0
点赞
收藏
分享

微信扫一扫

SSH远程管理服务简介 端口号查询 SSH相关命令 秘钥 SSH安全优化 跳板机脚本及跳板机退出


文章目录

  • ​​SSH远程管理服务简介​​
  • ​​端口号查询​​
  • ​​ssh和telnet区别​​
  • ​​SSH相关命令​​
  • ​​ssh​​
  • ​​Xshell连接不上虚拟机​​
  • ​​scp命令(远程文件传输)​​
  • ​​sftp命令​​
  • ​​秘钥​​
  • ​​ssh-keygen 生成秘钥对​​
  • ​​ssh-copy-id 推送公钥到要免密连接的服务器​​
  • ​​SSH免密场景​​
  • ​​1.windows使用xshell生成秘钥对​​
  • ​​1)xshell-->工具-->新建用户秘钥生成向导​​
  • ​​2)生成秘钥对​​
  • ​​3)创建秘钥名字,不需要给秘钥创建密码​​
  • ​​4)查看秘钥对的私钥公钥​​
  • ​​5)将公钥复制到m01机器 私钥保存到windows电脑​​
  • ​​免交互expect[扩展]​​
  • ​​安装expect​​
  • ​​编写免密操作脚本​​
  • ​​免交互sshpass[扩展]​​
  • ​​安装sshpass​​
  • ​​sshpass命令​​
  • ​​编写sshpass脚本​​
  • ​​SSH安全优化​​
  • ​​ssh远程管理服务器​​
  • ​​对内网所有的机器进行免密​​
  • ​​跳板机脚本​​
  • ​​跳板机退不出解决办法​​

SSH远程管理服务简介

SSH是一个安全协议,在进行数据传输时,会对数据包进行加密处理,加密后再进行数据传输。确保了数据传输安全。那SSH服务主要功能有哪些呢?
1.提供远程连接服务器的服务
linux远程连接协议:ssh 22 telnet 23
windows远程连接协议:RDP(remote desktop)3389
2.对传输进行加密

端口号查询

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_服务器

#1.安装telnet
[root@nfs ~]# yum install -y telnet-server

#2.启动telnet
[root@nfs ~]# systemctl start telnet.socket

# 查看端口
[root@nfs ~]# netstat -nutlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:49869 0.0.0.0:* LISTEN 6936/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 7340/rpcbind
tcp 0 0 0.0.0.0:20048 0.0.0.0:* LISTEN -
tcp6 0 0 :::22 :::* LISTEN 6613/sshd
tcp6 0 0 :::23 :::* LISTEN 1/systemd

#3.创建普通用户
[root@nfs ~]# useradd yangge
[root@nfs ~]# echo 123 | passwd --stdin yangge

#4.验证登录
[c:\~]$ telnet 192.168.15.31 23
Connecting to 192.168.15.31:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Kernel 3.10.0-957.el7.x86_64 on an x86_64
nfs login: yangge
Password:
[yangge@nfs ~]$

ssh和telnet区别

telnet:
1.不支持root直接登录,只能用普通用户
2.数据传递是明文的

ssh:
1.主要用来远程登录和执行命令,ssh默认使用当前用户登录。
2.所有数据传递都是加密的

SSH相关命令

SSH有客户端与服务端,我们将这种模式称为C|S架构,ssh客户端支持Windows、Linux、Mac等平台。在ssh客户端中包含 ssh|slogin远程登陆、scp远程拷贝、sftp文件传输、ssh-copy-id秘钥分发等应用程序。

ssh

[root@web01 ~]# ssh -p 22 root@10.0.0.31
ssh #命令
-p #指定端口(在终端无法使用)
22 #指定ssh协议端口
root #连接时使用的用户(如果不写用户,默认使用当前服务器当前用户)
@ #分隔符
10.0.0.31 #远端服务器IP

-o StrictHostKeyChecking=no #登录时跳过验证身份

Xshell连接不上虚拟机

#1.查网络,连接谁就ping谁
ping 10.0.0.31
tcping 10.0.0.31 22

#2.查端口
telnet 10.0.0.31 22
tcping 10.0.0.31 22

#3.如果可以ping通,端口不通
需要检测服务端口
netstat -lntp | grep sshd

#4.网卡是否启动
ip a

#5.防火墙
查看防火墙规则是否允许ssh服务
firewall-cmd --list-all

#6.查看虚拟网络编辑器
查看网关是否正确

#7.查看电脑的VMnat8网卡,配置信息是否正确

scp命令(远程文件传输)

scp客户端命令:远程拷贝
scp类似于rsync
scp全量 rsync增量

#scp支持推和拉
#推:将本地的/etc目录推送到backup服务器的/tmp目录下
[root@nfs ~]# scp -r /etc/ root@172.16.1.41:/tmp/
#将将本地的/etc目录下的文件推送到backup服务器的/tmp目录下
[root@nfs ~]# scp -r /etc/* root@172.16.1.41:/tmp/

#拉:将远端172.16.1.41服务器的/etc目录拉取到本地的/tmp目录下
[root@nfs ~]# scp -r root@172.16.1.41:/etc /tmp/

-P 指定端口,默认是22
-p 保持传输文件属性不变
-r 表示递归拷贝目录
-l 限速

#-l 限速 单位是 kb
[root@nfs ~]# dd if=/dev/zero of=./1.txt bs=1M count=500
[root@nfs tmp]# scp file root@172.16.1.41:/backup/
root@172.16.1.41's password:
file 46% 234MB 14.5MB/s 00:18

#设置速度为10M 10*1024*8=81920
[root@nfs tmp]# scp -l 81920 file root@172.16.1.41:/backup/

sftp命令

#文件传输命令
[root@web01 ~]# sftp root@10.0.0.31
#查看连接后服务器
sftp> ls
#查看本地服务器
sftp> lls

#命令 远程服务器文件 本地服务器位置
sftp> get 1_nfs.gif ./
#命令 本地服务器文件 远程服务器位置
sftp> put /data/1_nfs.gif /tmp/

#图形界面: Xftp FileZilla FlashFXP

秘钥

默认情况下,通过ssh客户端命令登陆远程服务器,需要提供远程系统上的帐号与密码,但为了降低密码泄露的机率和提高登陆的方便性,建议使用密钥验证方式

ssh-keygen 生成秘钥对

-t    指定秘钥类型 rsa  dsa
-C 指定用户邮箱

[root@m01 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:f/QWh5uWzIqREAPqA+mnjUqBXrDjJm49tqkDHCQ8n88 root@m01
The key's randomart image is:
+---[RSA 2048]----+
|. . |
|.+ . . . |
|o.= o o |
|.oo= o . |
|o+o.* S . o .|
|+.+= E o o + * |
|o=+ . + . X |
|=+ +. + + |
|oo+oo . . |
+----[SHA256]-----+
[root@m01 ~]# cd .ssh
[root@m01 .ssh]# ll
total 8
-rw------- 1 root root 1675 Apr 23 20:17 id_rsa #私钥
-rw-r--r-- 1 root root 390 Apr 23 20:17 id_rsa.pub #公钥

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_linux_02

ssh-copy-id 推送公钥到要免密连接的服务器

#方式一:手动复制公钥
[root@m01 .ssh]# cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCvokaPfSni0HC+tppFKrKuYrSH41D1Y35Qi3cfJm7Yl7jtnhN/E2bHaRxlx4Sff+ueLhS4IiewPwdywg/iG77HA8TIPBgnoW62PecNeuDn322KDo3qTzBMjmXIY6AT4D2sDpEjhhN7JmeQ/uSKaGAQQUMcnW2YRPwgaFCZEGR5XjeD7BQAGxBYsx6TjFKOn55WfKBFHLQSO3jXv+2y1yil0s3hK7iBhiCCMRc34oBgMh1aMZQekUf8CgUlSwtR3RdgKzKP68L5R/ggmZzGYZ5UOstJd0Vw1I14kZEaBHIF734tdNYbEcv8CXFku1iQzKrwkIs4FX7k3TxogI4XcE+/ root@m01

#把公钥复制到要连接的服务器
[root@web01 ~]# mkdir .ssh/
[root@web01 ~]# vim .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCvokaPfSni0HC+tppFKrKuYrSH41D1Y35Qi3cfJm7Yl7jtnhN/E2bHaRxlx4Sff+ueLhS4IiewPwdywg/iG77HA8TIPBgnoW62PecNeuDn322KDo3qTzBMjmXIY6AT4D2sDpEjhhN7JmeQ/uSKaGAQQUMcnW2YRPwgaFCZEGR5XjeD7BQAGxBYsx6TjFKOn55WfKBFHLQSO3jXv+2y1yil0s3hK7iBhiCCMRc34oBgMh1aMZQekUf8CgUlSwtR3RdgKzKP68L5R/ggmZzGYZ5UOstJd0Vw1I14kZEaBHIF734tdNYbEcv8CXFku1iQzKrwkIs4FX7k3TxogI4XcE+/ root@m01
[root@web01 ~]# chmod 700 .ssh/
[root@web01 ~]# chmod 600 .ssh/authorized_keys

#方式二:命令推送公钥
[root@m01 .ssh]# ssh-copy-id -i .ssh/id_rsa.pub root@172.16.1.31
/usr/bin/ssh-copy-id: ERROR: failed to open ID file '.ssh/id_rsa.pub': No such file or directory
[root@m01 .ssh]# cd
[root@m01 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.31
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.1.31's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh '172.16.1.31'"
and check to make sure that only the key(s) you wanted were added.
#验证
[root@m01 ~]# ssh 172.16.1.31
Last login: Fri Apr 23 19:50:32 2021 from 192.168.15.1
[root@nfs ~]#

#公钥传输到这个文件
[root@nfs ~]# cd .ssh
[root@nfs .ssh]# ll
total 4
-rw------- 1 root root 390 Apr 23 20:23 authorized_keys

#配置文件所在目录
[root@nfs .ssh]# vim /etc/ssh/sshd_config
AuthorizedKeysFile .ssh/authorized_keys

# 注:只给当前用户传输公钥


#登录留痕
[root@m01 .ssh]# ll
total 12
-rw------- 1 root root 1675 Apr 23 20:17 id_rsa
-rw-r--r-- 1 root root 390 Apr 23 20:17 id_rsa.pub
-rw-r--r-- 1 root root 173 Apr 23 20:20 known_hosts
[root@m01 .ssh]# cat known_hosts
172.16.1.31 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBB1c8Kpnc5NjQ8I84CIVi7pjzvGNp5xoDqpNcWzG4DPTuSmbWduLCps6n00Gw6tirhkn0Rnt74BAhvWAgJQqYgw=

SSH免密场景

实践场景,用户通过Windows/MAC/Linux客户端连接跳板机免密码登录,跳板机连接后端无外网的Linux主机实现免密登录,架构图如下。
实践多用户登陆一台服务器无密码
实践单用户登陆多台服务器免密码

1.windows使用xshell生成秘钥对

1)xshell–>工具–>新建用户秘钥生成向导

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_vim_03

2)生成秘钥对

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_vim_04

3)创建秘钥名字,不需要给秘钥创建密码

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_vim_05

4)查看秘钥对的私钥公钥

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_服务器_06

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_linux_07

5)将公钥复制到m01机器 私钥保存到windows电脑

[root@m01 ~]# mkdir .ssh/
[root@m01 ~]# vim .ssh/authorized_keys
[root@m01 ~]# chmod 600 .ssh/authorized_keys

免交互expect[扩展]

安装expect

[root@m01 ~]# yum install -y expect

编写免密操作脚本

[root@m01 ~]# cat expect.exp 
#!/usr/bin/expect
set ip 10.0.0.7
set pass 1
set timeout 30
spawn ssh root@$ip
expect {
"(yes/no)" {send "yes\r"; exp_continue}
"password:" {send "$pass\r"}
}
expect "root@*" {send "df -h\r"}
expect "root@*" {send "exit\r"}
expect eof
[root@m01 ~]#

免交互sshpass[扩展]

安装sshpass

[root@m01 .ssh]# yum install -y sshpass

sshpass命令

[root@m01 .ssh]# sshpass -p 1 ssh root@172.16.1.7
sshpass 命令
-p 指定密码
1 密码
ssh

编写sshpass脚本

[root@m01 .ssh]# vim ssh.sh 
#!/bin/bash
for num in 41 31 7;do
echo ------------------ 10.0.0.$num -----------------
sshpass -p 1 ssh -o StrictHostKeyChecking=no root@10.0.0.$num df -h
done

SSH安全优化

SSH作为远程连接服务,通常我们需要考虑到服务的安全,所以需要对服务进⾏安全⽅⾯的配置。
1、更改远程登陆的端⼝
[root@backup ~]# vim /etc/ssh/sshd_config
Port 2222

2、禁⽌root管理员直接登录
[root@backup ~]# vim /etc/ssh/sshd_config
PermitRootLogin no

3、密码认证⽅式改为秘钥认证
[root@backup ~]# vim /etc/ssh/sshd_config
PasswordAuthentication no

4、重要服务不适⽤公⽹IP地址
[root@web2 ~]# vim /etc/ssh/sshd_config
UseDNS no
[root@web2 ~]# vim /etc/ssh/sshd_config

ssh远程管理服务器

对内网所有的机器进行免密

# 创建密钥
[root@m01 ~]# ssh-keygen -t rsa

# 免密登录
[root@m01 ~]# for i in 7 8 31 41 ;do ssh-copy-id -i ~/.ssh/id_rsa.pub root@172.16.1.$i; done

跳板机脚本

[root@m01 ~]# cat jump-server.sh 
#!/bin/bash
###########################################
# 欢迎登录
# Linux 12期 -- 高级项目:跳板机
# Date: 2021.04.23
# Anther: 杨哥
###########################################

# 欢迎界面

echo -e "\033[32m ########################################### \033[0m"
echo -e "\033[35m # 欢迎登录 \033[0m"
echo -e "\033[36m # Linux 12期 -- 高级项目:跳板机 \033[0m"
echo -e "\033[34m # Date: 2021.04.23 \033[0m"
echo -e "\033[34m # Anther:杨哥 \033[0m"
echo -e "\033[32m ########################################### \033[0m"

while true;
do

echo -e "\033[34m \
1> web1 172.16.1.7 \n \
2> web2 172.16.1.8 \n \
3> nfs 172.16.1.31 \n \
4> backup 172.16.1.41 \n \
q> exit 退出登录 \n \
\033[0m"

read -p "请输入需要链接的主机:" num

echo $num

case $num in

1)
ssh root@172.16.1.7
;;

2)
ssh root@172.16.1.8
;;

3)
ssh root@172.16.1.31
;;

4)
ssh root@172.16.1.41
;;

q)
exit;
;;

yeg)
read -p "请您输入跳板机密码:" password

if [ "$password" == "123" ];then

/bin/bash

else
echo -e "\033[31m 请重新输入密码!!! \033[0m"
fi

;;

*)
echo -e "\033[31m 请重新输入密码!!! \033[0m"
;;

esac

done

[root@m01 ~]# chmod +x jumpserver.sh
[root@m01 ~]# vim /etc/ssh/sshd_config
[root@m01 ~]# mv jumpserver.sh /etc/profile.d/
#验证脚本
[root@m01 profile.d]# /etc/profile.d/jumpserver.sh

跳板机退不出解决办法

1.ctrl+c  出现bash-42# 代表没有家目录  
2.cp -a /etc/skel/.bash* . 把家目录模板拷贝到家目录
3.ctrl+c 出现[root@m01 ~]#


###########################################
# 欢迎登录
# Linux 12期 -- 高级项目:跳板机
# Date: 2021.04.23
# Anther:杨哥
###########################################
1> web1 172.16.1.7
2> web2 172.16.1.8
3> nfs 172.16.1.31
4> backup 172.16.1.41
q> exit 退出登录
请输入需要链接的主机:^C-bash-4.2# ^C
-bash-4.2# ^C
-bash-4.2# cp -a /etc/skel/.bash* .
-bash-4.2# bash
bash: [root@m01: command not found
###########################################
# 欢迎登录
# Linux 12期 -- 高级项目:跳板机
# Date: 2021.04.23
# Anther:杨哥
###########################################
1> web1 172.16.1.7
2> web2 172.16.1.8
3> nfs 172.16.1.31
4> backup 172.16.1.41
q> exit 退出登录
请输入需要链接的主机:^C[root@m01 ~]# ^C
[root@m01 ~]# ^C
[root@m01 ~]# ^C

SSH远程管理服务简介  端口号查询  SSH相关命令 秘钥  SSH安全优化  跳板机脚本及跳板机退出_服务器_08


举报

相关推荐

0 条评论