Tool--ssh参数详解与使用心得

ssh介绍

SSH 为 Secure Shell的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX, Linux, AIX, Solaris, Digital UNIX, Irix以及其他平台，都可运行SSH。

传统的网络服务程序，如：ftp, pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式， 就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet,又可以为ftp, pop甚至为ppp提供一个安全的"通道" 。

从客户端来看，SSH提供两种级别的安全验证。

第一种级别（基于口令的安全验证）

只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

第二种级别（基于密匙的安全验证）

需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

用这种方式，你必须知道自己密匙的口令但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能需要10秒 。

ssh参数详解：

-1：	强制使用ssh协议版本1；
-2：	强制使用ssh协议版本2；
-4：	强制使用IPv4地址；
-6：	强制使用IPv6地址；
-A：	开启认证代理连接转发功能； 这个参数在使用跳板机等场景非常有用。
-a：	关闭认证代理连接转发功能；
-b：	使用本机指定地址作为对应连接的源ip地址,Only useful on systems with more than one address
-C：	请求压缩所有数据；
-c：	cipher_spec，选择加密会话的密码规范；
-F：	指定ssh指令的配置文件；
-g：	允许远程主机连接主机的转发端口；
-i：	identity_file，指定身份文件；
-l：	login_name，指定连接远程服务器登录用户名；
-p：	port，指定连接到远端的端口号
-N：	不执行远程指令；
-o：	指定配置选项options
-q：	静默模式；
-X：	开启X11转发功能；
-y：	开启信任X11转发功能
-K：	启用基于GSSAPI的身份验证&GSSAPI凭据转发（委派）到服务器
-k：	禁止启用基于GSSAPI的身份验证&GSSAPI凭据转发（委派）到服务器

相关的命令
ssh-keygen 用于生成密钥对
ssh-copy-id 用于复制公钥到服务器
复制公钥也可以使用：ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub

相关的文件
~/.ssh/authorized_keys 用于保存用户的公钥文件
~/.ssh/known_hosts文件 保存的服务器用于辨别服务器的唯一散列码
~/.ssh/id_dsa 用户的私钥文件
~/.ssh/id_rsa.pub 默认生成的用户的公钥文件，用于将该公钥追加到需要登录的服务器authorized_keys文件
/etc/ssh/ssh_config 客户端ssh配置
/etc/ssh/sshd_config 服务端ssh配置

ansible通过跳板机管理另一个网络下的主机集群

ssh端口映射例子

因为公司的网络比较深所以经常需要跳转多次。所以这次做个记录

需求: 需要从your host跳到client中间隔了两层跳板机。

如果单纯用代理方法只能跳一层，所以如果用端口映射+代理方式就可以跳两层了

映射命令

ssh -g -f -NL 127.0.0.1:44010:172.16.3.14:22 -p 3391 jump_host1_username@222.222.222.222

意思就是将172.16.3.14的22端口映射到127.0.0.1的44010端口,222.222.222.222是中间的代理机，3391是222.222.222.222的ssh端口。

映射完成之后。执行

ssh -p 44010 jump_host2_username@127.0.0.1

就可以直接跳转到jump_host2上

ssh走代理方法

第一种:

ssh -o ProxyCommand="ssh -W %h:%p -p 3391 -q jump_host1_username@222.222.222.222" jump_host2_username@172.16.3.14

第二种:

需要在你当前用户目录下的.ssh目录下建一个config文件

Host 192.122.150.*
    Port 22
    User anyone
    ProxyCommand ssh -p 3391 jump_host1_username@222.222.222.222 -W %h:%p

意思就是当你在当前这个用户进行ssh连接时凡是匹配到192.122.150的ip都会使用222.222.222.222的3391端口作代理.

ansible使用代理的方法

当你用playbook时可以直接写在hosts文件做全局变量

[web]
172.16.3.14 ansible_ssh_user=aaaa
[web:vars]
ansible_ssh_common_args='-o ProxyCommand="ssh -W %h:%p -p 3391 -q jump_host1_username@222.222.222.222"'

如果你想直接附加在命令行中，那么可以这么写

--ssh-common-args='-o ProxyCommand="ssh -W %h:%p -p 3391 -q jump_host2_username@222.222.222.222"'

如果你想调用ansible api走代理，那么可以这么写

    Options = namedtuple('Options',
                     ['connection',
                      'remote_user',
                      'ask_sudo_pass',
                      'verbosity',
                      'ack_pass',
                      'module_path',
                      'forks',
                      'become',
                      'become_method',
                      'become_user',
                      'ssh_common_args',
                      'check',
                      'listhosts',
                      'listtasks',
                      'listtags',
                      'syntax',
                      'sudo_user',
                      'sudo',
                      'diff'])
    options = Options(connection='smart',
                       remote_user=None,
                       ack_pass=None,
                       sudo_user=None,
                       forks=5,
                       sudo=None,
                       ask_sudo_pass=False,
                       verbosity=5,
                       module_path=None,
                       become=None,
                       become_method=None,
                       become_user=None,
                       ssh_common_args=sshCommonArgs,
                       check=False,
                       diff=False,
                       listhosts=None,
                       listtasks=None,
                       listtags=None,
                       syntax=None)

你需要把参数传给sshCommonArgs,例如

ssh_common_args='-o ProxyCommand="ssh -W %h:%p -p 3391 jump_host1_username@222.222.222.222"'

ansible tower设置

1. 使用这种跳转方式，必须将settings->JOBS->ENABLE JOB ISOLATION设置为OFF状态
2. 在Credentials中添加访问的私钥
3. Inventories中添加Jumper server Host
4. Inventories中添加要访问的Host，并添加ssh访问参数

ansible_ssh_common_args: '-o ProxyCommand="ssh -W %h:%p -p 22 -q 100.129.71.4'

1. 通过这些设置后，ansible就可以像访问普通主机一样访问目的Host了。

说明：

• 如果私钥各不一样，可以通过HOST的参数设置，其中key放在ansible tower部署机器的某个目录下。

ansible_ssh_private_key_file: key
ansible_ssh_common_args: '-o ProxyCommand="ssh -W %h:%p -p 22 -q 100.129.71.4'

• ansible tower还有一种方式：Isolated Nodes，它的方式与zabbix proxy的方式有点像

跳板机登录详解

很多时候线上服务器的权限管理是通过跳板机来控制的，比如服务器a,b,c你不能直接连接，而是通过先登录跳板机再去连接。如果你现在想在本地连接服务器，有如下方案：

1. 在本地使用动态转发，如ssh -D 1080 user@host主机和用户使用的是跳板机，在xshell中新建连接时使用1080作为代理，此时你可以将这个连接认为是跳板机在连，比如你在连接中填写localhost，这个localhost到时就是跳板机
2. 在本地使用本地转发，如ssh -L 2222:hosta:22 tiaobanHost，这时候我们就可以使用localhost和2222端口在连接服务器a，不需要配置代理
3. 远程转发一般不用，因为服务器不能访问公司的局域网

上面的方法虽然可以实现登录后端服务器，但是两部操作还是有些不便，可以使用更方便的ProxyCommand。

该方法也有两种形式：

1. ssh -o ProxyCommand="ssh user@jumpHost -W %h:%p" serverHost
2. ssh -o ProxyCommand="nc -x jumpHost:jumpPort %h:%p" serverHost

这个命令如果经常使用可以将ProxyCommand写入到ssh的配置文件中

经验：有时候需要加上一个避免校验的参数项StrictHostKeyChecking=no，例如：

ssh -o ProxyCommand="ssh luolan.vagnl@10.224.7.228 -W %h:%p" tiger@10.229.0.76  -o StrictHostKeyChecking=no

现在有三个机器

1. 客户机: 192.168.199.3
2. 跳板机：192.168.199.6
3. 目标机：192.168.199.5

---

第一种执行：ssh -o ProxyCommand="ssh 192.168.199.6 -W %h:%p" 192.168.199.5

注意这个-W是在新版中才加入，openssh 5.4之后才支持，相当于简化版的nc

客户机进程：

chen      50607  50529  0 17:52 pts/0    00:00:00 ssh -o ProxyCommand=ssh 192.168.199.6 -W %h:%p 192.168.199.5
chen      50608  50607  0 17:52 pts/0    00:00:00 ssh 192.168.199.6 -W 192.168.199.5:22

客户机显示的连接：

tcp        0      0 192.168.199.3:34306     192.168.199.6:22        ESTABLISHED 50608/ssh

跳板机显示的连接：

tcp        0      0 192.168.199.6:36932     192.168.199.5:22        ESTABLISHED -                   
tcp        0      0 192.168.199.6:22        192.168.199.3:34306     ESTABLISHED - 

目标机显示的连接：

tcp        0      0 192.168.199.5:22        192.168.199.6:36932     ESTABLISHED - 

从上面的结果可以看到，跳板机和两头各建立了一个连接，另外客户机是50608进程占用了这个连接

---

第二种执行：ssh -o ProxyCommand="ssh 192.168.199.6 nc %h %p" 192.168.199.5

这种方式和方面的一样，显示的连接也都一致。

---

最后说说一种nc

注意这种方式需要有个sock5代理，所以跳板机先开启代理：ssh -D 4000 192.168.199.5 -Nfg
nc支持多种代理，包活scok4，sock5和http，这种方式和上面的两种完全不同。有一点很奇怪如果跳板机没开sock5代理也没有任何报错信息，ssh并没有
并没有使用代理而是直接连接目标服务器
ssh -o ProxyCommand="nc -x 192.168.199.6:4000 %h %p" 192.168.199.5

办公网和线上环境隔离问题的解决办法

方案1： 采用vpn, 开启full模式，即可通过vpn来访问线上。

方案2：目前devbox有22端口和线上相通。可以通过devbox配置端口ssh转发来将本地请求由devbox转到线上服务器对应端口

ssh -L devbox_ip:port:ip/127.0.0.1:port username@nss_ip
在devbox上执行这个命令，这样你在办公网本地访问localip:port 就等于访问ip/127.0.0.1:port
如：ssh -N -T -L 0.0.0.0:1935:127.0.0.1:1935 tiger@10.229.0.90
0.0.0.0:1935代表开发机将任何请求1935端口的都转到10.229.0.90上的1935

方案3：在跳板机上搭建一个nginx代理，能够实现rtmp和http服务的转发。

方案4：申请一个域名，灵活配置其解析规则，将要访问的ip配置为域名，这样可以通过tlb打穿隔离环境隔离。