遠(yuǎn)程管理SSH服務(wù)

一、搭建SSH服務(wù)

1、關(guān)閉防火墻與SELinux

# 關(guān)閉firewalld防火墻 # 臨時關(guān)閉 systemctl stop firewalld # 關(guān)閉開機(jī)自啟動 systemctl disable firewalld# 關(guān)閉selinux # 臨時關(guān)閉 setenforce 0 # 修改配置文件 永久關(guān)閉 vim /etc/selinux/config SELINUX=disabled

2、配置yum源

JumpServer配置外網(wǎng)YUM源 => 阿里云

# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup # wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo # yum clean all # yum makecache

RealServer配置本地YUM源 => 把光盤鏡像作為倉庫（自建YUM倉庫）

① 掛載光盤

# mkdir /mnt/cdrom # mount -o ro /dev/sr0 /mnt/cdrom# chmod +x /etc/rc.local # echo 'mount -o ro /dev/sr0 /mnt/cdrom' >> /etc/rc.local

② 編寫local.repo文件

# cd /etc/yum.repos.d # vim local.repo [local] name=local yum baseurl=file:///mnt/cdrom enabled=1 gpgcheck=0

3、openssh軟件的安裝

SSH服務(wù)底層的軟件名稱叫做openssh，open開源，ssh就是ssh服務(wù)。openssh屬于C/S架構(gòu)軟件，其擁有客戶端與服務(wù)器端。

客戶端：ssh

服務(wù)端：openssh-server

安裝步驟：

# yum install openssh -y

檢查openssh是否安裝成功

# rpm -qa |grep openssh 或 # yum list installed |grep openssh

獲取openssh生成的文件列表

# rpm -ql openssh-server# 配置文件 /etc/ssh/sshd_config => ssh服務(wù)的主配置文件 /etc/sysconfig/sshd # 服務(wù)管理腳本 /usr/lib/systemd/system/sshd.service => systemctl start sshd # 文件共享服務(wù) 提供文件上傳下載的服務(wù) /usr/libexec/openssh/sftp-server # 二進(jìn)制文件程序文件 /usr/sbin/sshd # 公鑰生成工具 /usr/sbin/sshd-keygen # man手冊 /usr/share/man/man5/sshd_config.5.gz /usr/share/man/man8/sftp-server.8.gz /usr/share/man/man8/sshd.8.gz # rpm -ql openssh-clients# 客戶端配置文件 /etc/ssh/ssh_config # 遠(yuǎn)程copy命令 服務(wù)器間進(jìn)行文件傳輸 /usr/bin/scp # sftp客戶端 上傳下載文件操作 /usr/bin/sftp /usr/bin/slogin /usr/bin/ssh /usr/bin/ssh-add /usr/bin/ssh-agent /usr/bin/ssh-copy-id /usr/bin/ssh-keyscan # 客戶端man手冊 /usr/share/man/man1/scp.1.gz /usr/share/man/man1/sftp.1.gz /usr/share/man/man1/slogin.1.gz /usr/share/man/man1/ssh-add.1.gz /usr/share/man/man1/ssh-agent.1.gz /usr/share/man/man1/ssh-copy-id.1.gz /usr/share/man/man1/ssh-keyscan.1.gz /usr/share/man/man1/ssh.1.gz /usr/share/man/man5/ssh_config.5.gz /usr/share/man/man8/ssh-pkcs11-helper.8.gz

4、查看并修改ssh服務(wù)端的配置文件

# man 5 sshd_config

RealServer：禁止root賬號遠(yuǎn)程登錄

# man 5 sshd_config PermitRootLogin => yes or no，默認(rèn)為yes 代表允許通過root賬號遠(yuǎn)程登錄此服務(wù)器 # vim /etc/ssh/sshd_config 38行 PermitRootLogin no

5、sshd服務(wù)管理

# systemctl restart sshd => 重啟 # systemctl status sshd => 狀態(tài) # systemctl stop sshd => 停止 # systemctl start sshd => 啟動# systemctl enable sshd => 開機(jī)自啟動 # systemctl disable sshd => 開機(jī)不自啟# ps -ef |grep sshd => 進(jìn)程 或 # netstat -tnlp |grep sshd => 端口 或 # ss -naltp |grep sshd

二、SSH服務(wù)任務(wù)解決方案

1、創(chuàng)建用戶并授權(quán)

JumpServer跳板機(jī)創(chuàng)建用戶并授權(quán)

第一步：創(chuàng)建用戶與用戶組（html前端組，tom與jerry）

# 創(chuàng)建html前端組 # groupadd html# 創(chuàng)建組內(nèi)用戶tom與jerry # useradd -g html tom # useradd -g html jerry

第二步：為用戶添加密碼

# echo 123456 |passwd --stdin tom # echo 123456 |passwd --stdin jerry

第三步：為開發(fā)人員創(chuàng)建數(shù)據(jù)目錄并且設(shè)置相應(yīng)的權(quán)限

① 創(chuàng)建用戶的數(shù)據(jù)目錄：

# mkdir -p /code/html => 前端組 # ll -d /code/html drwxr-xr-x. 2 root root 6 May 24 10:36 /code/html

② 更改目錄的文件所屬組（更改為html，代表html組內(nèi)成員可以對這個目錄進(jìn)行管理）

# chgrp -R html /code/html drwxr-xr-x. 2 root html 6 May 24 10:36 /code/html # chmod -R g+w /code/html drwxrwxr-x. 2 root html 6 May 24 10:36 /code/html

③ 添加粘滯位權(quán)限，防止誤刪除操作

# chmod 1770 /code/html drwxrwx--T. 2 root html 6 May 24 10:36 /code/html

2、測試用戶權(quán)限

測試用戶權(quán)限是否設(shè)置成功，可以結(jié)合第1步一起完成

3、禁用root登錄

RealServer服務(wù)器端：

# vim /etc/ssh/sshd_config PermitRootLogin no

4、更改SSH默認(rèn)端口

RealServer服務(wù)器端：

# vim /etc/ssh/sshd_config 17行 Port 3712

5、重啟SSH服務(wù)

# systemctl restart sshd 或 # systemctl reload sshd

restart與reload的本質(zhì)區(qū)別：

① restart其實(shí)相當(dāng)于stop然后在start

② reload不停止現(xiàn)有業(yè)務(wù)，只是重新加載sshd對應(yīng)的配置文件

6、在RealServer創(chuàng)建一個code賬號

# useradd code # echo 123456 |passwd --stdin code

測試：在JumpServer遠(yuǎn)程連接RealServer

# ssh -p 3721 code@11.1.1.100

7、SSH客戶端不驗證指紋

第一次連接遠(yuǎn)程服務(wù)器時：

The authenticity of host '11.1.1.100 (11.1.1.100)' can't be established. ECDSA key fingerprint is SHA256:Y/cQNWWkX15o2MsJ5HOQBI2m8S33qIA+x3zys8J4pOY. ECDSA key fingerprint is MD5:76:61:86:8b:d5:ee:bf:9c:60:e6:12:fa:f6:f0:74:36. Are you sure you want to continue connecting (yes/no)?yes Warning: Permanently added '11.1.1.100' (ECDSA) to the list of known hosts.

如果我們不想驗證指紋，可以通過更改SSH客戶端的配置文件

JumpServer：

# vim /etc/ssh/ssh_config 35行 StrictHostKeyChecking no

8、用專業(yè)工具pwgen生成用戶密碼

在實(shí)際生產(chǎn)環(huán)境中，其用戶密碼一定不要手工設(shè)置，建議使用專業(yè)的密碼生成工具如pwgen。

① 安裝隨機(jī)密碼生成工具pwgen

② 使用pwgen工具生成隨機(jī)密碼

③ 給賬號code設(shè)置密碼

第一步：創(chuàng)建code開發(fā)者賬號

# useradd code

第二步：配置EPEL源，安裝pwgen工具

# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo # yum clean all # yum makecache

第三步：安裝pwgen密碼生成工具

# yum install pwgen -y

第四步：使用pwgen生成隨機(jī)密碼

# pwgen -cnBs1 10 1

擴(kuò)展：pwgen密碼生成器的使用

# pwgen --help # 用法: pwgen 選項參數(shù) 長度 生成個數(shù) Usage: pwgen [ OPTIONS ] [ pw_length ] [ num_pw ]# 密碼中至少包含一個大寫字母 -c or –capitalize# 密碼中不包含大寫字母 -A or –no-capitalize# 密碼中至少包含一個數(shù)字 -n or –numerals# 密碼中不包含數(shù)字 -0 or –no-numerals# 密碼中至少包含一個特殊符號 -y or –symbols# 生成完全隨機(jī)密碼 -s or –secure# 密碼中不包含歧義字符（例如1,l,O,0） -B or –ambiguous# 使用SHA1 hash給定的文件作為一個隨機(jī)種子 -H or –sha1=path/to/file[#seed]# 在列中打印生成的密碼 -C# 不要在列中打印生成的密碼，即一行一個密碼 -1# 不要使用任何元音，以避免偶然的臟話 -v or –no-vowels

三、SSH服務(wù)補(bǔ)充

1、scp命令

主要功能：用于Linux系統(tǒng)與Linux系統(tǒng)之間進(jìn)行文件的傳輸（上傳、下載）

上傳：

# scp [選項] 本地文件路徑 遠(yuǎn)程用戶名@遠(yuǎn)程服務(wù)器的IP地址:遠(yuǎn)程文件存儲路徑 -r : 遞歸上傳，主要針對文件夾 -P : 更換了SSH服務(wù)的默認(rèn)端口必須使用-P選項

下載：

# scp [選項] 遠(yuǎn)程用戶名@遠(yuǎn)程服務(wù)器的IP地址:遠(yuǎn)程文件路徑 本地文件存儲路徑 -r : 遞歸上傳，主要針對文件夾 -P : 更換了SSH服務(wù)的默認(rèn)端口必須使用-P選項

2、踢出用戶

# 查看當(dāng)前在線用戶 w # 踢出某個賬號 pkill -kill -t pts/1

四、SSH免密登錄解決方案

1、為什么需要免密登錄

2、SSH認(rèn)證原理（基于用戶名密碼+基于密鑰對）

① 回顧基于用戶名密碼的認(rèn)證方式

② 基于密鑰對（公鑰與私鑰）的認(rèn)證方式 => 免密登錄

A主機(jī) => JumpServer，B主機(jī) => RealServer

第一步：在A主機(jī)（JumpServer）生成一個密鑰對（公鑰和私鑰）

第二步：把A主機(jī)的公鑰通過網(wǎng)絡(luò)拷貝到B主機(jī)（RealServer）上，然后把其內(nèi)容追加到B主機(jī)的~/.ssh/authorized_keys

第三步：由A主機(jī)（JumpServer）向B主機(jī)（RealServer）發(fā)起登錄請求，然后直接在B主機(jī)上進(jìn)行公鑰比對（判斷A主機(jī)的公鑰是否已經(jīng)存儲在B主機(jī)的authorized_keys文件中），如果存在且正確，則生成一個隨機(jī)的字符串（如itcast），然后使用A主機(jī)的公鑰對其加密得到加密的后字符串（如dXdh,34njasz!z.）

第四步：通過網(wǎng)絡(luò)，由B主機(jī)講剛才生成的加密后的字符串傳輸給主機(jī)A，主機(jī)A接收到加密后的字符串以后，使用自己本地存儲的私鑰進(jìn)行解密操作（得到itcast）

第五步：把解密得到的itcast發(fā)送到B主機(jī)，然后驗證與剛才生成的字符串是否一致，如果一致，返回登錄成功。反之，則返回登錄失敗。

到此免密登錄全部完成！

3、SSH免密登錄的具體實(shí)現(xiàn)

SSH免密的實(shí)現(xiàn)思路一共分為三個步驟（三步走）

第一步：在A主機(jī)針對某個賬號（tom或jerry）生成公鑰與私鑰

第二步：使用某些方法把公鑰發(fā)送到B主機(jī)中，然后追加到authorized_keys文件中

第三步：測試是否實(shí)現(xiàn)免密登錄

☆ 方法一：比較常用(tom)

① 在A主機(jī)針對某個賬號生成公鑰與私鑰

# ssh-keygen

注：如果不想一路確認(rèn)，可以在ssh-keygen -P “”，直接生成公私鑰

② 使用ssh-copy-id把公鑰文件中的內(nèi)容傳輸?shù)椒?wù)器端的~/.ssh/authorized_keys文件中

# ssh-copy-id -p 3712 code@11.1.1.100 code@11.1.1.100's password:123456

③ 在JumpServer客戶端測試免密登錄是否成功

# ssh -p 3721 code@11.1.1.100

☆ 方法二：集群常用(jerry)

① 生成公鑰與私鑰

# ssh-keygen

② 把id_rsa.pub文件，scp到RealServer服務(wù)器端

# scp -P 3721 ~/.ssh/id_rsa.pub code@11.1.1.100:/home/code/

③ 在RealServer服務(wù)器端，把id_rsa.pub文件中的內(nèi)容追加到~/.ssh/authorized_keys文件中

# cd ~ # cat id_rsa.pub >> ~/.ssh/authorized_keys

注意事項：以上配置也比較簡單，但是實(shí)際應(yīng)用時要注意文件的權(quán)限

RealServer： ~/.ssh : 700 ~/.ssh/authorized_keys : 600

④ 測試免密是否成功

# ssh -p 3721 code@11.1.1.100

① 生成公鑰與私鑰

# ssh-keygen

② 把id_rsa.pub文件，scp到RealServer服務(wù)器端

# scp -P 3721 ~/.ssh/id_rsa.pub code@11.1.1.100:/home/code/

③ 在RealServer服務(wù)器端，把id_rsa.pub文件中的內(nèi)容追加到~/.ssh/authorized_keys文件中

# cd ~ # cat id_rsa.pub >> ~/.ssh/authorized_keys

注意事項：以上配置也比較簡單，但是實(shí)際應(yīng)用時要注意文件的權(quán)限

RealServer： ~/.ssh : 700 ~/.ssh/authorized_keys : 600

④ 測試免密是否成功

# ssh -p 3721 code@11.1.1.100

總結(jié)

以上是生活随笔為你收集整理的day17-远程管理SSH服务的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。