自动登录 ssh工具 sshpass
一般用在sh脚本中,无须再次输入密码(本机known_hosts文件中有的主机才能生效)。它允许你用 -p 参数指定明文密码,然后直接登录远程服务器,它支持密码从命令行、文件、环境变量中读取。
yum install sshpass
常用:
-p 明文
# sshpass -p 123456 ssh 10.0.0.161 hostname -I
-f 文件中读取密码
# sshpass -f pwd.txt ssh 10.0.0.161 hostname -I
-e 环境变量读取
# export SSHPASS=123456
# sshpass -e ssh 10.0.0.161 hostname -I
ssh登录验证方式 :用户/口令的方式验证和基于密钥的
一:1. 客户端发起ssh请求,服务器会把自己的公钥发送给用户
2. 用户会根据服务器发来的公钥对密码进行加密
3. 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
二
1. 首先在客户端生成一对密钥(ssh-keygen)
2. 并将客户端的公钥ssh-copy-id 拷贝到服务端
3. 当客户端再次发送一个连接请求,包括ip、用户名
4. 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生
成一个字符串,例如:magedu
5. 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6. 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7. 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
实现基于密钥的登录方式
在客户端生成密钥对 ssh-keygen -t rsa [-P 'password'] [-f “~/.ssh/id_rsa"]
查看:#ls .ssh/
创建 #ssh-keygen
把公钥传输至远程服务器对应用户的家目录 ssh-copy-id [-i [identity_file]] [user@]host
查看目标机
#ll .ssh/
#将本机公钥上传给远程主机
# ssh-copy-id root@10.0.0.161
#再次查看目标主机,
测试免密码登录# ssh root@10.0.0.161
********:EG:{实际上是多个主机有共同的文件(公钥 id_rsa id_rsa.pub)}
多机互相打通
#ls .ssh/
# ssh-keygen
# ls .ssh/
{id_rsa id_rsa.pub}
将公钥复制到本机
#ssh-copy-id 127.1
查看# ls .ssh/
将ssh目录下整体复制到其他主机,表示多机公用密钥对
#rsync -a .ssh 10.0.0.157:/root/
#rsync -a .ssh 10.0.0.154:/root/
windows客户端工具 xshell 也可以配置公钥远程连接
ssh服务器配置
# cat /etc/ssh/sshd_config(修改)
eg:
#10s如果没有互动,则断开链接,永久生效可以写配置文件,例如可以写在 /etc/profile 里
# export TMOUT=10
关闭dns解析选项,加快连接速度
# vim /etc/ssh/sshd_config
UseDNS no
GSSAPIAuthentication no
# systemctl restart sshd
在ubuntu 上开启root远程登录
vim /etc/ssh/sshd_config
#PermitRootLogin prohibit-password
总结:
ssh 服务的最佳实践
1. 建议使用非默认端口
2. 禁止使用protocol version 1
3. 限制可登录用户
4. 设定空闲会话超时时长
5. 利用防火墙设置ssh访问策略
6. 仅监听特定的IP地址
7. 基于口令认证时,使用强密码策略,比如:tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12|
xargs
8. 使用基于密钥的认证
9. 禁止使用空密码
10. 禁止root用户直接登录
11. 限制ssh的访问频度和并发在线数
12. 经常分析日
谢谢观看