Introduction to the concept of SSH for remote service management
SSH: secure remote connection, data information will be encrypted,port : 22 Remote SSH can be connected to default ROOT users
Telmet: insecure remote connection, data information is clear,port : 23 the default Telnet service to allow root users to connect to the remote server
What is dandruff
- All connection to Linux is accidental
- You can have multiple sessions connecting to a single Linux system and each session is a shell
- Users in the system can achieve mutual conversion, and each time a user converts, a shell is generated
Shell properties
- In general, global command line information will only affect the current shell.
- If you want it to take effect, you need to switch shell
Shell command switch:bash
How does SSH (Data Encryption) work?
-
private key: key
-
Public key: lock
-
Password-based remote connection principle
Первый шаг: клиент выполняет команду удаленного соединения
Второй шаг: клиент, сторона обслуживания устанавливает три рукопожатия
Третий шаг: сервер позволяет клиенту подтвердить, принять ли информацию об открытом ключе сервисной стороны
Четвертый шаг: клиент выполняет подтверждение открытого ключа, получая информацию об открытом ключе
Пятый шаг: сервер позволяет клиенту подтвердить информацию о пароле для входа в систему
Шесть шагов: клиент выполняет подтверждение информации о паролем
Седьмой шаг: удаленное подключение к клиентскому серверу, чтобы установить успешное учреждение
- Клиент
ssh 192.168.15.5 выполнить команду удаленного подключения,Установить трех временную рукопожатие
The authenticity of host '192.168.15.5 (192.168.15.5)' can't be established.
ECDSA key fingerprint is SHA256:XSO9SAyyHTHXTrPbUhz2Ta0+Jvva07hW38zwJDNWf5o.
ECDSA key fingerprint is MD5:9f:9a:d6:44:ba:0c:41:36:d7:f4:f3:5a:63:9d:38:17.
Вы уверены, что хотите контролировать подключение (да/нет)? Да, позвольте клиенту подтвердить, принимать ли сервер публичный ключ
Warning: Permanently added '192.168.15.5' (ECDSA) to the list of known hosts.
[email protected]'S пароль: подтвердите информацию о пароле
Last login: Sat Apr 24 16:04:09 2021 from 192.168.15.1 Удаленная связь, чтобы установить успешное учреждение
The role of the private key and the public key
- Use the private key and the public key to encrypt data information
- Use the public key and the private key to perform the user’s identity certificate
- Principles of private key and public key information
- Remote connection based on the private key: the public key and the private key can complete the identity authentication work
- Perform remote connections based on passwords: the public key and the private key can only complete the data encryption process
How to use SSH remotely
- For password-based remote connections, the connection must enter a password and the connection is not secure
- Remote connection based on the private key, convenient communication, and secure communication
- Connect the basic schematic diagram on the basis of a private key
- The principle of communication is based on a private key
1. Клиент(Управление конец) Выполнить команду, чтобы создать пару ключей
2. Клиент(Управление конец) Установить удаленное соединение(Пароль), Отправить информацию об открытом ключе
3. Клиент(Управление конец) Снова установить удаленное соединение
4. Сервер(Удалось) Отправить информацию о запросе открытого ключа(Может ли ваш ключ открыть мой замок?)
5. Клиент(Управление конец) Обработать информацию об открытом ключе(Ключ открывает замок),Вернуть результат запроса на сервер
6. Сервер(Удалось) Принять результаты расследования,Создать длинное соединение
- The steps are based on the SSH injection step based on the deployment
- Создайте формат публичного ключа и команд частного ключа:
ssh-keygen -t [Тип аутентификации пароля(алгоритм)]
Первый шаг: конец управления создает ключевую информацию
ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa): Сохраняется ли это/root/.ssh/В пути id_dsa
Enter passphrase (empty for no passphrase): Вам нужно снова зашифровать личный ключ
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_dsa. Путь консервации личного ключа/root/.ssh/id_dsa
Your public key has been saved in /root/.ssh/id_dsa.pub. Публичный путь сохранения ключей/root/.ssh/id_dsa.pub
......
Второй шаг: сторона управления должна распространять открытый ключ(Вам нужно ввести информацию о подтверждении подключения/root/.ssh/known_hosts,Пароль управляемого конца)
ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected].168.15.5 Отправить файл открытого ключа в управляемый конец
Третий шаг: тест удаленного соединения
ssh 192.168.15.5 -- Вы можете подключиться непосредственно без информации о пароле
Public key scenario for batch distribution
Определите, какой интерпретатор используется для выполнения следующего оператора
- How to avoid interaction for remote distribution of public key connections
1. Загрузить и установить программное обеспечение
yum -y install sshpass
2. Выполнить команду открытого ключа для дифференциального метода открытого ключа открытого ключа(Не нужно вводить информацию о подтверждении пароля)(sshpass -P Пароль)
sshpass -p123 ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected].168.15.41
3. Как ввести информацию о подтверждении, подключающую да или нет(-o StrictHostKeyChecking=no)
ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected].168.15.31 "-o StrictHostKeyChecking=no"
4. Лозунг изменения в конце сервиса,Как сделать пакетные распределения общественных ключей(-P -сайт номер)
sshpass -p123 ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected].168.15.31 -p22 "-o StrictHostKeyChecking=no"
- Public key scenario for batch distribution
vim fenfa_pub_key.sh
for ip in {31,41}
do
echo "===============================start====================================="
sshpass -p123 ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected].16.1.$ip "-o StrictHostKeyChecking=no" &>/dev/null
echo "===============================success==================================="
echo ""
done
- Check if the batch distribution of the public key script (batch control)
vim check_pub_key.sh
CMD=$1
for ip in {31,41}
do
echo "===============================check====================================="
$CMD
echo ""
done
- Метод проверки
bash check_pub_key.sh hostname
bash check_pub_key.sh "ip a"
SSH configuration file
- SSH server
/etc/ssh/sshd_config
- Некоторые важные элементы конфигурации файла конфигурации сервера SSH
vim /etc/ssh/sshd_config
1. Безопасный элемент конфигурации
Номер порта 22
ListenAddress 0.0.0.0 IP -адрес мониторинга(Должен быть IP -адрес, который был установлен на локальной сетевой карте,Установить в качестве локального IP -адреса сети для обеспечения безопасности)
Разрешение ourtemptypasswords нет. Это разрешено войти в систему с длинным пользователем с пустыми паролями,Никогда не позволяйте ему разрешить
Пароль -автоентификация да запрещено подключать хост к хосту,Предлагая нет
2. Элементы конфигурации, связанные со скоростью подключения
GssapiaThentication Да открывает функцию сертификации GSSAPI,Предложить закрыть(Откройте скорость, которая влияет на соединение SSH)
Намсенам да, следует ли открыть обратную функцию анализа DNS(Имя хоста IP -адреса),Предложить закрыть(Откройте скорость, которая может повлиять на соединение SSH)
Remote SSH blocking