ssh-key企业批量分发自动化管理案例.docx

资源描述

ssh-key企业批量分发自动化管理案例.docx

《ssh-key企业批量分发自动化管理案例.docx》由会员分享，可在线阅读，更多相关《ssh-key企业批量分发自动化管理案例.docx（7页珍藏版）》请在冰豆网上搜索。

ssh-key企业批量分发自动化管理案例.docx

SSH服务企业级生产场景

基于密钥的安全验证

基于密钥的安全验证方式是指，需要依靠密钥，也就是必须事先建立一对密钥对，然后把公用密钥放在需要访问的目标服务器上，另外，还需要把私有密钥放到ssh的客户端或对应的客户端服务器上。

SSH之所以能够保证安全，原因在于它采用了公钥加密。

整个ssh密码登录过程是这样的。

1）用户向远程主机发登录请求：

sshuser@远程主机。

2）远程主机收到用户的登录请求，把自己的公钥发给用户。

2）用户使用这个公钥，将登录密码加密后，发送回远程主机。

3）远程主机用自己的私钥，解密登录密码，如果密码正确，就同意用户登录。

批量分发数据（一把钥匙开多把锁）

部署环境:

[root@jianghao01~]#cat/etc/redhat-release

CentOSrelease6.5（Final）

[root@jianghao01~]#uname-a

Linuxjianghao012.6.32-431.el6.x86_64#1SMPFriNov2203:

15:

09UTC2013x86_64x86_64x86_64GNU/Linux

主机网络参数设置:

主机名

网卡eth0

默认网关

用途

Jianghao01

192.168.1.188

192.168.1.254

中心分发服务器

Jianghao02

192.168.1.189

192.168.1.254

接收节点服务器

Jainghao03

192.168.1.190

192.168.1.254

接收节点服务器

需求分析

具体需求

要求所有服务器在同一个用户jianghao系统用户下，实现jianghao01机器分发数据到jianghao02,jianghao03机器上，在分发过程中不需要B、C的提示系统密码验证，除了分发还需要可以批量查看客户机上的CPU、LOAD、MEM，系统版本等使用信息。

即实现从jianghao01服务器发布数据到jianghao02、jianghao03客户端服务器或查看信息的免密码登录验证解决方案分发数据流方式如下

Jianghao01------------->jianghao02

Jianghao01------------->jianghao03

实现拓扑

添加系统用户账号

添加jianghao用户

1#!

/bin/sh

2useraddjh

3echo"123456"|passwd--stdinjh

[root@jianghao01sh]#shuseradd.sh

Changingpasswordforuserjh.

passwd:

allauthenticationtokensupdatedsuccessfully.

开始部署

因为jianghao01服务器为中心分发服务器，所以我们选择在jianghao01端建立publickey（锁）与Privatekey（钥匙），实际上只需要有一对秘钥就可以了，在哪个机器上建立都是一样的。

1、sshkey简介

特别提示：

在整个方案实现中，公钥（publickey）和私钥（privatekey）仅需要建立一对即可，可以在A、B、C任意机器上来执行，本文选择在A服务器来生成密钥对。

ssh-kengen-tdsa中的-t参数指建立密钥的类型，这里指建立的dsa类型,也可以执行　　ssh-kengen-trsa建立的是rsa类型

2、rsa和dsa区别：

rsa:

是一种加密算法，是由RonRivest、AdiShamir和LeonardAdleman这三个人的名字的第一个字母连接起来的。

dsa:

就是数字签名算法的英文全称的简写，即DigitalSignatureAlgorithm

rsa既可以进行加密，也可以进行数字签名实现认证，而dsa只能用于数字签名从而实现认证。

-ttype

指定要创建的密钥类型，可以使用"rsa1"（SSH-1）"rsa"（SSH-2）"dsa"（SSH-2）

~/.ssh/identity

该用户默认的RSA身份认证私钥，此文件的权限应当至少限制为"600"

~/.ssh/identity.pub该用户默认RSA身份认证公钥。

此文件无需保密。

此文件的内容应该添加到所有RSA的目标主机~/.ssh/authorized_keys文件中

3、ssh-copy-id的特殊应用

　　如果ssh修改了特殊端口，如5297，那么，在用ssh-copy-id命令时，需要指定端口，操作命令如下：

ssh-copy-idid_dsa.pub "-p5297jianghao@192.168.1.189" #-->特殊端口分发，要加引号。

4、ssh-copy-id的原理

　　就是把.ssh/id_dsa.pub复制到10.0.0.8下面.ssh目录（提前创建权限700）下，并做了更改名字的操作，名字改为authorized_keys，权限为600

实施步骤

生成一对秘钥

[jianghao@jianghao01home]$ssh-keygen-tdsa

Generatingpublic/privatedsakeypair.

Enterfileinwhichtosavethekey（/home/jianghao/.ssh/id_dsa）:

Createddirectory'/home/jianghao/.ssh'.

Enterpassphrase（emptyfornopassphrase）:

Entersamepassphraseagain:

Youridentificationhasbeensavedin/home/jianghao/.ssh/id_dsa.

Yourpublickeyhasbeensavedin/home/jianghao/.ssh/id_dsa.pub.

Thekeyfingerprintis:

75:

3d:

c9:

62:

4f:

24:

e2:

8a:

35:

7c:

6f:

e8:

5e:

eb:

58jianghao@jianghao01

Thekey'srandomartimageis:

+--[DSA1024]----+

|...|

|..=.|

|o+*|

|..oo+.|

|+oS.|

|o+o|

|...E|

|.=.|

|.+.o|

+-----------------+

分发秘钥方法1就是把ssh/id_dsa.pub复制到客户端的ssh目录下更改名字为authorized_keys。

权限为600

[jianghao@jianghao01~]$ssh-copy-id-i.ssh/id_dsa.pub"-p5297jianghao@192.168.1.189"

Theauthenticityofhost'[192.168.1.189]:

5297（[192.168.1.189]:

5297）'can'tbeestablished.

RSAkeyfingerprintis4a:

a0:

2d:

9a:

5d:

24:

1a:

cd:

5a:

53:

00:

80:

3e:

09:

f7:

5a.

Areyousureyouwanttocontinueconnecting（yes/no）?

yes

Warning:

Permanentlyadded'[192.168.1.189]:

5297'（RSA）tothelistofknownhosts.

jianghao@192.168.1.189'spassword:

Nowtryloggingintothemachine,with"ssh'-p5297jianghao@192.168.1.189'",andcheckin:

.ssh/authorized_keys

tomakesurewehaven'taddedextrakeysthatyouweren'texpecting.

分发秘钥方法2

修改ssh-copy-id的内容里面的第41行。

添加端口号内容。

[jianghao@jianghao01~]$sudovi/usr/bin/ssh-copy-id

[jianghao@jianghao01~]$ssh-copy-id-i.ssh/id_dsa.pubjianghao@192.168.1.189

Nowtryloggingintothemachine,with"ssh'jianghao@192.168.1.189'",andcheckin:

.ssh/authorized_keys

tomakesurewehaven'taddedextrakeysthatyouweren'texpecting.

[jianghao@jianghao01~]$ssh-copy-id-i.ssh/id_dsa.pubjianghao@192.168.1.190

Theauthenticityofhost'[192.168.1.190]:

5297（[192.168.1.190]:

5297）'can'tbeestablished.

RSAkeyfingerprintis4a:

a0:

2d:

9a:

5d:

24:

1a:

cd:

5a:

53:

00:

80:

3e:

09:

f7:

5a.

Areyousureyouwanttocontinueconnecting（yes/no）?

yes

Warning:

Permanentlyadded'[192.168.1.190]:

5297'（RSA）tothelistofknownhosts.

jianghao@192.168.1.190'spassword:

Nowtryloggingintothemachine,with"ssh'jianghao@192.168.1.190'",andcheckin:

.ssh/authorized_keys

tomakesurewehaven'taddedextrakeysthatyouweren'texpecting.

批量分发文件到所有服务:

编写脚本文件

[jianghao@jianghao01~]$shfenfa.sh/etc/hosts~

hosts100%2460.2KB/s00:

hosts100%2460.2KB/s

展开阅读全文