ssh-key企业批量分发自动化管理案例.docx
- 文档编号:6242
- 上传时间:2022-09-30
- 格式:DOCX
- 页数:7
- 大小:145.76KB
ssh-key企业批量分发自动化管理案例.docx
《ssh-key企业批量分发自动化管理案例.docx》由会员分享,可在线阅读,更多相关《ssh-key企业批量分发自动化管理案例.docx(7页珍藏版)》请在冰豆网上搜索。
SSH服务企业级生产场景
基于密钥的安全验证
基于密钥的安全验证方式是指,需要依靠密钥,也就是必须事先建立一对密钥对,然后把公用密钥放在需要访问的目标服务器上,另外,还需要把私有密钥放到ssh的客户端或对应的客户端服务器上。
SSH之所以能够保证安全,原因在于它采用了公钥加密。
整个ssh密码登录过程是这样的。
1)用户向远程主机发登录请求:
sshuser@远程主机。
2)远程主机收到用户的登录请求,把自己的公钥发给用户。
2)用户使用这个公钥,将登录密码加密后,发送回远程主机。
3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
批量分发数据(一把钥匙开多把锁)
部署环境:
[root@jianghao01~]#cat/etc/redhat-release
CentOSrelease6.5(Final)
[root@jianghao01~]#uname-a
Linuxjianghao012.6.32-431.el6.x86_64#1SMPFriNov2203:
15:
09UTC2013x86_64x86_64x86_64GNU/Linux
主机网络参数设置:
主机名
网卡eth0
默认网关
用途
Jianghao01
192.168.1.188
192.168.1.254
中心分发服务器
Jianghao02
192.168.1.189
192.168.1.254
接收节点服务器
Jainghao03
192.168.1.190
192.168.1.254
接收节点服务器
需求分析
具体需求
要求所有服务器在同一个用户jianghao系统用户下,实现jianghao01机器分发数据到jianghao02,jianghao03机器上,在分发过程中不需要B、C的提示系统密码验证,除了分发还需要可以批量查看客户机上的CPU、LOAD、MEM,系统版本等使用信息。
即实现从jianghao01服务器发布数据到jianghao02、jianghao03客户端服务器或查看信息的免密码登录验证解决方案分发数据流方式如下
Jianghao01------------->jianghao02
Jianghao01------------->jianghao03
实现拓扑
添加系统用户账号
添加jianghao用户
1#!
/bin/sh
2useraddjh
3echo"123456"|passwd--stdinjh
[root@jianghao01sh]#shuseradd.sh
Changingpasswordforuserjh.
passwd:
allauthenticationtokensupdatedsuccessfully.
开始部署
因为jianghao01服务器为中心分发服务器,所以我们选择在jianghao01端建立publickey(锁)与Privatekey(钥匙),实际上只需要有一对秘钥就可以了,在哪个机器上建立都是一样的。
1、sshkey简介
特别提示:
在整个方案实现中,公钥(publickey)和私钥(privatekey)仅需要建立一对即可,可以在A、B、C任意机器上来执行,本文选择在A服务器来生成密钥对。
ssh-kengen-tdsa中的-t参数指建立密钥的类型,这里指建立的dsa类型,也可以执行 ssh-kengen-trsa建立的是rsa类型
2、rsa和dsa区别:
rsa:
是一种加密算法,是由RonRivest、AdiShamir和LeonardAdleman这三个人的名字的第一个字母连接起来的。
dsa:
就是数字签名算法的英文全称的简写,即DigitalSignatureAlgorithm
rsa既可以进行加密,也可以进行数字签名实现认证,而dsa只能用于数字签名从而实现认证。
-ttype
指定要创建的密钥类型,可以使用"rsa1"(SSH-1)"rsa"(SSH-2)"dsa"(SSH-2)
~/.ssh/identity
该用户默认的RSA身份认证私钥,此文件的权限应当至少限制为"600"
~/.ssh/identity.pub该用户默认RSA身份认证公钥。
此文件无需保密。
此文件的内容应该添加到所有RSA的目标主机~/.ssh/authorized_keys文件中
3、ssh-copy-id的特殊应用
如果ssh修改了特殊端口,如5297,那么,在用ssh-copy-id命令时,需要指定端口,操作命令如下:
ssh-copy-idid_dsa.pub "-p5297jianghao@192.168.1.189" #-->特殊端口分发,要加引号。
4、ssh-copy-id的原理
就是把.ssh/id_dsa.pub复制到10.0.0.8下面.ssh目录(提前创建权限700)下,并做了更改名字的操作,名字改为authorized_keys,权限为600
实施步骤
生成一对秘钥
[jianghao@jianghao01home]$ssh-keygen-tdsa
Generatingpublic/privatedsakeypair.
Enterfileinwhichtosavethekey(/home/jianghao/.ssh/id_dsa):
Createddirectory'/home/jianghao/.ssh'.
Enterpassphrase(emptyfornopassphrase):
Entersamepassphraseagain:
Youridentificationhasbeensavedin/home/jianghao/.ssh/id_dsa.
Yourpublickeyhasbeensavedin/home/jianghao/.ssh/id_dsa.pub.
Thekeyfingerprintis:
75:
3d:
c9:
62:
4f:
24:
e2:
8a:
8a:
35:
7c:
6f:
e8:
5e:
eb:
58jianghao@jianghao01
Thekey'srandomartimageis:
+--[DSA1024]----+
|...|
|..=.|
|o+*|
|..oo+.|
|+oS.|
|o+o|
|...E|
|.=.|
|.+.o|
+-----------------+
分发秘钥方法1就是把ssh/id_dsa.pub复制到客户端的ssh目录下更改名字为authorized_keys。
权限为600
[jianghao@jianghao01~]$ssh-copy-id-i.ssh/id_dsa.pub"-p5297jianghao@192.168.1.189"
Theauthenticityofhost'[192.168.1.189]:
5297([192.168.1.189]:
5297)'can'tbeestablished.
RSAkeyfingerprintis4a:
a0:
2d:
9a:
5d:
24:
1a:
cd:
5a:
53:
00:
80:
3e:
09:
f7:
5a.
Areyousureyouwanttocontinueconnecting(yes/no)?
yes
Warning:
Permanentlyadded'[192.168.1.189]:
5297'(RSA)tothelistofknownhosts.
jianghao@192.168.1.189'spassword:
Nowtryloggingintothemachine,with"ssh'-p5297jianghao@192.168.1.189'",andcheckin:
.ssh/authorized_keys
tomakesurewehaven'taddedextrakeysthatyouweren'texpecting.
分发秘钥方法2
修改ssh-copy-id的内容里面的第41行。
添加端口号内容。
[jianghao@jianghao01~]$sudovi/usr/bin/ssh-copy-id
[jianghao@jianghao01~]$ssh-copy-id-i.ssh/id_dsa.pubjianghao@192.168.1.189
Nowtryloggingintothemachine,with"ssh'jianghao@192.168.1.189'",andcheckin:
.ssh/authorized_keys
tomakesurewehaven'taddedextrakeysthatyouweren'texpecting.
[jianghao@jianghao01~]$ssh-copy-id-i.ssh/id_dsa.pubjianghao@192.168.1.190
Theauthenticityofhost'[192.168.1.190]:
5297([192.168.1.190]:
5297)'can'tbeestablished.
RSAkeyfingerprintis4a:
a0:
2d:
9a:
5d:
24:
1a:
cd:
5a:
53:
00:
80:
3e:
09:
f7:
5a.
Areyousureyouwanttocontinueconnecting(yes/no)?
yes
Warning:
Permanentlyadded'[192.168.1.190]:
5297'(RSA)tothelistofknownhosts.
jianghao@192.168.1.190'spassword:
Nowtryloggingintothemachine,with"ssh'jianghao@192.168.1.190'",andcheckin:
.ssh/authorized_keys
tomakesurewehaven'taddedextrakeysthatyouweren'texpecting.
批量分发文件到所有服务:
编写脚本文件
[jianghao@jianghao01~]$shfenfa.sh/etc/hosts~
hosts100%2460.2KB/s00:
00
hosts100%2460.2KB/s
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ssh key 企业 批量 分发 自动化 管理 案例