ssh客户端
ssh,配置文件:/etc/ssh/ssh_config
在配置文件/etc/ssh/ssh_config中Strict HostKey Checking no 首次登录不显示检查提示。
格式:ssh [user@]host IP地址 [command]
ssh [-l user]host IP地址 [command]
(如果不指定用户,你是哪个用户就连接哪个用户上,后面还可跟命令)
Ssh客户端允许实现对远程系统经验证地加密安全访问
当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接
下面来看一下ssh的一些选项:
-p port端口号:远程服务器监听的端口
例如:ssh 192.168.10.178 -p 2222 如果将服务器的端口改为2222,再用ssh连接不指定端口(默认是22端口),此时就无法连接,连接时指定端口号就可以连接了。
改端口号:semanage port -a -t ssh_port_t -p tcp 端口号 (如果启用了SELinux策略,改的端口号为非标准端口号,违反了SELinux策略,直接修改配置文件是不可以的,要用这种方法去修改,记得改完之后重启一下sshd服务)
-b 指定源IP来连接服务器
-v:调试模式(连接的时候发现一些错误,可以用-v来排错)
-C:压缩方式
-X: 支持x11转发
xclock命令在centos6上面可以打开小钟表,在centos7上面打不开,现在我用centso7去连接centos6,直接连接上去,执行xclock命令是打不开小钟表的,需要价格-X选项,才能打开
-Y:支持信任x11转发
ForwardX11Trusted yes
-t: 强制伪tty分配
小实验:
如图:假如企业内部有两台机器B,C,其中C是ssh service ,企业内部连接互联网是通过防火墙来连接的,只有B才能连接到C,A不能直接连接C,假如A出差了,在企业外部,现在A想要连接C,怎样连接呢?A可以连接到B,通过B这个跳板再来连接到C ssh -t B(ip地址) ssh C(ip地址)
实验环境:有3台机器A,B,C,这3台机器都在一个网段中。
1)先在C机器上制定防火墙策略,拒绝A机器连接iptables -A INPUT -s 192.168.10.136 -j REJECT
这样A就不能直接连接C了,,B可以连接C,A可以连接B,所以B可以做跳板,让A借助B来连接C
2)ssh -t 192.168.10.135 ssh 192.168.10.178 这样就能连接了,需要输入两次密码
常见的ssh连接问题
在用ssh连接的时候我们会遇到一些问题,接下来介绍一下这些问题和解决这些问题的方案
(1)解决ssh连接较慢的方案
我们在用ssh连接的时候可能会非常慢,可以调整服务器端的配置文件,修改以下两项,重启服务,就能生效,再重启sshd服务,之后再用ssh连接就非常快了
vim /etc/ssh/sshd_config 编辑服务器端的配置文件
然后systemctl restart sshd.service(centos7)或service sshd restart(centos6),重启一下sshd服务,就可以了
(2)去掉ssh第一次连接服务器提示的yes or no?
当某台机器第一次去连接某服务器时,会问你是否要继续连接,yes or no?,敲了yes就会在家目录下的.ssh目录下生成了一个known_hosts文件,这个文件就记录了你所连接的每一台服务器的公钥key(如下图我目前只连接了一个服务器,所以只有一个服务器的公钥key)
下面就来修改配置文件来解决这个问题
vim /etc/ssh/sshd_config
将该项改为no,第一次连接不用提示yes或者no
(3)/etc/ssh中的key不能被破坏
ssh中的key不能被破坏,如果这些key都被删了,ssh服务不能被启动
先关闭了sshd服务,再开启sshd服务,然后就发现启动失败
再把/app/下的key移回来就可以启动成功了。
ssh服务登录验证方式
1.用户/口令
2.基于密钥
1.基于用户名口令登录验证
基于用户和口令登录验证(客户端用服务器的公钥加密密码,再发给服务器,服务器再拿私钥解开密码,验证密码是否正确)
1)客户端发起ssh请求,服务器会把自己的公钥发送给用户
2)用户会根据服务器发来的公钥对密码进行加密
3)加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
2.基于密钥的登录方式
1)首先在客户端生成一对密钥(ssh-keygen)
2)并将客户端的公钥ssh-copy-id 拷贝到服务端
3)当客户端再次发送一个连接请求,包括ip、用户名
4)服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
5)服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6)得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7)服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
基于密钥的认证:
1)在客户端生成密钥对 ssh-keygen -t rsa -P ” -f /root/.ssh/id_rsa
-t 指定算法 (默认是rsa算法) -P指定私钥的口令,什么都不写就是生成的私钥没有口令 -f 指定私钥文件路径(默认是/root/.ssh/id_rsa)
2)把公钥文件传输至远程服务器对应用户的家目录 ssh-copy-id -i /root/.ssh/id_rsa 192.168.10.107
ssh-copy -i /root/.ssh/id_rsa 192.168.10.107 该命令看似传输的是私钥,其实传输的是公钥,我们来看一下公私钥是什么样的
如下图:我们看到公私钥的内容
在服务器上的家目录下查看一下authorized_keys这个文件是否生成
再来查看一下这个文件authorized_keys
对比一下上面的公私钥的内容,可以发现传输的确实是公钥
3)测试
好了,现在我们开始连接服务器了,如下图,发现直接就能连接上去了,不用输密码
4)在SecureCRT或Xshell实现基于key验证
在SecureCRT工具—>创建公钥—>生成Identity.pub文件
转化为openssh兼容格式(适合SecureCRT,Xshell不需要转化格式),并复制到需登录主机上相应文件authorized_keys中,注意权限必须为600,在需登录的ssh主机上执行:
ssh-keygen-i-f Identity.pub >> .ssh/authorized_keys
5)重设私钥口令:ssh-keygen –p
如果你觉得你的口令不安全,就可以重设私钥口令,我们上面就没有对私钥设口令,这是很不安全的,下面我就给私钥重设口令,如下图,我们可以发现重设私钥密码后,再去连接服务器,就不会那么容易了,需要你输入设定的私钥密码
6)验证代理(authentication agent)保密解密后的密钥
•这样口令就只需要输入一次
•在GNOME中,代理被自动提供给root用户
•否则运行ssh-agent bash
7)钥匙通过命令添加给代理
ssh-add
第六步和第七步合在一起用,我们在管理多台服务器时,你要一个一个的连接,一个一个的输密码,连接上去,这样十分麻烦的,而且效率低下,我们可以基于秘钥登陆的方式,来连接多台服务器,这样你在连接多台服务器时,就不用一个一个的输入每一台服务器的密码了,你只需记住一个私钥密码,连接的时候输入私钥密码,就可以连接多台服务器了,如果你连私钥密码都懒得输入,就可以将第六步和第七步结合在一起使用,如下图,先验证代理,再把私钥密码托管给代理,这样你再去连接其他服务器就不用输入私钥密码了
scp命令–走ssh端口的远程复制命令
scp[options] SRC… DEST/ 源可以有多个
两种方式:可以将远程主机的文件拷到本机上,也可以将本机的文件拷到远程主机
scp[options] [user@]host:/sourcefile /destpath
scp 192.168.10.178:/app/testdir/ /app/linshi
scp[options] /sourcefile [user@]host:/destpath
scp /app/linshi 192.168.10.178:/app/testdir
常用选项:
-C:压缩数据流
-r:递归复制
-p:保持原文件的属性信息
-q:静默模式
-P port:指明remote host 的监听的端口
rsync命令–更聪明的复制
基于ssh和rsh服务实现高效率的远程系统之间复制文件
使用安全的shell连接做为传输方式
•rsync –av/etc server1:/tmp复制目录和目录下文件
•rsync –av/etc/ server1:/tmp只复制目录下文件
如下图:testdir后面不加/,复制testdir目录和目录下文件,加/,只复制testdir目录下的文件,testdir目录文身不复制
比scp更快,只复制不同的文件,若只是想更新变化了的文件,就用rsync
选项:
-n 模拟复制过程(并不真实去复制,只是演示一下复制过程)
-v 显示详细过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软链接文件本身进行复制(默认)
-L 将软链接文件指向的文件复制
-a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X)
好了就,今天的内容就到这里,希望对大家能有所帮助
最新评论