上传公钥到服务器,在服务器中导入公钥文本到“~/.ssh/authorized_keys该文件不能有写入权限”

3、ssh客户端附带的远程拷贝scp命令
scp的基本语法:
推送文件到目标服务器:
scp -P22 /etc/a.txt root@10.0.0.1:/tmp
下载目标服务器文件到本地服务器:
scp -P22 root@10.0.0.1:/tmp/a.txt /etc/
拷贝目录:
scp -P22 -r /etc/a.txt root@10.0.0.1:/tmp

scp参数:
-P 指定端口号,注意是大写的P
-r 复制目录
-p 拷贝过程中保持文件或目录的原始属性。

scp是加密的远程拷贝,可以下载和上传文件和目录,但每次都是全量拷贝,它会在每次拷贝时把以前拷过的文件再拷贝一次,所以效率不高。

4、基于SSH加密传输的SFTP
sftp -oport=22 root@192.168.233.132
put install.log 上传到对方服务器的家目录下,也可以指定目录
get zhang.ch 下载到本地的家目录

5、SSH配置参数
1)服务监听设置
Vim /etc/ssh/sshd_config
Port 22 //监听端口,应做修改
Protocol 2 //使用版本2更安全
Listenaddress 0.0.0.0 //监听本地网卡地址,提高隐蔽性
useDNS //禁用DNS反向解析,提高响应时间
GSSAPIAuthentication no //解决SSH连接慢的问题
2)用户登陆控制
Vim /etc/ssh/ssh_config
Permitrootlogin no //禁止root用户登陆,可普通用户登陆后SU到root
Permitemptypasswords no //禁止空密码用户登陆
Logingracetime 2m //登陆验证时间2分钟
Maxauthtries 6 //链接最大重试次数
AllowUsers yh1 yh2@172.16.8.8 //只允许yh1登陆yh2用户只能从指定地址登陆,多用户可用空格分隔。
3)登陆验证方式
Vim /etc/ssh/sshd_config
Passwordauthentication yes //启用密码验证,相对安全较低
Pubkeyauthentication yes //启用密钥对验证,安全较高
Authorizedkeysfile .ssh/authorized_keys //指定公钥库数据文件
4)使用SSH客户端程序
Windows平台中可用puttyCN、winSCP、secureCRT图形工具。
PuttyCN可下载zip免安全版网站:http://www.chiark.greenend.org.uk/
winSCP可下载ZIP的中文版,网站:http://winscp.net/
Linux平台可直接SSH远程登陆“ssh –p 22 zhang@172.16.8.8”接受RSA密钥保存到~/.ssh/known_hosts文件中,密码验证成功登陆。
可使用SCP远程复制:scp zhang@172.16.8.8:/etc/passwd /root/pwd.txt复制到本地 scp –r /etc/vsftpd/ root@172.16.8.8:/opt 上传文件到服务器
Sftp root@172.16.8.8 将登陆到服务器,可执行上传和下载。
5)SSH连接慢的问题解决:
useDNS //禁用DNS反向解析,提高响应时间
GSSAPIAuthentication no //解决SSH连接慢的问题

6、实现批量分发文件功能
要求:用同一用户(sshuser)在所有服务器下实现从A服务器本地服务器分发数据到其他服务器上,并能远程执行命令。且不需要密码验证。
步骤:
# useradd sshuser
# id sshuser
uid=556(sshuser) gid=556(sshuser) 组=556(sshuser)
# echo 123.com|passwd --stdin sshuser
$ whoami
sshuser
#ssh-keygen -t dsa
回车。。
#ll -a ~/.ssh/
总用量 16
drwx------ 2 sshuser sshuser 4096 4月 3 23:23 .
drwx------ 5 sshuser sshuser 4096 4月 3 23:23 ..
-rw------- 1 sshuser sshuser 668 4月 3 23:23 id_dsa #私钥
-rw-r--r-- 1 sshuser sshuser 599 4月 3 23:23 id_dsa.pub #公钥
拷贝公钥到服务器上:
#ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 22 sshuser@192.168.233.132"
YES回车并输入密码
#ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 22 sshuser@192.168.233.130"
YES回车并输入密码

发送到服务器后文件被改名authorized_keys放在.ssh下:
$ ll -a .ssh/
total 12
drwx------ 2 sshuser sshuser 4096 Apr 3 23:31 .
drwx------ 4 sshuser sshuser 4096 Apr 3 23:31 ..
-rw------- 1 sshuser sshuser 599 Apr 3 23:31 authorized_keys

编写脚本,批量分发文件:
#!/bin/bash
. /etc/init.d/functions
for i in 130 132;do
scp -P 22 -rp $1 sshuser@192.168.233.$i:~
if [ $? == 0 ];then
action "192.168.233.${i}分发文件成功!" /bin/true
else
action "192.168.233.${i}分发失败!" /bin/false
fi
done

7、远程sudo的方法:
visudo -c 检查语法
visudo文档提示信息:
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear.
# You have to run "ssh -t hostname sudo <cmd>".
#
Defaults requiretty
可以通过ssh -t hostname sudo <cmd> 执行命令
也可以注销Defaults requiretty就可以远程执行sudo提取了

scp -P22 -rp hosts sshuser@192.168.233.132:~ 先将文件拷贝到对方家目录
hosts 100% 158 0.2KB/s 00:00
$ ssh -p22 sshuser@192.168.233.132 sudo /bin/cp ~/hosts /etc/ 不能远程执行sudo命令,所以报错
sudo:抱歉,您必须拥有一个终端来执行 sudo
通过-t选项就可以通过SSH远程sudo提取执行命令了:
$ ssh -t -p22 sshuser@192.168.233.132 sudo /bin/cp ~/hosts /etc/
[sudo] password for sshuser:
Connection to 192.168.233.132 closed.

8、SSH批量分发与管理小结:
1)利用root做SSH key验证
简单,易用
安全性差,同时无法禁止root远程连接
2)利用普通用户做,先把分发到文件拷贝到服务器的家目录,然后sudo提前拷贝到服务器的对应权限目录
安全,配置复杂
3)同方案2,只是不用sudo,而是设置suid对固定命令提权。
相对安全
复杂,安全性较差,任何人都可以用suid权限的命令。

企业级生产场景批量管理,自动化管理方案:
1)最简单最常用ssh key,功能最强大,一般中小型企业用,50-100台
2)门户级别流行的puppet批量管理工具,复杂
3)saltstack批量管理工具,特点:简单,功能强大,配置复杂。

linux sshd服务的更多相关文章

  1. linux sshd ssh 服务的启动和使用

    这里使用sshd服务登录到linux系统的方法,不少同学走了弯路,包括我,我一直使用vmware虚拟linux学习使用的,后来windows病毒的原因转入到linux系统中使用 1,sshd服务安装 ...

  2. Linux系统 SSHD服务安全优化方案

      # 1. 修改默认端口 #Port 22 # 2. 修改监听协议,只监听某个或某些网络协议 #AddressFamily any AddressFamily inet # 3. 修改ssh只监听内 ...

  3. Linux之sshd服务

    ---恢复内容开始--- ---恢复内容结束--- 一.linux中对服务管理与控制(以sshd为例) 1.什么是服务 可以用来给客户提供相关操作,对自己没有什么好处 2.用什么控制服务 系统初始化进 ...

  4. linux初学者-sshd服务

     linux初学者-sshd服务   在linux系统操作中,经常需要连接其他的主机,连接其他主机的服务是openssh-server,它的功能是让远程主机可以通过网络访问sshd服务,开始一个安全s ...

  5. Linux中的sshd服务

    Linux中的sshd服务,主要用于pst终端,远程连接到linux服务中 看sshd服务状态 service sshd status 停止sshd服务 service sshd stop 启动ssh ...

  6. Linux中Sshd服务配置文件优化版本(/etc/ssh/sshd_config)

    Linux中Sshd服务配置文件优化版本(/etc/ssh/sshd_config) # $OpenBSD: sshd_config,v 1.93 2014/01/10 05:59:19 djm Ex ...

  7. Linux系统的ssh与sshd服务

    当主机中开启openssh服务,那么就对外开放了远程连接的接口 ssh为openssh服务的客户端,sshd为openssh服务的服务端 远程管理工具ssh具有数据加密传输.网络开销小以及应用平台范围 ...

  8. 《linux就该这么学》第十一节课: 第九章,网卡绑定与sshd服务

    8.4.服务的访问控制列表 TCPwrappers是RHEL7中默认启用的流量监控程序,能够对服务做出允许或拒绝. TCPwrappers服务由两个文件控制:  /etc/hosts.allow    ...

  9. Linux系统管理命令-systemctl 和 sshd 服务

    一系统服务管理命令systemctl 开启一个服务 : systemctl start sshd 关闭一个服务: systemctl stop sshd 查看一个服务的状态: systemctl st ...

随机推荐

  1. action属性注入为null

    一. 问题: 今天调试代码遇到问题,使用spring管理action,当中注入了部分原始类型的属性. 配置示比例如以下: <bean class="test.login.test.Lo ...

  2. 《Pro Android Graphics》读书笔记之第六节

    Android UI Layouts: Graphics Design Using the ViewGroup Class Android ViewGroup Superclass: A Founda ...

  3. 新ITC提交APP常见问题与解决方法(Icon Alpha,Build version,AppIcon120x120)(2014-11-17)

    1)ICON无法上传.提示图片透明(有Alpha通道) 苹果如今不接受png里的Alpha了.提交的图标带有Alpha通道就提示: watermark/2/text/aHR0cDovL2Jsb2cuY ...

  4. 【SqlServer】JSON函数

    1   概述 本篇文件将结合MSND简要分析Sqlserver中JSON函数,主要包括ISJSON,JSON_VALUE,JSON_MODIFY,JSON_QUERY. 2   具体内容 2.1  J ...

  5. linux系统下安装单台Redis

    注意:搭建redis前一定要安装gcc redis安装方式一 1.安装gcc命令:yum install -y gcc #安装gcc [root@localhost src]# yum install ...

  6. SQLMap安装步骤

    SQLMap是利用Python语言写的,所以需要将Python这个语言环境给安装上 : 1.首先下载Python(这里Python版本为2.7.2,可以下载不同或高版本的) 2.然后在下载sqlmap ...

  7. APP的线程安全

    一般来说iOS中两个就够了,但是安卓中的第三个,iOS也是要注意的: 第一:网络方面,别人以为做数据请求用post会比get请求安全,但是这是错的,post请求虽然看起来你的请求是在请求体上,不像ge ...

  8. http中的get和post(一)

    GET和POST有什么区别?及为什么网上的多数答案都是错的. 如果有人问你,GET和POST,有什么区别?你会如何回答? 我的经历 前几天有人问我这个问题.我说GET是用于获取数据的,POST,一般用 ...

  9. 常规流(Normal flow)

    连我自己把float和绝对定位,都称为脱离文档流,想想概念又不那么清晰,于是寻找了W3C资料来理解,才发觉不应该叫文档流. 资料 英文:https://www.w3.org/TR/CSS22/visu ...

  10. UVA 11825 Hackers' Crackdown

    题目大意就是有一个图,破坏一个点同时可以破坏掉相邻点.每个点可以破坏一次,问可以完整破坏几次,点数=16. 看到16就想到状压什么的. 尝试设状态:用f[i]表示选的情况是i(一个二进制串),至少可以 ...