远程管理服务概念介绍

ssh 安全的远程连接，数据信息是加密的端口22 ssh默认root连接
telnet 不安全的远程连接，数据信息时明文的端口23 telnet默认不可以让root连接

shell介绍
1.每连接登陆一个linux系统中，就是一个shell
2.可以一个linux系统有多少个会话连接，每一个会话都是一个shell
3.系统中用户可以实现相互转换，每转换一个用户就是一个shell
shell特点
1.一般命令行临时配置的信息，只会影响当前shell
2.命令配置的信息如果想生效，需要切换shell

ssh服务连接工作原理（数据加密）
私钥：钥匙
公钥：锁
第一个步骤: 客户端执行远程连接命令
第二个步骤：客户端服务端建立三次握手过程
第三个步骤：服务端让客户端进行确认是否接收服务端公钥信息
第四个步骤：客户端进行公钥确认
第五个步骤：服务端让客户端确认登陆用户密码信息
第六个步骤：客户端进行密码信息确认
第七个步骤：客户端服务端远程连接，建立成功

私钥和公钥作用

1.利用私钥和公钥对数据信息进行加密处理
2.利用公钥和私钥进行用户身份认证

基于密码的方式进行远程连接：公钥和私钥只能完成数据加密过程
基于秘钥的方式进行远程连接：公钥和私钥可以完成身份认证工作

ssh远程连接方式

a.基于口令的方式进行远程连接（连接的时候输入密码)
b.基于秘钥的方式进行远程连接

基于秘钥方式连接过程（原理）
1.客户端（管理端）执行命令创建密钥对
2.客户端（管理端）建立远程连接（口令），发送公钥信息
3.客户端（管理端）再次建立远程连接
4.服务端（被管理端）发送公钥质询信息（你的钥匙能打开我的锁头吗）
5.客户端（管理端）处理公钥质询信息（钥匙将锁头打开），将质询结果返回给服务端
6.服务端（被管理端）接收到质询结果，建立好远程连接

ssh实现基于秘钥连接的步骤步骤

ssh-keygen -t
-t 指定秘钥的类型（dsa|rsa）

#管理端创建密钥对信息
ssh-keygen -t dsa
Generating public/private dsa key pair.#创建一个公钥 私钥对
Enter file in which to save the key (/root/.ssh/id_dsa): #是否保存到/root/.ssh/id_dsa
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub. #公钥存放的地点
The key fingerprint is:
SHA256:mTvlsIIhzd8PQwvxI3e/KMBLihScsxSv/CqircboiQ8 root@ansible01
The key's randomart image is:
+---[DSA 1024]----+
|                 |
|  .              |
| . +  .          |
|  *o.  o o       |
| o.=+.o S o      |
|  =. ++* X .     |
|E. o.oooO . .    |
|==o o ...= . .   |
|O*+.     .o .    |
+----[SHA256]-----+

管理端需要将公钥进行分发

# ssh-copy-id -i /root/.ssh/id_dsa.pub 10.0.0.11

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_dsa.pub"
The authenticity of host '10.0.0.11 (10.0.0.11)' can't be established.
ECDSA key fingerprint is SHA256:qFeNq4IXVpxFwyIOgEglw+weObZ3G1MsOdvUnGMlaqA.
ECDSA key fingerprint is MD5:7a:04:36:f2:e1:5e:01:3b:ea:01:e9:02:cb:b3:c2:81.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@10.0.0.11's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '10.0.0.11'"
and check to make sure that only the key(s) you wanted were added.

到客户端
ll /root/.ssh/
-rw-------. 1 root root 1208 Nov 14 22:00 authorized_keys

进行远程连接测试

ssh 10.0.0.11  就不需要密码了

批量分发公钥

脚本分发

问题：有交互过程
1.需要有确认yes或no
2.需要输入密码信息
3.服务端端口号变化了，如何分发

如何不用交互输入密码信息，进行远程连接分发公钥：

第一步，下载安装软件
yum install -y sshpass
sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub root@10.0.0.11

不需要输入连接yes或no的确认信息

ssh-copy-id -i /root/.ssh/id_dsa.pub root@10.0.0.11 "-o StrictHostKeyChecking=no"

端口变化

ssh-copy-id -i /root/.ssh/id_dsa.pub root@10.0.0.11 -p 52113

#!/bin/bash
for ip in {11,12,13}
do
    echo "========host 10.0.0.$ip pub-key  开始分发========="
    sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub root@10.0.0.11 -p 22 "-o StrictHostKeyChecking=no" &>/dev/null
     echo "host 10.0.0.$ip 分发成功"
    echo "========host 10.0.0.$ip pub-key  分发结束=========="
    echo""
done

ssh配置文件

/etc/ssh/ssh_config 客户端配置文件
/etc/ssh/sshd_config 服务端配置文件
Port 22 ----修改服务端口信息
ListenAddress 0.0.0.0 ---监听地址
PermitEmptyPasswords no ---是否允许空密码连接（默认不允许）
PermitRootLogin Yes ---是否允许root登陆
GSSAPIAuthentication no --- 是否开启GSSAPI认证功能不用的时候关闭
UseDNS no ---是否开启反向DNS解析功能

ssh的介绍