ssh练习

根据要求完成部署

根据如下要求，完成部署过程

1.恢复7、8、9、31、41所有机器的快照

7 8 9     web服务  nginx
​
172.16.1.xx
​
​
nfs-31  提供共享文件存储
​
​
rsync-41 提供数据备份的机器

2.在61机器，远程一键脚本化，部署这5台机器

master-61机器远程的，操作目标机器，让它安装好对应的服务
​
web-7
1.安装软件
​
2.修改配置文件
​
3.启动服务
​
4.挂载nfs
​
​
​
根据服务相关性，需要有先后的部署关系
rsync-41
1.安装软件
​
2.修改配置文件
​
3.创建rsync对应的数据目录，配置文件，授权
​
4.启动服务
​
​
​
​
nfs-31   +  lrsync实时同步
1.安装软件
​
2.修改配置文件
​
3.创建nfs相关的数据目录，授权
​
3.启动服务
​
4.安装lsync
​
5.修改lsync配置文件
​
6.启动服务
​

3.检查整体应用可用性

1.从nginx作为入口，nginx默认的网页根目录
/usr/share/nginx/html 写入数据
​
2.同步到nfs机器上
​
​
3.同步到rsync机器上
​

学习方法建议

1.理解部署架构

2.手敲部署过程，别复制粘贴，(1.复制粘贴可能会出现各种语法错误)

否则你永远搞不清其中每一个命令的语法，可能遇见的坑。

阶段1：手工部署

备份项目综合架构要求

把你要部署的1,2,3,45流程，捋清楚了，脚本自然也就出来了

完成需求思路

1.确认连接方式
2.连接后开始部署
​

Master-61建议登录的别名

alias sshweb7='ssh root@172.16.1.7 -p 22999'
alias sshweb8='ssh root@172.16.1.8 -p 22999'
alias sshweb9='ssh root@172.16.1.9 -p 22999'
alias sshnfs31='ssh root@172.16.1.31 -p 22999'
alias sshrsync41='ssh root@172.16.1.41 -p 22999'
​
​
写入/etc/profile
​

windows部分

让windows可以免密登录master-61机器
​
1. windows创建公私钥，默认会存放在什么路径下
~/.ssh/id_rsa
~/.ssh/id_rsa.pub
​
ssh-keygen 去哪执行
在windows中下载一个支持使用linux命令的工具
git-bash工具
​
yu@DESKTOP-1TDLFH9 MINGW64 ~/.ssh
$ ls
id_rsa  id_rsa.pub
known_hosts(存放目标机器的指纹公钥，意义在于？当你下次连接该目标机器的时候，就无序再确认机器的指纹了)
​
生成公私钥对儿
ssh-keygen -t rsa
yu@DESKTOP-1TDLFH9 MINGW64 ~/.ssh
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/c/Users/yu/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /c/Users/yu/.ssh/id_rsa
Your public key has been saved in /c/Users/yu/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:UIRiwabE0gzUJhD04WzJqA6AmXqNSntfFvxJa+QHKAk yu@DESKTOP-1TDLFH9
The key's randomart image is:
+---[RSA 3072]----+
|BO.o.. oo        |
|o+@oB ..         |
|=+oE ..          |
|+ oo. o..        |
|+.o .o +S+       |
|+o.   . * +      |
|.o .   o * .     |
|  . . o . .      |
|     .           |
+----[SHA256]-----+
​
​
​
发送windows的公钥，给需要免密登录的机器上，目标机器 git-bash执行
​
ssh-copy-id （这个命令，等于把本地的公钥，写入到目标机器的~/.ssh/）
​
​
yu@DESKTOP-1TDLFH9 MINGW64 ~/.ssh
$ ssh-copy-id  root@10.0.0.61
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/c/Users/yu/.ssh/id_rsa.pub"
The authenticity of host '10.0.0.61 (10.0.0.61)' can't be established.
ECDSA key fingerprint is SHA256:Csqwr63+SZRFFOug/IGoFTgRe8hDSI/QalSMBcC6IaU.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@10.0.0.61's password:
​
Number of key(s) added: 1
​
Now try logging into the machine, with:   "ssh 'root@10.0.0.61'"
and check to make sure that only the key(s) you wanted were added.
​
​
​
分别检查，客户端，服务端的，密钥文件信息
​
windows客户端的，目标机器的公钥
yu@DESKTOP-1TDLFH9 MINGW64 ~/.ssh
$ cat known_hosts
10.0.0.61 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBL/Sx3bAaNcKqo7pC4FTYk3gyZ6hd1D/DKUWVfOd4gZb/8XwlAxWauceHe/BAsW5Z8pEmG6AjSyHM8ckOs94c7Y=
​
​
linux服务端，可以看到windows机器的，公钥信息
​
[root@master-61 ~]#cat ~/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCyHEvexmoo7E/dkKjYg66uwo4i2q+dEdZ7nP+eTx4xmY6xUMohsK/LjE5ZuNN8GNPLD92fMGczX3Pz+tFkb4ujVb6yJkqVDVv5P48bZoC+10gYXAjX+mopa058iTKwkS9kcis5Geuomb7aReLnvnoP1q6qYe2rqhYQzLoB9xdjvrWeJ8ay/Z3ON4FR/a5Py2azPFPihIMKuTQasivHyq6BWImD44tLCgZaYrJRKLRge39aFAufxt2nIeeaZIsr55BZavAPzyLqpPez446geMZvEh1wgIZc0+ULSDy55gNXV9m12nBCVEHDUkn7IID9gw7zfMCq2s2eetPldDJnlVQpT2eFtn7nhCbkc0mxn+qCxEgSGQLDmUxnplN9kCBxsQfo5rT35guViMy1emw6dk26tX/sszyW9dFPYENNF0GfZBRw2Haj0zNNH5hoPrh+SLqY6d//fptHBrbgikVN474ewXmNeLThm0sl6BYrw/tUskV+CWW2+emNT49hcGPk4js= yu@DESKTOP-1TDLFH9
​
这个信息就和windows的 id_rsa.pub
​
yu@DESKTOP-1TDLFH9 MINGW64 ~/.ssh
$ cat ~/.ssh/id_rsa.pub
ssh-rsa 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 yu@DESKTOP-1TDLFH9
​
​
​
 

master-61管理机

1.修改ssh端口为22999
2.关闭用户名密码登录
3.开启通过公私钥登录

被管理机

1.修改ssh端口为22999
2.关闭用户名密码登录
3.开启通过公私钥登录
4.指定监听内网地址，172.16.1.xx
​

要求部署效果

1.master-61机器只能通过公私钥登录，禁止用户密码连接
2.所有主机的ssh端口全都是22999
3.被管理的机器只能通过内网、且使用公私钥连接。

阶段2：脚本部署ssh

阶段1的ssh环境部署，是手动操作；

现在需要实现脚本一键部署；

1.管理机自动创建公私钥
2.管理机自动分发公钥到备管理机
3.远程修改被管理机的ssh连接端口为22999，监听地址是172.16.1.xx
4.远程修改被管理机不允许密码登录，只能是密钥登录
5.修改完毕后，验证是否生效，远程查看所有被管理主机的主机名

参考写法

• 思路不唯一

• 可优化还很多

• 脚本是一个工艺品，不断打磨，不断完善

批量修改配置文件

友情提醒

• 客户端机器需要安装sshpass命令

• 这个sshpass命令只存在master-61机器上即可
  ​
  实现了公钥面交互分发的命令如下
  在master-61机器上执行 
  ssh-copy-id命令，分发公钥，但是默认需要输入远程机器的密码
  使用 sshpass即可面交互输入密码
  以及面指纹确认的参数 -o StrictHostKeyChecking=no
  ​
  sshpass -p '123123' ssh-copy-id 172.16.1.${ip} -o StrictHostKeyChecking=no > /tmp/create_ssh.log 2>&1
  ​
  ​

• 客户端机器是否允许公钥登录

• 检查目标机器是否允许了公钥登录，一般情况下默认允许的
  ​
  ​

• 目标机器的sshd配置文件是初始化的

​

#1.管理机自动创建公私钥
echo "正在创建公私钥..."
if [ -f /root/.ssh/id_rsa ]
then
  echo "密钥对已经存在,请检查！"
else
  ssh-keygen -f /root/.ssh/id_rsa -N '' > /tmp/create_ssh.log 2>&1
fi
​
echo '====================分割线=============================='
#2.管理机自动分发公钥到备管理机
echo "正在分发公钥中...分发的机器列表是{7,8,31,41}"
for ip in {7,8,9,31,41}
do
  sshpass -p '123123' ssh-copy-id 172.16.1.${ip} -o StrictHostKeyChecking=no > /tmp/create_ssh.log 2>&1
  echo "正在验证免密登录结果中...."
  echo "远程获取到主机名: $(ssh 172.16.1.${ip} hostname)"
done
echo '====================分割线=============================='
​
#3.远程修改被管理机的ssh连接端口为22999，监听地址是172.16.1.xx
for ip in {7,8,9,31,41}
do
    echo "修改172.16.1.${ip}的ssh端口中..."
    ssh root@172.16.1.${ip} "sed -i '/Port 22/c Port 22999' /etc/ssh/sshd_config"
done
​
​
​
echo '====================分割线=============================='
​
#4.远程修改被管理机不允许密码登录，只能是密钥登录
for ip in {7,8,9,31,41}
do
    echo "禁止密码登录参数修改中...当前操作的机器是172.16.1.${ip}"
    ssh root@172.16.1.${ip} "sed -i '/^PasswordAuthentication/c PasswordAuthentication no' /etc/ssh/sshd_config"
    echo "允许公钥登录参数修改中...当前操作的机器是172.16.1.${ip}"
    ssh root@172.16.1.${ip}  "sed -i  '/PubkeyAuthentication/c PubkeyAuthentication yes'  /etc/ssh/sshd_config"
done
echo '====================分割线=============================='
# 5.修改监听内网地址
for ip in {7,8,9,31,41}
do
    echo "修改监听地址中...当前操作的机器是172.16.1.${ip}"
    ssh root@172.16.1.${ip} "sed -i '/ListenAddress 0.0.0.0/c ListenAddress 172.16.1.${ip}' /etc/ssh/sshd_config"
done
​
echo '====================分割线=============================='
​
# 6.批量验证ssh修改情况
for ip in {7,8,9,31,41}
do
    echo "当前查看的机器是172.16.1.${ip}"
    ssh root@172.16.1.${ip} "grep -E '^(Port|PasswordAuthentication|PubkeyAuthentication|ListenAddress)' /etc/ssh/sshd_config"
done
​
echo '====================脚本执行完毕=============================='

当前完成到了这个里

master-61可以免密操作  
7 8 9 31 41这几个机器了
​

还缺少远程的批量重启sshd服务，让sshd_config配置生效

批量重启ssh服务验证结果

创建验证脚本如下
​
​

1.批量重启sshd服务

重启服务，单独拆分为了一个脚本，作用就是重启服务

for ip in {7,8,9,31,41}
do
    echo "重启sshd服务中，当前操作的机器是172.16.1.${ip}"
    ssh root@172.16.1.${ip} "systemctl restart sshd"
    echo "==========================================="
done

重启完毕了服务，验证下修改的结果是否正确，远程查看配置文件信息

2.远程查看主机信息

这个脚本，作用就是远程查看主机的配置文件信息

[root@master-61 ~]#cat show_config.sh
for ip in {7,8,9,31,41}
do
    echo "远程获取主机名中，当前操作的机器是172.16.1.${ip}"
    ssh -p 22999 root@172.16.1.${ip}  "hostname"
    echo "远程获取主机sshd配置信息，当前操作的机器是172.16.1.${ip}"
    ssh -p 22999 root@172.16.1.${ip} "grep -E '^(Port|PasswordAuthentication|PubkeyAuthentication|ListenAddress)' /etc/ssh/sshd_config"
    echo "远程查看sshd端口情况，当前操作的机器是172.16.1.${ip}"
    ssh -p 22999 root@172.16.1.${ip}  "netstat -tunlp|grep sshd|grep -v grep"
    echo "========================分割线============================="
done

​

此时还剩下master-61机器未修改了

web-7
web-8
web-9
​
nfs-31
rsync-41
​
全部完成了 sshd的配置文件修改，修改了
端口
监听地址
禁止密码登录
允许公钥登录
​
​
​
下一步就是该master-61机器的安全性，
禁止密码登录
允许公钥登录即可
​
​
​

此时，master-61，以及所有的目标机器以及全部配置好了ssh环境，可以进行服务安装 了

吧你以前部署操作，整理为一个健康的脚本，执行即可

阶段3：远程一键安装综合备份架构

• 上述的阶段2，一键搭建好了sshd的安全连接环境

• 只要编写一键安装服务的脚本即可

• 注意服务的启动顺序

rsync服务

根据刚才的画图理解流程，判断出先部署rsync服务

# 1.安装
yum install rsync -y
​
# 2.配置文件
cat > /etc/rsyncd.conf << 'EOF'
uid = www
gid = www
port = 873
fake super = yes
use chroot = no
max connections = 200
timeout = 600
ignore errors
read only = false
list = false
auth users = rsync_backup
secrets file = /etc/rsync.passwd
log file = /var/log/rsyncd.log
#####################################
[backup]
comment = yuchaoit.cn about rsync
path = /backup
EOF
​
# 3.创建用户
groupadd www -g 666
useradd www -g 666 -u 666 -M -s /sbin/nologin
​
# 4.创建目录,授权
mkdir -p /backup
chown -R www.www /backup
​
# 5.创建密码文件，授权
echo 'rsync_backup:yuchao666' > /etc/rsync.passwd
chmod 600 /etc/rsync.passwd
​
# 6.启动服务
systemctl start rsyncd
systemctl enable rsyncd
​
# 7.检查服务
netstat -tunlp|grep rsync

远程拷贝、远程安装

[root@master-61 ~]#scp -P 22999 install_rsync.sh root@172.16.1.41:/opt/
[root@master-61 ~]#ssh -p 22999 root@172.16.1.41 "bash /opt/install_rsync.sh"

​
​
远程检查rsync部署操作

[root@master-61 /0224_scripts]#sshrsync41   "cat /etc/rsync.passwd;ls -ld /backup;id www"
rsync_backup:yuchao666
drwxr-xr-x 2 www www 6 Apr 28 10:39 /backup
uid=666(www) gid=666(www) groups=666(www)

nfs服务(nfs-31)

# 0. yum源阿里云yum配置
​
​
# 1.安装服务
yum install nfs-utils rpcbind -y
​
# 2.创建nfs限定的用户、组
groupadd www -g 666
useradd www -g 666 -u 666 -M -s /sbin/nologin
​
# 3.创建共享目录，修改权限
mkdir /nfs-yuchao-nginx
chown -R www.www /nfs-yuchao-nginx
​
# 4.创建配置文件
cat > /etc/exports <<EOF
/nfs-yuchao-nginx 172.16.1.0/24(rw,sync,all_squash,anonuid=666,anongid=666)
EOF
​
# 5.启动服务
systemctl start nfs
​
# 6.检查服务
showmount -e 127.0.0.1
远程安装

1.远程发送配置文件
[root@master-61 ~]#scp -P 22999  install_nfs.sh root@172.16.1.31:/opt/
install_nfs.sh
​
2.远程执行
[root@master-61 ~]#ssh -p 22999 root@172.16.1.31 "bash /opt/install_nfs.sh"
​
​
​

nfs+lsyncd服务

# 1.安装服务
yum install lsyncd -y
​
# 2.生成配置文件
cat >/etc/lsyncd.conf <<EOF
settings {
    logfile      ="/var/log/lsyncd/lsyncd.log",
    statusFile   ="/var/log/lsyncd/lsyncd.status",
    inotifyMode  = "CloseWrite",
    maxProcesses = 8,
    }
​
sync {
    default.rsync,
    source    = "/nfs-yuchao-nginx",
    target    = "rsync_backup@172.16.1.41::backup",
    delete= true,
    exclude = {".*"},
    delay=1,
    rsync     = {
        binary    = "/usr/bin/rsync",
        archive   = true,
        compress  = true,
        verbose   = true,
        password_file="/etc/rsync.passwd",
        _extra={"--bwlimit=200"}
        }
    }
EOF
​
# 3.创建密码文件
echo "yuchao666" > /etc/rsync.passwd
chmod 600 /etc/rsync.passwd
​
# 4.启动
systemctl start lsyncd
​
# 5.检查服务
ps -ef|grep lsyncd |grep -v grep
​

​

远程安装lsyncd

1.远程发送配置文件

[root@master-61 ~]#scp -P 22999  install_lsyncd.sh root@172.16.1.31:/opt/install_lsyncd.sh 

​
2.远程执行

[root@master-61 ~]#ssh -p 22999 root@172.16.1.31 "bash /opt/install_lsyncd.sh"

测试rsync+nfs

[root@master-61 ~]#ssh -p 22999 root@172.16.1.31 "touch /nfs-yuchao-nginx/超哥666.png"
[root@master-61 ~]#
[root@master-61 ~]#ssh -p 22999 root@172.16.1.41 "ls /backup"
超哥666.log
超哥666.png

Web7/8/9机器

# 1.安装服务
yum install nginx -y
​
# 2.创建配置文件
cat >/etc/nginx/nginx.conf <<EOF
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
​
# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;
​
events {
    worker_connections 1024;
}
http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
​
    access_log  /var/log/nginx/access.log  main;
    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 4096;
    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;
​
​
server {
  listen 81;
  server_name localhost;
  location / {
    root html;
    index index.html;
                         }
            }
​
}
EOF
​
# 3.启动服务
systemctl start nginx
​
# 4.检查服务
netstat -tunlp|grep nginx
​
# 5.挂载目录
yum install nfs-utils -y
mount -t nfs 172.16.1.31:/nfs-yuchao-nginx /usr/share/nginx/html
​

远程部署

[root@master-61 ~]#scp -P 22999 install_nginx.sh  root@172.16.1.7:/opt
[root@master-61 ~]#ssh -p 22999 root@172.16.1.7 "bash /opt/install_nginx.sh"
​
​
for server in {7,8,9}
do
    scp -P 22999 install_nginx.sh  root@172.16.1.${server}:/opt
    ssh -p 22999 root@172.16.1.${server} "bash /opt/install_nginx.sh"
done

​

最终测试

1.在共享存储中，创建网页数据文件，提供给所有web机器使用
cat >index.html<<EOF
<meta charset=utf8>
心若在、梦就在。
于超老师带你学linux，加油吧少年。
EOF
​
​
scp -P 22999 index.html root@172.16.1.31:/nfs-yuchao-nginx/
​
​
​
​
​
2.检查数据备份情况
ssh -p 22999 root@172.16.1.41 "ls -l /backup"
​
​
3.检查网站情况
for web in {7,8,9}
do
    curl 172.16.1.${web}:81
done
​
​
4. 浏览器访问
http://10.0.0.7:81/
http://10.0.0.8:81/
http://10.0.0.9:81/
​
5.再次修改页面，查看数据
cat >index.html<<EOF
<meta charset=utf8>
心若在、梦就在。

EOF
scp -P 22999 index.html root@172.16.1.31:/nfs-yuchao-nginx/
​
[root@master-61 ~]#ssh -p 22999 root@172.16.1.41 "cat /backup/index.html"
<meta charset=utf8>
心若在、梦就在。

​