linux sshd服务

1、ssh介绍：
SSH是secure shell protocol的简写，由IETF网络工作小组制定，在进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后再进行传输，确保传递的数据安全。
默认状态下，SSH服务主要提供两个服务功能：一个是提供类似telnet远程连接服务器的服务，即ssH服务，另一个类似FTP服务端sftp-server,借助SSH协议来传输数据的，提供更安全的SFTP服务。
提醒：ssh客户端还包含一个很有用的远程安全拷贝命令SCP，也是通过ssh协议工作的。
ssh的工作机制大致是本地ssh客户端先发送一个连接请求到远程的ssh服务端，服务端检查连接的客户端发送到数据包和IP地址，如果确认合法，就会发送密钥给ssh给客户端，此时，客户端本地再将密钥发回给服务端，自此连接建立。

ssh2同时支持RSA和DSA密钥，但是SSH1仅支持RSA密钥

2、ssh服务认证类型：
1)基于口令的安全认证：
主机IP，端口号，用户名，密码
2)基于密钥的安全验证
密钥对验证SSH：
ssh-keygen –t rsa/des
指定密钥对位置，回车在宿主目录的.ssh/下
设置私钥短语
确认短语
上传公钥到服务器，在服务器中导入公钥文本到“~/.ssh/authorized_keys该文件不能有写入权限”

3、ssh客户端附带的远程拷贝scp命令
scp的基本语法：
推送文件到目标服务器：
scp -P22 /etc/a.txt root@10.0.0.1:/tmp
下载目标服务器文件到本地服务器：
scp -P22 root@10.0.0.1:/tmp/a.txt /etc/
拷贝目录：
scp -P22 -r /etc/a.txt root@10.0.0.1:/tmp

scp参数：
-P 指定端口号，注意是大写的P
-r 复制目录
-p 拷贝过程中保持文件或目录的原始属性。

scp是加密的远程拷贝，可以下载和上传文件和目录，但每次都是全量拷贝，它会在每次拷贝时把以前拷过的文件再拷贝一次，所以效率不高。

4、基于SSH加密传输的SFTP
sftp -oport=22 root@192.168.233.132
put install.log 上传到对方服务器的家目录下，也可以指定目录
get zhang.ch 下载到本地的家目录

5、SSH配置参数
1)服务监听设置
Vim /etc/ssh/sshd_config
Port 22 //监听端口，应做修改
Protocol 2 //使用版本2更安全
Listenaddress 0.0.0.0 //监听本地网卡地址，提高隐蔽性
useDNS //禁用DNS反向解析，提高响应时间
GSSAPIAuthentication no //解决SSH连接慢的问题
2)用户登陆控制
Vim /etc/ssh/ssh_config
Permitrootlogin no //禁止root用户登陆，可普通用户登陆后SU到root
Permitemptypasswords no //禁止空密码用户登陆
Logingracetime 2m //登陆验证时间2分钟
Maxauthtries 6 //链接最大重试次数
AllowUsers yh1 yh2@172.16.8.8 //只允许yh1登陆yh2用户只能从指定地址登陆，多用户可用空格分隔。
3)登陆验证方式
Vim /etc/ssh/sshd_config
Passwordauthentication yes //启用密码验证，相对安全较低
Pubkeyauthentication yes //启用密钥对验证，安全较高
Authorizedkeysfile .ssh/authorized_keys //指定公钥库数据文件
4)使用SSH客户端程序
Windows平台中可用puttyCN、winSCP、secureCRT图形工具。
PuttyCN可下载zip免安全版网站：http://www.chiark.greenend.org.uk/
winSCP可下载ZIP的中文版，网站：http://winscp.net/
Linux平台可直接SSH远程登陆“ssh –p 22 zhang@172.16.8.8”接受RSA密钥保存到~/.ssh/known_hosts文件中，密码验证成功登陆。
可使用SCP远程复制：scp zhang@172.16.8.8:/etc/passwd /root/pwd.txt复制到本地 scp –r /etc/vsftpd/ root@172.16.8.8:/opt 上传文件到服务器
Sftp root@172.16.8.8 将登陆到服务器，可执行上传和下载。
5)SSH连接慢的问题解决：
useDNS //禁用DNS反向解析，提高响应时间
GSSAPIAuthentication no //解决SSH连接慢的问题

6、实现批量分发文件功能
要求：用同一用户(sshuser)在所有服务器下实现从A服务器本地服务器分发数据到其他服务器上,并能远程执行命令。且不需要密码验证。
步骤：
# useradd sshuser
# id sshuser
uid=556(sshuser) gid=556(sshuser) 组=556(sshuser)
# echo 123.com|passwd --stdin sshuser
$ whoami
sshuser
#ssh-keygen -t dsa
回车。。
#ll -a ~/.ssh/
总用量 16
drwx------ 2 sshuser sshuser 4096 4月 3 23:23 .
drwx------ 5 sshuser sshuser 4096 4月 3 23:23 ..
-rw------- 1 sshuser sshuser 668 4月 3 23:23 id_dsa #私钥
-rw-r--r-- 1 sshuser sshuser 599 4月 3 23:23 id_dsa.pub #公钥
拷贝公钥到服务器上：
#ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 22 sshuser@192.168.233.132"
YES回车并输入密码
#ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 22 sshuser@192.168.233.130"
YES回车并输入密码

发送到服务器后文件被改名authorized_keys放在.ssh下：
$ ll -a .ssh/
total 12
drwx------ 2 sshuser sshuser 4096 Apr 3 23:31 .
drwx------ 4 sshuser sshuser 4096 Apr 3 23:31 ..
-rw------- 1 sshuser sshuser 599 Apr 3 23:31 authorized_keys

编写脚本，批量分发文件：
#!/bin/bash
. /etc/init.d/functions
for i in 130 132;do
scp -P 22 -rp $1 sshuser@192.168.233.$i:~
if [ $? == 0 ];then
action "192.168.233.${i}分发文件成功！" /bin/true
else
action "192.168.233.${i}分发失败！" /bin/false
fi
done

7、远程sudo的方法：
visudo -c 检查语法
visudo文档提示信息：
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear.
# You have to run "ssh -t hostname sudo <cmd>".
#
Defaults requiretty
可以通过ssh -t hostname sudo <cmd> 执行命令
也可以注销Defaults requiretty就可以远程执行sudo提取了

scp -P22 -rp hosts sshuser@192.168.233.132:~ 先将文件拷贝到对方家目录
hosts 100% 158 0.2KB/s 00:00
$ ssh -p22 sshuser@192.168.233.132 sudo /bin/cp ~/hosts /etc/ 不能远程执行sudo命令，所以报错
sudo：抱歉，您必须拥有一个终端来执行 sudo
通过-t选项就可以通过SSH远程sudo提取执行命令了：
$ ssh -t -p22 sshuser@192.168.233.132 sudo /bin/cp ~/hosts /etc/
[sudo] password for sshuser:
Connection to 192.168.233.132 closed.

8、SSH批量分发与管理小结：
1)利用root做SSH key验证
简单，易用
安全性差，同时无法禁止root远程连接
2)利用普通用户做，先把分发到文件拷贝到服务器的家目录，然后sudo提前拷贝到服务器的对应权限目录
安全，配置复杂
3)同方案2，只是不用sudo，而是设置suid对固定命令提权。
相对安全
复杂，安全性较差，任何人都可以用suid权限的命令。

企业级生产场景批量管理，自动化管理方案：
1）最简单最常用ssh key，功能最强大，一般中小型企业用，50-100台
2）门户级别流行的puppet批量管理工具，复杂
3）saltstack批量管理工具，特点：简单，功能强大，配置复杂。