SSH批量分发管理

2018-12-19 01:43:32来源:博客园 阅读 ()

新老客户大回馈,云服务器低至5折

ssh服务认证类型主要有两个:

    基于口令的安全验证:

  基于口令的安全验证的方式就是大家一直在用的,只要知道服务器的ssh连接账户、口令、IP及开发的端口,默认22,就可以通过ssh客户端登陆到这台远程主机上。此时,联机过程中所传输的数据都是加密的。

    基于密钥的安全验证:

  基于密钥的安全验证方式是指,需要依靠密钥,也就是必须事先建立一对密钥对,然后把公钥放在需要访问的目标服务器上,另外,还需要把私钥放到ssh的客户端或对应的客户端服务器上。

此时,如果想要连接到这个带有公钥的ssh服务器,客户端ssh软件或客户端服务器就会向ssh服务器发出请求,请求用联机的用户密钥进行安全验证。ssh服务器收到请求后,会先在ssh服务器上连接的用户家目录下寻找放上去的对应用户的公钥,然后把它和连接的ssh客户端发送过来的公钥进行比较,如果两个密钥一致,ssh服务器就用密钥加密“质询”并把它发给ssh客户端。ssh客户端收到“质询”之后就可以用自己的私钥解密,再把它发给ssh服务器。使用这种方式,需要知道联机用户的密钥文件,与地中基于口令验证的方式相比,第二种方式不需要再网络上传送口令密码,所有安全性更高了,这时我们也要注意保护我们的密钥文件,特别是私钥文件,一旦被黑客获取了,危险就很大了。

 

案例:批量分发管理(一把钥匙开多把锁)

测试场景:

主机名:nfs-server  网卡eth0:192.168.43.117  用途:中心分发服务器

主机名:lamp01    网卡eth0:192.168.43.118    用途: 接收客户端服务器

主机名:lamp02    网卡eth0:192.168.43.119    用途: 接收客户端服务器

主机名:backup    网卡eth0:192.168.43.200    用途: 接收客户端服务器

=================================================================

首先需要更改局域网机器的主机名与IP地址都要对应到hosts文件里去,方便访问解析快。

通过scp命令发向其他机器上。

scp -r /etc/hosts root@192.168.43.200: /etc

创建一个分发管理用户

创建一个密钥对:(分发机器上创建,切换到分发用户下创建一对密钥)

rsa与dsa密钥类型的区别:

rsa即可以进行加密,也可以进行数字签名实现认证,而dsa只能用于数字签名从而实现认证。

su – bqh01

ssh-keygen –t dsa

ssh-keygen是生产密钥的工具,-t参数指建立密钥的类型,这是是建立dsa类型密钥,也可以建立rsa类型密钥。

此时我们需要把产生的公钥(锁)发给局域网中的各个机器上:

ssh-copy-id -i .ssh/id_dsa.pub bqh01@192.168.43.118

ssh-copy-id -i .ssh/id_dsa.pub bqh01@192.168.43.119

ssh-copy-id -i .ssh/id_dsa.pub bqh01@192.168.43.200

如果ssh修改了特殊端口,如8886,那么用上面的ssh-copy-id命令就无法进行分发公钥了,如果仍要用ssh-copy-id的话,可以用:

ssh-copy-id –I id_dsa.pub “-p 8886 bqh01@192.168.43.118”  //特殊端口分发,要适当加引号。

我们可以上118服务器上查看是否分发过来了:

ok。

此时我们就可以批量管理各个机器了:

例如查看各个机器上的ip地址:可以写一个简单脚本

vi fenfa.sh

ssh -p22 bqh01@192.168.43.118 /sbin/ifconfig eth0

ssh -p22 bqh01@192.168.43.119 /sbin/ifconfig eth0

ssh -p22 bqh01@192.168.43.200 /sbin/ifconfig eth0

简单脚本:

#!/bin/sh

for n in 118 119 200

do

 ssh –p22 bqh01@192.168.43.$n /sbin/ifconfig eth0

done

ok。

接下来我们分发一个文件:先要把分发的文件拷贝到普通用户家目录下

vi fenfa.sh

scp -P22 hosts bqh01@192.168.43.118:~

scp -P22 hosts bqh01@192.168.43.119:~

scp -P22 hosts bqh01@192.168.43.200:~

简单脚本:

#!/bin/sh

for n in 118 119 200

do

  scp –P22 hosts bqh01@192.168.43.$n:~

done

我们从其他机器上查看是否分发过去了:

 

ok。

当我们批量分发到远程机器的其他目录下会出现以下错误提示:

错误:原因是bqh01没有/etc下的权限。批量分发时需要注意权限问题。

我们可以通过以下方法来解决:

  1、  利用root做ssh key验证

  2、  利用普通用户如bqh01sudo提权来做

  3、设置suid对固定命令授权

例如:利用普通用户如bqh01来做,sudo提权拷贝分发的文件发到远程对应权限的目录下

把普通用户加入到sudoers里去,并授予rsync权限(注意:在所有机器上操作)

echo ‘bqh01 ALL=(ALL)  NOPASSWD:/usr/bin/rsync’ >>/etc/sudoers

visudo -c  

我们切换到普通用户下推送一下hosts到/etc/ceshi下试试看:

出现Connection to 192.168.43.118 closed.这种提示表表示执行成功

我们再从其他机器上查看是否推送过来了:

ok。

可以写一个分发脚本:

脚本优化:
#!/bin/sh
. /etc/init.d/functions

if [ $# -ne 2 ]
  then
   echo "USAGE:$0 localfile remotedir"
   exit 1
fi
for n in 118 119 200
do
  echo ===============192.168.43.$n==============
 scp -P22 -r $1 bqh01@192.168.43.$n:~ &>/dev/null &&\
 ssh -t bqh01@192.168.43.$n sudo rsync $1 $2 &>/dev/null
  if [ $? -eq 0 ]
   then
    action "fenfa $1 ok" /bin/true
  else
    action "fenfa $1 failed" /bin/false
 fi
done

执行脚本后效果如下:

我们从其他机器上查看是否分发过来了:

ok。

当然我们可以用隧道模式传输:rsync -avz hosts -e 'ssh -p 22' bqh01@192.168.43.200:~

 

例如:设置suid对固定命令授权(同上方法,只是不用sudo提权,而是设置suid权限)

我们先去除之前推送过去的文件:

将目标主机上的rsync命令增加s权限(存在危险)

chmod 4755 /usr/bin/rsync

sh fenfa.sh hosts /etc/ceshi/

 我们从其他机器上查看是否分发过来了:

ok。

ssh批量分发与管理方案小结:适用于(5-70台服务器)

1、利用root做ssh key验证

优点:简单,易用

缺点:安全差,同时无法禁止root远程连接这个功能。

企业应用:80%的中小型企业在用此方法。

2、利用普通用户如bqh01来做

先把分发的文件拷贝到服务器用户家目录下,然后sudo提权拷贝分发的文件发到远程对应权限的目录下

优点:安全,无需禁用root远程连接这个功能。

缺点:配置比较复杂。

3、同方法2,只是不用sudo,而是设置suid对固定命令授权

优点:相对安全

缺点:复杂,安全性较差。任何人都可以处理带有suid权限的命令。

在生产场景中ssh适用于:批量分发数据、代码、管理等用途。

=================================================================

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:《Linux 进程间通信》命名管道:FIFO

下一篇:windows与linux之间文件的传输