ssh免密钥之上厕所

ssh服务简单介绍

SSH协议框架中最主要的部分是三个协议：

*传输层协议(The Transport Layer Protocol)提供服务器认证，数据机密性，信息完整性等的支持;

*用户认证协议(The User Authentication Protocol)则为服务器提供客户端的身份鉴别;

*连接协议(The Connection Protocol)将加密的信息隧道复用成若干个逻辑通道，提供给更高层的应用协议使用;各种高层应用协议可以相对地独立于SSH基本体系之外，并依靠这个基本框架，通过连接协议使用SSH的安全机制。

同时SSH协议框架中还为许多高层的网络安全应用协议提供扩展的支持。它们之间的层次关系可以用如下图来表示：

一，ssh建立链接过程

1.服务器上产生公钥
2.客户端带着私钥访问服务器
3.服务器上公钥返回给客户端，并且用自己的公钥和客户端发来的私钥生成key pair
4.客户端再次带着自己的私钥和服务器发来的公钥生成key pair访问服务器
5.服务器用自己的key pair和客户端的key pair进行比对，建立链接
注意：
在第一次链接的时候，会在本地生成密钥文件/.ssh/known_hosts(可以存放多个)

二，ssh生成密钥对过程

1.客户端 ssh-keygen -t dsa
生成2个文件，id_dsa(私钥)，id_dsa_pub(公钥)
2.客户端 发送公钥到服务器端
3.客户端 带着公钥发送链接请求
4.验证公钥
5.服务器 用公钥加密质询，发送至客户端
6.客户端 用私钥解密质询
7.客户端 将解密后的质询发送回服务器
8.服务器 验证质询
9.验证通过，链接建立

三，sshd_config配置文件可修改地方

1.#Port 22
2.PermitRootLogin yes  默认是打开的，就是允许客户端用root链接
3.#PermitEmptyPasswords no 是否允许空密码
下面是可以解决链接慢
1.UseDNS no 拒绝域名解析
2.GSSAPICleanupCredentials no

四，客户端链接ssh基本语法

1.指定端口的链接，会跳到链接的机子上
ssh -p22 user@ip -p指定端口，默认即位22
2.在链接的机子上执行命令，不会跳到链接的机子上
ssh -p22 user@ip command

五，基于ssh加密的scp命令

1.推：scp -P22 /etc/file user@ip:/tmp -P这个指定端口是大写p
2.拉：scp -P22 user@ip:/tmp/file /etc/
3.参数介绍：
-r递归，表示拷贝目录
-p表示拷贝前后保持文件目录属性
-l limit限制速度
通常scp -P22 -rp 即可
4.scp每次都是全量的拷贝，不同于rsync的增量

六，基于ssh加密的sftp远程上传下载（不推荐用，因为可以使用命令）

1.sftp -oPort=22 user@ip oPort指定端口
2.上传本地文件到远程主机
当我们链接上的时候，可以通过ls查看当前目录文件
通过，put /etc/file /tmp 将本地的file上传到远程主机的/tmp目录
默认如果不加/tmp，发送到/root目录下
3.下载远程主机文件到本地
通过，get /etc/file /tmp 将远程主机上的file文件下载到/tmp下
默认如果不加/tmp，下载到我们开始执行链接命令的目录下

七，非交互式创建密钥

我们手动创建是通过,ssh-keygen -t dsa，然后回车
1.自动创建
ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa > /dev/null 2>&1
2.将公钥发送到远程主机
ssh-copy-id -i .ssh/id_dsa.pub "-p22 user@ip"
发送过去后，远程主机会产生.ssh/authorized_keys文件，权限是600，本地会多出.ssh/known_hosts文件

八，提权执行

1.直接root账号，将sshd_config里面允许root登录
2.sudo提权实现没有权限的用户拷贝
首先，配置sudoers:
终端命令；visudo，相当于配置/etc/sudoers
## Allow root to run any commands anywhere
用户或者组   机器=授权角色  可执行命令
root    ALL=(ALL)       ALL
joker   ALL=(ALL)       /usr/bin/rsync
@group  ALL=(ALL)       ALL
user    ALL=(ALL)       NOPASSWD:ALL
解释：
第一个ALL代表机器，就是所有机器，第二个ALL代表所有角色，第三个ALL代表可以执行所有命令，NOPASSWD代表提权命令时不需要提示密码
然后，加载sudoers文件
visudo -C
最后，用joker用户通过基于ssh的rsync发送文件
用户或者组在执行授权的特殊权限命令时后格式为sudo 命令，切换到root格式为 sudo su - ，需要输入当前用户的密码，而不是root密码
ssh -p22 -t user@ip sudo rsync ~/hosts /etc/hosts
注意；
如果，提示命令找不到，很可能是环境变量导致
root下，echo $path
user下，echo $path
在user下，修改vi ~/.bash_profile，将/usr/local/sbin:/sbin:/usr/sbin加入进去
3.利用suid实现没有权限用户拷贝（了解即可）
chmod u+s 'which rsync'

附赠基于ssh的scp推送脚本

#!/bin/bash
if [ $# -ne 2 ];then
    echo "usage:/bin/bash $0 {avg1 avg2}"
    exit 1
fi
. /etc/init.d/functions
for ip in 1 2 3
do
scp -p22 file user@ip:/tmp > /dev/null 2&1
if [ $? -eq 0 ];then
    action "fenfa hosts ip" /bin/true
else
    action "fenfa hosts ip" /bin/false
fi
done

九，非交互模式产生密钥

1.yum install expect -y
2.mkpasswd -l 10
参数介绍，生成随机字符串，-l是指生成多少个字符
3.简单介绍expect的过程
首先，还是需要手动ssh-keygen生成私钥，公钥
然后，spawn ssh-copy-id -i id_dsa.pub "-p 22 user@ip"
     expect {
         "yes/no" {send "yes\r":exp_continue}
         "*password" {send "123\r"}
     }
     expect eof

附赠基于expect免密钥分发脚本

#!/bin/bash
# The author is joker, which is used to manage the host.
expect_order=`which expect 1>/dev/null 2>&1`
if [ $? -eq 1 ];then
    yum install expect -y
    sleep 1
    sh $0
else
    Distribute(){
    for IP in $(cat /service/script/distribute_ip.txt);do
        Passwd=$1
        USER=$2
        expect -c "
            spawn ssh-copy-id -i /root/.ssh/id_rsa.pub -p 22 $USER@$IP
                expect {
                    \"*yes/no*\" {send \"yes\r\"; exp_continue}
                    \"*password*\" {send \"$Passwd\r\";exp_continue}
                    \"*password*\" {send \"$Passwd\r\";}
            }
        "
        if [ $? -eq 0 ];then
            echo -e "\033[32m 绿色字,ssh $IP 链接成功 \033[0m"
        else
            echo -e "\033[31m 红色字,ssh $IP 链接失败，请检查原因 \033[0m"
        fi
    done
    }
    Distribute "Poppy1115" root
fi
###########################################
# distribute_ip.txt，注意该文件适合在同一个地区使用，内网互动,否则去除内网地址
# 外网地址 内网地址