期中集群架构-第五章-SSH远程管理服务

时间 2020-05-27

原文原文链接

期中集群架构-第五章-SSH远程管理服务
======================================================================安全

01.远程管理服务知识介绍
1） SSH远程登陆服务介绍说明
SSH是Secure Shell Protocol的简写，由IETF网络工做小组（Network Working Group）制定；
是进行数据传输以前，SSH先对联机数据包经过加密技术进行加密处理，加密后再进行数据传输。
确保了传递的数据安全
SSH是专门为远程登陆会话和其余网络服务提佛那个的安全性协议。
利用SSH协议能够有效的防止远程管理过程当中的信息泄露问题，在当前的生产环境运维工做中，
绝大多数企业广泛采用SSH协议服务来代替传统的不安全的远程联机服务软件，如relnet（23端口，信息不加密）等
在默认状态下，SSH服务主要提供两个服务功能：

2） SSH远程登陆服务功能做用
a 一是提供相似telnet远程联机服务器的服务，即上面提到的SSH服务；
b 另外一个是相似FTP服务的sftp-server，借助SSH协议来传输数据的，提供更安全的SFTP服务(vsftp,proftp)。

3） SSH远程登陆服务排错思路
01.检查链路是否通畅---ping（icmp）/tracert/traceroute
02.检查链路是否阻断---将防火墙功能关闭
03.检查服务是否开启---ss/netstar -tunlp(服务端检查命令) /telnet/nmap/nc(客户端检查命令)服务器

02. Telnet远程登陆服务功能做用
SSH远程登陆服务特色说明
Telnet远程登陆服务功能做用网络

03. 远程管理服务概念详解
1）SSH远程管理服务加密技术
ssh链接登陆过程
①. ssh客户端发出链接请求
>/root/.ssh/known_hosts
②. ssh服务端会发出确认信息，询问客户端你是否真的要链接我
③. ssh客户端输入完成yes，会等到一个公钥信息
cat /root/.ssh/known_hosts
④. ssh服务端将公钥信息发送给ssh客户端
⑤. ssh客户端利用密码进行登陆

加密技术分为v1和v2两个版本
sshv1版本不会常常更换锁头和钥匙（公钥和私钥），所以会有安全隐患
sshv2笨笨会疆场更换锁头和钥匙，所以提升了远程链接安全性

2）SSH远程管理服务认证类型
基于秘钥方式实现远程登陆
①.ssh管理服务器上建立秘钥信息（公钥和秘钥）
② ssh管理服务器将公钥发给被管理服务器
③ ssh管理服务器向被管理服务器发送链接请求
④ ssh被管理服务器向管理服务器发送公钥质询
⑤ ssh管理服务器处理公钥质询请求，并将公钥质询结果发送给被管理服务器
⑥ ssh被管理服务器接收公钥质询结果，从而确认认证成功
⑦ ssh管理服务器能够和被管理服务器创建基于秘钥的链接登陆

04. 基于秘钥登陆方式部署流程
第一个里程：在管理服务器上建立密钥对信息
[root@m01 ~]# ssh-keygen -t dsa 《-建立秘钥对命令 -t dsa 表示指定秘钥加密类型
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa): 《--确认秘钥文件所保存的路径，这里采用默认路径，直接回车
Enter passphrase (empty for no passphrase): 《--确实是否须要给私钥文件设置密码，这里采用默认不须要，直接回车
Enter same passphrase again: 《--再次确认是否须要给私钥文件设置密码，直接回车
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
33:b3:ef:c1:94:63:9e:f9:f4:cb:df:1d:c6:c7:c0:fd root@m01
The key's randomart image is:
+--[ DSA 1024]----+
| |
| |
| |
| . . . |
| S = o .|
| X + .o.|
| . * . +E|
| . + o. =|
| .o . +o+|
+-----------------+架构

第二个里程：把管理服务器上的公钥发送到被管理主机
[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub 172.16.1.31 《--这里填写的被管理主机的IP地址若是是内网的，下次用秘钥方式登陆，也必须链接内网IP
也能够指定指定发送给被管理主机的指定用户好比发送给oldboy 172.1.16.31
The authenticity of host '172.16.1.31 (172.16.1.31)' can't be established.
RSA key fingerprint is 89:62:54:cb:be:1d:79:09:5d:81:e5:51:df:9c:1f:2a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.1.31' (RSA) to the list of known hosts.
root@172.16.1.31's password:
Now try logging into the machine, with "ssh '172.16.1.31'", and check in:

.ssh/authorized_keys 《--这里表示发送到被管理主机的公钥文件路径

to make sure we haven't added extra keys that you weren't expecting.

第三个里程：进行远程管理测试（以秘钥的方式进行远程管理）
[root@m01 ~]# ssh 172.16.1.31 《--能够不用输入密码，直接登陆
Last login: Wed May 13 19:43:42 2020 from 172.16.1.61
[root@nfs01 ~]#

[root@m01 ~]# ssh 172.16.1.31 hostname -I 《--也能够不用登陆主机，就能够查看远程主机的信息
10.0.0.31 172.16.1.31
[root@m01 ~]#

05. SSH服务端配置文件信息说明（/etc/ssh/sshd_config）
Port 52113 <- 修改ssh服务端口号信息
ListenAddress 0.0.0.0 <- 主要做用提高网络链接安全性
PS：监听地址只能配置为服务器网卡上拥有的地址
PermitRootLogin no <- 是否容许root用户远程登陆
PermitEmptyPasswords no <- 是否容许空密码
UseDNS no <- 是否进行DNS反向解析（提高ssh远程链接效率）
GSSAPIAuthentication no <- 是否进行远程GSSAPI认证（提高ssh远程链接效)

06. sftp经常使用操做命令总结
[root@m01 ~]# sftp -oPort=22 root@172.16.1.31 《-链接到远程主机命令
Connecting to 172.16.1.31...
sftp> help 《--进入sftp模式后，可先用help命令查看使用帮助

如下是一些经常使用重要sftp模式下的命令
bye Quit sftp <-- 表示退出sftp传输模式
cd path Change remote directory to 'path' <-- 改变远程目录信息
pwd Display remote working directory <-- 显示远程主机当前目录信息
lcd path Change local directory to 'path' <-- 改变本地目录路径信息
lpwd Print local working directory <-- 输出本地目录路径信息
get [-P] remote-path [local-path]
Download file <-- 下载文件命令
put [-P] local-path [remote-path] <-- 上传文件命令
Upload file 运维