linux day18

第十八天

远程管理服务
ssh服务 也是 C/S模式

客户端工具：
finalshell 原本给java用的，所以会占用资源，是开源免费的
xshell
mobaxterm
windterm
......

客户端命令（用自己的window连接到服务器）
ssh user@IP或这域名
ssh root@192.168.142.143

安装软件：
openssh-server 提供服务 ssh
openssh-clients 客户端 ssh 10.0.11.11
openssh

[root@qfedu.com ~]# yum install openssh* -y

ssh 端口22（ssh的端口可以自己设定）
ssh的配置文件：
cd /etc/ssh :
ssh_config 客户端的配置文件
sshd_config 服务器的配置文件
服务器端：
启动服务：
[root@qfedu.com ~]# systemctl start sshd

查看：
[root@qfedu.com ~]# lsof -i:22
[root@qfedu.com ~]# ss -auntpl | grep ssh

直接执行远程命令：
[root@qfedu.com ~]# ssh 10.18.44.208 "reboot"

远程登陆管理：(登陆到其他服务器)
[root@qfedu.com ~]# ssh -X tom@10.18.44.208 -p 2222
[root@qfedu.com ~]# ssh 10.18.44.208
如登陆果账户没有密码，默认不能
ssh xingdian@192.168.142.143 登陆到这个服务器下xingdian这个账户
ssh -p 修改过的ssh的端口号（前提是）（更改端口号是为了服务器的安全性）
在/etc/ssh/sshd_config里可以修改端口号
当服务器的端口号发生了改变，就需要用到ssh -p来指定端口号
ssh -X 可以打开登陆的服务器中的图形化应用，例如打开浏览器的页面

无密码登陆(ssh密钥认证)
密钥存放在隐藏目录 /root/.ssh/
id_rsa 是私钥
id_rsa.pub 是公钥
client:
产生公钥和私钥：如果要免密连接谁，就把自己产生的密钥发送给谁
如果服务器不想让谁免密登陆，就把他发送的免密文件删除
[root@qfedu.com ~]# ssh-keygen //一路回车
拷贝公钥给对方：
[root@qfedu.com ~]# ssh-copy-id -i 10.18.44.208
ssh-copy-id 192.168.142.143 cp给这个IP


远程拷贝：（scp）
（如果文件过大，可以打包压缩(tar cf 打包到什么地方 要打包的文件) 再发送过去 ）
需要先安装客户端
[root@qfedu.com ~]# cp 源文件 目标路径

谁是远程谁加IP
[root@qfedu.com ~]# scp /a.txt 192.168.2.108:/
[root@qfedu.com ~]# scp 192.168.2.108:/a.txt ./
-P端口（如果对方修改了端口）
拷贝目录加-r选项

远程拷贝给别人：
scp ./xiaolu 192.168.142.143:/mnt 拷贝当前目录下的xiaolu到对方mnt文件下
scp 拷贝文件
scp -r 拷贝目录（最简单的就是全加r，r文件和目录都能拷贝）


假设要远程拿对方的文件：
scp -r 192.168.142.143:/mnt/xiaolu ./ 拷贝这个IP下的/mnt/xiaolu 拷贝到当前目录下

修改端口号(stream 9 默认拒绝root用户远程连接)
[root@qfedu.com ~]# vim /etc/ssh/sshd_config
配置文件：（用来加固服务器）

Port 22
ListenAddress 192.168.2.8
PermitRootLogin yes （yes就是允许使用root账户远程登陆，no就是拒绝）
MaxSessions 10 最大并发量（能有几个会话）
MaxAuthTries 6 认证的最大尝试次数
PermitEmptyPasswords no
AuthorizedKeysFile 指定用来存放对方公钥的文件
PasswordAuthentication yes 是否使用密码进行验证 默认是yes
X11Forwarding yes 是否支持用图形化打开 默认是yes


指纹不匹配时：
删除这个文件，或者删除这个文件下的内容（会有指定）
/root/.ssh/known_hosts

[root@xingdian ~]# rm ~/.ssh/known_hosts //删除已建立过连接主机的密钥




配置文件：/etc/ssh/
.ssh(隐藏目录，在当前用户的家目录下，如/root，普通用户生产密钥时才会产生对应普通用户的密钥)




JumpServer
jumpserver俗称跳板机（堡垒机），为了保障服务器安全，所有ssh连接都要通过堡垒机来完成，堡垒机也需要有身份认证，授权，访问控制，审计等功能。

原理：每个用户一个密码，把密码加密放到了数据库中，当用户输入IP 从跳板机登陆服务器的时候，跳板机系统取出密码，并解密，通过pexpect 模块将密码发送过去，来完成登录。

什么是堡垒机：
堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，
登录功能
支持对linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全。



JumpServer的部署：
环境准备：
干净虚拟机 2cpu 4G
关闭防火墙和selinux
保证网络畅通
保证yum仓库可用

上传jumpserver所有的内容


创建目录 jumpserver
tar xf jumpserver.tar.gz -C jumpserver

依次执行三个脚本，1 2 3

bash 1_docker-install.sh && bash 2_image-load.sh && bash 3_install.sh


云服务器：
上传所有4个文件，执行1 和 3 两个脚本

y/n 一路回车


bash 命令1 && bash 命令2 &&命令3 （这样可以依次执行三个命令）