遠程管理SSH服務

一、搭建SSH服務

1、關閉防火墻與SELinux

# 關閉firewalld防火墻 # 臨時關閉 systemctl stop firewalld # 關閉開機自啟動 systemctl disable firewalld# 關閉selinux # 臨時關閉 setenforce 0 # 修改配置文件 永久關閉 vim /etc/selinux/config SELINUX=disabled

2、配置yum源

JumpServer配置外網YUM源 => 阿里云

# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup # wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo # yum clean all # yum makecache

RealServer配置本地YUM源 => 把光盤鏡像作為倉庫（自建YUM倉庫）

① 掛載光盤

# mkdir /mnt/cdrom # mount -o ro /dev/sr0 /mnt/cdrom# chmod +x /etc/rc.local # echo 'mount -o ro /dev/sr0 /mnt/cdrom' >> /etc/rc.local

② 編寫local.repo文件

# cd /etc/yum.repos.d # vim local.repo [local] name=local yum baseurl=file:///mnt/cdrom enabled=1 gpgcheck=0

3、openssh軟件的安裝

SSH服務底層的軟件名稱叫做openssh，open開源，ssh就是ssh服務。openssh屬于C/S架構軟件，其擁有客戶端與服務器端。

客戶端：ssh

服務端：openssh-server

安裝步驟：

# yum install openssh -y

檢查openssh是否安裝成功

# rpm -qa |grep openssh 或 # yum list installed |grep openssh

獲取openssh生成的文件列表

# rpm -ql openssh-server# 配置文件 /etc/ssh/sshd_config => ssh服務的主配置文件 /etc/sysconfig/sshd # 服務管理腳本 /usr/lib/systemd/system/sshd.service => systemctl start sshd # 文件共享服務 提供文件上傳下載的服務 /usr/libexec/openssh/sftp-server # 二進制文件程序文件 /usr/sbin/sshd # 公鑰生成工具 /usr/sbin/sshd-keygen # man手冊 /usr/share/man/man5/sshd_config.5.gz /usr/share/man/man8/sftp-server.8.gz /usr/share/man/man8/sshd.8.gz # rpm -ql openssh-clients# 客戶端配置文件 /etc/ssh/ssh_config # 遠程copy命令 服務器間進行文件傳輸 /usr/bin/scp # sftp客戶端 上傳下載文件操作 /usr/bin/sftp /usr/bin/slogin /usr/bin/ssh /usr/bin/ssh-add /usr/bin/ssh-agent /usr/bin/ssh-copy-id /usr/bin/ssh-keyscan # 客戶端man手冊 /usr/share/man/man1/scp.1.gz /usr/share/man/man1/sftp.1.gz /usr/share/man/man1/slogin.1.gz /usr/share/man/man1/ssh-add.1.gz /usr/share/man/man1/ssh-agent.1.gz /usr/share/man/man1/ssh-copy-id.1.gz /usr/share/man/man1/ssh-keyscan.1.gz /usr/share/man/man1/ssh.1.gz /usr/share/man/man5/ssh_config.5.gz /usr/share/man/man8/ssh-pkcs11-helper.8.gz

4、查看并修改ssh服務端的配置文件

# man 5 sshd_config

RealServer：禁止root賬號遠程登錄

# man 5 sshd_config PermitRootLogin => yes or no，默認為yes 代表允許通過root賬號遠程登錄此服務器 # vim /etc/ssh/sshd_config 38行 PermitRootLogin no

5、sshd服務管理

# systemctl restart sshd => 重啟 # systemctl status sshd => 狀態 # systemctl stop sshd => 停止 # systemctl start sshd => 啟動# systemctl enable sshd => 開機自啟動 # systemctl disable sshd => 開機不自啟# ps -ef |grep sshd => 進程 或 # netstat -tnlp |grep sshd => 端口 或 # ss -naltp |grep sshd

二、SSH服務任務解決方案

1、創建用戶并授權

JumpServer跳板機創建用戶并授權

第一步：創建用戶與用戶組（html前端組，tom與jerry）

# 創建html前端組 # groupadd html# 創建組內用戶tom與jerry # useradd -g html tom # useradd -g html jerry

第二步：為用戶添加密碼

# echo 123456 |passwd --stdin tom # echo 123456 |passwd --stdin jerry

第三步：為開發人員創建數據目錄并且設置相應的權限

① 創建用戶的數據目錄：

# mkdir -p /code/html => 前端組 # ll -d /code/html drwxr-xr-x. 2 root root 6 May 24 10:36 /code/html

② 更改目錄的文件所屬組（更改為html，代表html組內成員可以對這個目錄進行管理）

# chgrp -R html /code/html drwxr-xr-x. 2 root html 6 May 24 10:36 /code/html # chmod -R g+w /code/html drwxrwxr-x. 2 root html 6 May 24 10:36 /code/html

③ 添加粘滯位權限，防止誤刪除操作

# chmod 1770 /code/html drwxrwx--T. 2 root html 6 May 24 10:36 /code/html

2、測試用戶權限

測試用戶權限是否設置成功，可以結合第1步一起完成

3、禁用root登錄

RealServer服務器端：

# vim /etc/ssh/sshd_config PermitRootLogin no

4、更改SSH默認端口

RealServer服務器端：

# vim /etc/ssh/sshd_config 17行 Port 3712

5、重啟SSH服務

# systemctl restart sshd 或 # systemctl reload sshd

restart與reload的本質區別：

① restart其實相當于stop然后在start

② reload不停止現有業務，只是重新加載sshd對應的配置文件

6、在RealServer創建一個code賬號

# useradd code # echo 123456 |passwd --stdin code

測試：在JumpServer遠程連接RealServer

# ssh -p 3721 code@11.1.1.100

7、SSH客戶端不驗證指紋

第一次連接遠程服務器時：

The authenticity of host '11.1.1.100 (11.1.1.100)' can't be established. ECDSA key fingerprint is SHA256:Y/cQNWWkX15o2MsJ5HOQBI2m8S33qIA+x3zys8J4pOY. ECDSA key fingerprint is MD5:76:61:86:8b:d5:ee:bf:9c:60:e6:12:fa:f6:f0:74:36. Are you sure you want to continue connecting (yes/no)?yes Warning: Permanently added '11.1.1.100' (ECDSA) to the list of known hosts.

如果我們不想驗證指紋，可以通過更改SSH客戶端的配置文件

JumpServer：

# vim /etc/ssh/ssh_config 35行 StrictHostKeyChecking no

8、用專業工具pwgen生成用戶密碼

在實際生產環境中，其用戶密碼一定不要手工設置，建議使用專業的密碼生成工具如pwgen。

① 安裝隨機密碼生成工具pwgen

② 使用pwgen工具生成隨機密碼

③ 給賬號code設置密碼

第一步：創建code開發者賬號

# useradd code

第二步：配置EPEL源，安裝pwgen工具

# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo # yum clean all # yum makecache

第三步：安裝pwgen密碼生成工具

# yum install pwgen -y

第四步：使用pwgen生成隨機密碼

# pwgen -cnBs1 10 1

擴展：pwgen密碼生成器的使用

# pwgen --help # 用法: pwgen 選項參數 長度 生成個數 Usage: pwgen [ OPTIONS ] [ pw_length ] [ num_pw ]# 密碼中至少包含一個大寫字母 -c or –capitalize# 密碼中不包含大寫字母 -A or –no-capitalize# 密碼中至少包含一個數字 -n or –numerals# 密碼中不包含數字 -0 or –no-numerals# 密碼中至少包含一個特殊符號 -y or –symbols# 生成完全隨機密碼 -s or –secure# 密碼中不包含歧義字符（例如1,l,O,0） -B or –ambiguous# 使用SHA1 hash給定的文件作為一個隨機種子 -H or –sha1=path/to/file[#seed]# 在列中打印生成的密碼 -C# 不要在列中打印生成的密碼，即一行一個密碼 -1# 不要使用任何元音，以避免偶然的臟話 -v or –no-vowels

三、SSH服務補充

1、scp命令

主要功能：用于Linux系統與Linux系統之間進行文件的傳輸（上傳、下載）

上傳：

# scp [選項] 本地文件路徑 遠程用戶名@遠程服務器的IP地址:遠程文件存儲路徑 -r : 遞歸上傳，主要針對文件夾 -P : 更換了SSH服務的默認端口必須使用-P選項

下載：

# scp [選項] 遠程用戶名@遠程服務器的IP地址:遠程文件路徑 本地文件存儲路徑 -r : 遞歸上傳，主要針對文件夾 -P : 更換了SSH服務的默認端口必須使用-P選項

2、踢出用戶

# 查看當前在線用戶 w # 踢出某個賬號 pkill -kill -t pts/1

四、SSH免密登錄解決方案

1、為什么需要免密登錄

2、SSH認證原理（基于用戶名密碼+基于密鑰對）

① 回顧基于用戶名密碼的認證方式

② 基于密鑰對（公鑰與私鑰）的認證方式 => 免密登錄

A主機 => JumpServer，B主機 => RealServer

第一步：在A主機（JumpServer）生成一個密鑰對（公鑰和私鑰）

第二步：把A主機的公鑰通過網絡拷貝到B主機（RealServer）上，然后把其內容追加到B主機的~/.ssh/authorized_keys

第三步：由A主機（JumpServer）向B主機（RealServer）發起登錄請求，然后直接在B主機上進行公鑰比對（判斷A主機的公鑰是否已經存儲在B主機的authorized_keys文件中），如果存在且正確，則生成一個隨機的字符串（如itcast），然后使用A主機的公鑰對其加密得到加密的后字符串（如dXdh,34njasz!z.）

第四步：通過網絡，由B主機講剛才生成的加密后的字符串傳輸給主機A，主機A接收到加密后的字符串以后，使用自己本地存儲的私鑰進行解密操作（得到itcast）

第五步：把解密得到的itcast發送到B主機，然后驗證與剛才生成的字符串是否一致，如果一致，返回登錄成功。反之，則返回登錄失敗。

到此免密登錄全部完成！

3、SSH免密登錄的具體實現

SSH免密的實現思路一共分為三個步驟（三步走）

第一步：在A主機針對某個賬號（tom或jerry）生成公鑰與私鑰

第二步：使用某些方法把公鑰發送到B主機中，然后追加到authorized_keys文件中

第三步：測試是否實現免密登錄

☆ 方法一：比較常用(tom)

① 在A主機針對某個賬號生成公鑰與私鑰

# ssh-keygen

注：如果不想一路確認，可以在ssh-keygen -P “”，直接生成公私鑰

② 使用ssh-copy-id把公鑰文件中的內容傳輸到服務器端的~/.ssh/authorized_keys文件中

# ssh-copy-id -p 3712 code@11.1.1.100 code@11.1.1.100's password:123456

③ 在JumpServer客戶端測試免密登錄是否成功

# ssh -p 3721 code@11.1.1.100

☆ 方法二：集群常用(jerry)

① 生成公鑰與私鑰

# ssh-keygen

② 把id_rsa.pub文件，scp到RealServer服務器端

# scp -P 3721 ~/.ssh/id_rsa.pub code@11.1.1.100:/home/code/

③ 在RealServer服務器端，把id_rsa.pub文件中的內容追加到~/.ssh/authorized_keys文件中

# cd ~ # cat id_rsa.pub >> ~/.ssh/authorized_keys

注意事項：以上配置也比較簡單，但是實際應用時要注意文件的權限

RealServer： ~/.ssh : 700 ~/.ssh/authorized_keys : 600

④ 測試免密是否成功

# ssh -p 3721 code@11.1.1.100

① 生成公鑰與私鑰

# ssh-keygen

② 把id_rsa.pub文件，scp到RealServer服務器端

# scp -P 3721 ~/.ssh/id_rsa.pub code@11.1.1.100:/home/code/

③ 在RealServer服務器端，把id_rsa.pub文件中的內容追加到~/.ssh/authorized_keys文件中

# cd ~ # cat id_rsa.pub >> ~/.ssh/authorized_keys

注意事項：以上配置也比較簡單，但是實際應用時要注意文件的權限

RealServer： ~/.ssh : 700 ~/.ssh/authorized_keys : 600

④ 測試免密是否成功

# ssh -p 3721 code@11.1.1.100

總結

以上是生活随笔為你收集整理的day17-远程管理SSH服务的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。