day36 综合架构远程管理

课程介绍

1. 远程管理服务概念介绍

2. 远程管理远程连接原理 加密方式 私钥-公钥

3. 远程管理登陆主机方式:

a. 基于密码登录方式
b. 基于秘钥登录方式 原理 部署过程

4. 远程管理服务的配置文件

5. 远程服务入侵防范配置

6. 将批量远程服务部署 ansible nginx zabbix`

知识回顾

sersync启动脚本

#! /bin/bash  
#  
#sersyncd  
#    
 case "$1" in  
   start)  
   sersync -dro /usr/local/sersync/conf/confxml.xml
    if [ $? -eq 0 ]  
            then   
            echo -e "Staring sersyncd      [  OK  ]" 
            exit 0  
    fi  
    ;;  
    stop)  
    kill `'ps -ef | grep sersync | grep -v grep | awk '{print $2}'` 
    if [ $? -eq 0 ]  
           then   
            echo -e "Stopping sersyncd     [  OK  ]" 
            exit 0  
    fi  
    ;;  
   status) 
    ps -ef| grep sersync| grep -v grep
        
    ;;  
    restart)
     kill `'ps -ef | grep sersync | grep -v grep | awk '{print $2}'` 
     sersync -dro /usr/local/sersync/conf/confxml.xml
      if [ $? -eq 0 ]  

           then   
            echo -e "restart sersyncd     [  OK  ]" 
             exit 0 
  esac 

杀死进程的三种方式:

1.kill 用法:kill uid ---杀死进程会有提示信息
2.killall 用法:killall sersync ---进程杀死会有提示信息(推荐)
3.pkill 用法:pkll sersync ---杀死进程没有提示,模糊杀手(危险)
特殊用法: tomcat - - java
kill -9 强制杀死进程

新的脚本结构

 if [ 资产 > 1个亿 ]
 then
         买一座岛屿
  elif [ 1000万 < 资产金额 < 1亿]
           买个地皮
   elif [ 100万 < 资产 < 1000万 ]
              买个别墅
    else
             租房
   fi

远程管理服务介绍

远程连接方式:

SSH: 服务端口 22 对远程传输数据进行加密 默认支持root用户远程连接
telnet: 服务端口 23 对远程传输数据明文显示 默认禁止root用户远程连接

基于密码连接远程连接原理

1. 客户端 ---> 服务端 建立三次握手
2. 客户端 ---> 服务端 SSH远程连接请求
3. 服务端 ---> 客户端 SSH远程连接确认信息 确认是否建立连接
4. 客户端 ---> 服务端 发送确认连接信息
5. 服务端 ---> 客户端 发送公钥信息 /etc/ssh/公钥信息
6. 客户端 ---> 服务端 收到公钥信息保存 确认 ~/.ssh/know_hosts
7. 服务端 ---> 客户端 询问连接密码信息
8. 客户端 ---> 服务端 登录密码信息
9. 服务端 ---> 客户端 最终确认
PS:基于密码建立远程通讯过程

基于密码连接过程.png

远程服务建立方式

a. 基于密码登录方式
b. 基于密钥登录方式 私钥 公钥

秘钥作用
1.利用秘钥对数据信息进行加密处理
2.利用秘钥信息进行用户身份认证

基于秘钥登录原理过程

1. 管理端 --> 被管理端 管理创建密匙对,将公钥进行发送
2. 管理端 --> 被管理端 发送远程连接请求
3. 被管理端 --> 管理端 进行公钥质询
4. 管理端 --> 被管理端 相应公钥质询信息
5. 被管理端 --> 管理端 公钥质询结果

基于秘钥连接.png

基于秘钥连接配置过程

第一个里程: 创建秘钥对信息 被管理服务器(10.0.0.7)
ssh-keygen -t dsa
回车 , 回车 , 回车
第二个里程: 将公钥进行发送 管理端服务器(10.0.0.61)
ssh -copy-id -i /root/.ssh/id_dsa.pub 172.16.1.31
yes , 123456 ,
第三个里程: 基于秘钥连接测试
ssh 172.16.1.31
ssh 172.16.1.31 直接在后面写命令返回对端结果

需求:管理端(10.0.0.61) --- 多台服务器分发公钥
如何批量分发公钥---shell脚本
[root@m01 ~]# cat /server/scripts/distribute_key.sh

#!/bin/bash
. /etc/init.d/functions

# 创建秘钥对
if [ ! -f /root/.ssh/id_dsa ]
then
  ssh-keygen -t dsa -f /root/.ssh/id_dsa -P "" >/dev/null
  action "key pair create"  /bin/true
else
  action "key pair already exists" /bin/false
fi

# 分发公钥信息
for ip in 7 31 41
do
   sshpass -p123456 ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.$ip -o StrictHostKeyChecking=no &>/dev/null
   if [ $? -eq 0 ]
   then 
      action "host 172.16.1.$ip pub_key distribute"  /bin/true
      echo ""
   else
      action "host 172.16.1.$ip pub_key distribute"  /bin/false
      echo ""
   fi
done

免交互批量检查公钥脚本

 [root@m01 ~]# cat /server/scripts/check_key.sh 
#!/bin/bash
. /etc/init.d/functions

# 检查公钥信息
for ip in 7 31 41
do
   ssh 172.16.1.$ip hostname &>/dev/null
   if [ $? -eq 0 ]
   then 
      action "host 172.16.1.$ip connect"  /bin/true
      echo ""
   else
      action "host 172.16.1.$ip connect"  /bin/false
      echo ""
   fi
done

免交互批量执行统一信息

[root@m01 ~]# cd /server/scripts/
[root@m01 scripts]# sh jianche.sh 'hostname -i'
/

  #!/bin/bash

  # 检查公钥信息批量执行命令
  for ip in 7 41 31
  do
        ssh 172.16.1.$ip $1
  done

问题:如何免交互发布密码
01.不要输入yes确认
ssh 172.16.1.31 -o StrictHostKeyChecking=no
ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.31 -o StrictHostKeyChecking=no

02.不要输入密码
yum install -y sshpass
sshpass - noninteractive ssh password provider (提供一个ssh密码信息, 进行非交互ssh连接)
sshpass -p654321 ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.31 -o StrictHostKeyChecking=no

补充:理解分发公钥的原理过程 ssh-copy-id -i

1) 利用ssh和远程主机建立连接
2) 将本地公钥文件信息传输到远程主机上
3) 远程主机收到公钥信息 会保存到~/.ssh/authorized_keys 并且授权为600

生成秘钥对

ssh-keygen

参数
-t：指定生成密钥的类型，默认使用SSH2d的rsa
-f：指定生成密钥的文件名，默认id_rsa（私钥id_rsa，公钥id_rsa.pub）
-P：提供旧密码，空表示不需要密码（-P ‘’）
-N：提供新密码，空表示不需要密码(-N ‘’)
-q: 静默模式，不显示提示信息