ssh 笔记

SSH
ssh:secure shell , protocol , 22/tcp 安全的远程登录

centos6: ssh 192.168.135.7
或者 指定用户名连接: ssh wang@192.168.135.7

linux 里面远程登录的小汇总: ssh scp telnet sftp slogin
windows 客户端 ： xshell putty CRT … （远程登录工具

server (服务器端)： sshd

ssh 客户端:
ssh, 配置文件：/etc/ssh/ssh_config
Host PATTERN
StrictHostKeyChecking no 首次登录不显示检查提示
格式：ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND] // ssh zhang@192.168.135.7 who — 登录进去,执行命令，并返回
-p port：远程服务器监听的端口 // ss -nt // ssh 192.168.135.164 -p 8021
-b:指定连接的源IP
-v:调试模式
-C：压缩方式
-X: 支持x11转发
-Y：支持信任x11转发
ForwardX11Trusted yes
-t: 强制伪tty分配
ssh -t remoteserver1 ssh remoteserver2

默认服务器的端口是22 ， 修改端口 ？
vim /etc/ssh/sshd_config
Port 8021
—————————
systemctl reload sshd — 服务器重新生效

centos6: ssh 192.168.135.7 -p 8021 –需要填写端口(因为不是之前的默认端口)

-b:指定连接的源IP ?
添加ip ： ip a a 192.168.135.8/24 dev eth0 ip a a 192.168.135.10/24 dev eth0
好了 现在有 3个IP了
cnetos6: ssh 192.168.135.164
centos7: ss -nt — 查看
如果 3个ip 我就指定某个地址 连接centos 7
6： ssh -b 192.168.135.8 192.168.135.164
7： who 查看IP的发起者

-v:调试模式 ?
ssh -v -b 192.168.135.8 192.168.135.164 –查看详细的过程

-X: 支持x11转发? -Y：支持信任x11转发 ?
理论是：如果你ssh 上去 不仅敲命令 还显示图形的话
显示理论： 如果你不在机房 安装oracle 的话 远程 可以图片安装(2.Xstart工具实现)
6: ssh 192.168.135.164 -X

-t: 强制伪tty分配?
如果c机器做了安全策略，只允许B机器连接 ,但是a机器想连接怎么办?
a–b—c
iptables -A INPUT -s 192.168.135.152 -j REJECT // c 上拒绝 a 访问 — iptables -F 清除
a：ssh -t 192.168.135.189 ssh 192.168.135.164 — 跳板机
c： w — 查看
基于DH 算法做密钥交换,基于RSA 或DSA 实现身份认证
ssh_host_rsa_key.pub

* 基于密钥 key 的登录方式 ***
7:cd .ssh –> known_hosts — 放的是 以前 远程访问过的主机 公钥 –> 好处： 下次连接 不需要yes/no
6: cat /etc/ssh/ssh_host_rsa_key.pub — centos6 的公钥

ssh_host_rsa_key 盗取私钥 就可以迷糊主机
service sshd restart — 重启服务
实验 ： 6 连接7 的时候 不需密码了,基于key ?
1.ssh-keygen //客户端生产秘钥对 –默认rsa 算法 指定算法的话: ssh – keygen -t dsa
cd .ssh –> 下面生产 公钥和私钥
2.ssh-copy-id -i id_rsa.pub root@192.168.135.164 –> 将6的公钥传输到7 上
3. 测试 ssh root@192.168.135.164 — 不需要密码 ok
总结：A B 主机基于key 连接 A ：创建秘钥对 然后发送给B公钥 A 就可以连接B 不需要密码了 , B –> A 需要密码
注意： B 主机 修改root密码 都没用 照样 进去
注： 保护好 A 机器 ( 中军大帐–秘钥对 )
— 假如 A 秘钥被盗取了， 可以连接 B 吗？
scp id_rsa 192.168.135.152:/root 传给 c cd /root/.ssh
测试 c 也不需要密码 连接 b 了 ,–

注意： 假如以后自动化 1000000台主机

问题： 解决 ssh 连接慢的问题 ?
vim /etc/ssh/sshd_config
GSSAPIAuthentication no
UseDNS no
—————————–
6:ssh-copy-id root@192.168.135.152 //6的公钥传给5
ssh root@192.168.135.152 – 不需要密码
问题 ：给秘钥加密 ，因为秘钥丢了很危险,基于key ？
6 cd .ssh/ –> ssh-keygen -p // 输入口令 centos
[root@centos6 ~/.ssh]#cat id_rsa — 查看 秘钥已经加密
–> 测试 ssh root@192.168.135.152 需要私钥的密码 ？ 麻烦

需要私钥的密码 ？ 麻烦
理论： 口令提交代理 ,我ssh的时候,代理自动提交口令
[root@centos6 ~/.ssh]#ssh- // 按tab 键
ssh-add ssh-agent ssh-copy-id ssh-keygen ssh-keyscan
ssh-agent bash // 代理程序的启动
ssh-add //把私钥托管给代理 . (效果：不要输入公钥的口令了)
注意： 每次退出需要跑一次代理 .

以上是linux 设置 远程服务器 :
下面是 windows — xshell CRT 中远程连接服务器

问题：平时在生产中 不是linux ssh 而是在windows 上的远程工具ssh 服务器 crt xshell？
xshell 配置基于key验证？
工具–> 新建用户密钥生产向导–> 下一步 .. 导出id_rsa_1024
你想连接谁，传给他 ：基于key 认证就靠它了 id_rsa_1024.pub
rz
cat id_rsa_1024.pub >> .ssh/authorized_keys — 追加进去
连接的时候 ： 用户身份验证 –> 方法： public key 用户名: root 用户密钥选择
OK
CRT 配置基于key验证？
tools –> create public key .. Identity.pub –> 格式不对,需要转换
// touch .ssh/authorized_keys
//ssh-keygen -i -f Identity.pub –转换
//ssh-keygen -i -f Identity.pub > .ssh/authorized_keys
ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys // 转换直接 追加到文件

—-
自动化 创建 基于key 100？ 1000？ 100000？
#!/bin/bash
rpm -q expect &> /dev/null ||yum -y -q install expect
ssh -keygen -P ” -f ~/.ssh/is_rsa &> /dev/null
while read ip password;do
user=root
expect << EOF
set timeout 10
spawn ssh root@192.168.135.152
expect {
“yes/no” {send “yes\n”;exp_continue }
“password” {send “$password\n”}
}
expect eof
EOF
done < hosts.txt

作业： 1. 创建CA ，申请证书 2.基于key验证

———————————————————-