2. 程式人生 > >ssh原理及管理機分發公鑰方法

ssh原理及管理機分發公鑰方法

阿新 發佈:2018-11-08

ssh原理:在SSH安全協議的原理中, 是一種非對稱加密與對稱加密演算法的結合。

ssh登入有2種方法:賬號密碼登入和公鑰登入。

1.帳號密碼登入,沒辦法公證,不像https有CA證書公證。

image.png

1.服務端收到登入請求後,首先互換公鑰。

2.客戶端用服務端的公鑰加密賬號密碼併發送

3.服務端用自己的祕鑰解密後得到賬號密碼,然後進行驗證

4.服務端用客戶端的公鑰加密驗證結果並返回

5.客戶端用自己的祕鑰解密後得到驗證結果


2.ssh免密碼登入,利用公鑰登入

image.png

步驟:

1.客戶端使用者必須手動地將自己的公鑰新增到伺服器一個名叫authorized_keys的檔案裡,顧名思義,這個檔案儲存了所有可以遠端登入的機器的公鑰。

2.客戶端發起登入請求,並且傳送一個自己公鑰的指紋(具有唯一性,但不是公鑰)

3.服務端根據指紋檢測此公鑰是否儲存在authorized_keys中

4.若存在,服務端便生成一段隨機字串,然後利用客戶端公鑰加密並返回

5.客戶端收到後用自己的私鑰解密,再利用服務端公鑰加密後發回

6.服務端收到後用自己的私鑰解密,如果為同一字串,則驗證通過


分發金鑰方法:

1.使用ssh分發

[[email protected] ~]# ssh-keygen -t dsa -P '指定密碼' -f ~/.ssh/id_dsa >/dev/null 2>&1
[
 
[email protected] ~]# /usr/bin/ssh-copy-id  -i .ssh/id_dsa.pub [email protected]
測試
[[email protected] ~]# ssh [email protected]
Last login: Wed Nov  7 14:29:38 2018 from 192.168.146.140
[[email protected]
 
 ~]#

注意:金鑰是針對使用者的,可以使用其他使用者建立金鑰,在被管理機器上也需要有相同的使用者。

ssh-keygen命令:

man ssh-keygen:authentication key generation, management and conversion 金鑰生成、管理、轉換
選項:
-t type:指定金鑰型別,包括“dsa”, “ecdsa” or “rsa”
-p(小) :更改私鑰的密碼。程式會提示輸入私鑰的密碼以及2次新密碼
-P(大):提供私鑰的舊密碼。
-N:提供私鑰的新密碼
-f :指定金鑰檔案的檔名
-b:指定金鑰長度
-e:讀取openssh的私鑰或者公鑰檔案

ssh-copy-id命令:

man ssh-copy-id :install your public key in a remote machine’s authorized_keys 安裝公鑰到遠端機器的authorized keys.
語法:ssh-copy-id [-i [identity_file]] [[email protected]]machine
選項:-i 指定要分發的公鑰

2.使用expect解決互動式分發

expect指令碼中常見命令:spawn, expect, send, interact...

spawn開啟一個程序

expect該命令從程序接受字串,如果接受的字串和期待的字串不匹配,則一直阻塞,直到匹配上或者等待超時才繼續往下執行

send向程序傳送字串,與手動輸入內容等效,通常字串需要以’\r’結尾

expect{"匹配字元" send {"需要傳送的"} 
"匹配字元"send{"需要傳送的字元"}}
或者
expect "匹配字元" 
send "傳送字元\r"

interact該命令將控制權交給控制檯,之後就可以進行人工操作了。通常用於使用指令碼進行自動化登入之後再手動執行某些命令。如果指令碼中沒有這一條語句,指令碼執行完將自動退出。

set timeout 30 設定超時時間timeout為30s,expect命令阻塞超時時會自動往下繼續執行。將timeout配置為-1時表示expect一直阻塞直到與期待的字串匹配上才繼續往下執行。超時時間timeout預設為10s

[lindex $argv n]可以在指令碼中使用該命令獲取在指令碼執行時傳入的第n-1個引數。argv為傳入的引數,另外argc表示傳入引數的個數,n是從0開始,表示第一個引數..n=1表示第二個引數

exp_continue:繼續執行下面匹配

\r:linux下的回車,Windows下回車是\r\n

安裝

[[email protected] ~]# yum install expect   #安裝expect ,需要安裝依賴包tcl

獨立expect指令碼

[[email protected] ~]# cat /server/script/ssh_expect.exp
#!/usr/bin/expect

set timeout 30
set ip [lindex $argv 0]                    #第1個引數,編號是0
set password [lindex $argv 1]              #第2個引數,編號是1  

spawn ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected]$ip
expect {
         "(yes/no)?"  {send "yes\r";exp_continue}
         "password:" {send "$password\r"}
}
expect eof
[[email protected] ~]# expect /server/script/ssh_expect.exp 192.168.146.136 111111    #192是第1個引數,編號是0 111111是第2個引數,編號是1*****
spawn ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected]
[email protected]'s password:
Now try logging into the machine, with "ssh '[email protected]'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

[[email protected] ~]# ssh [email protected]
Last login: Wed Nov  7 16:46:46 2018 from 192.168.146.140
[[email protected] ~]# logout
Connection to 192.168.146.136 closed.
[[email protected] ~]#

實現自動分發,無需手動輸入ip及密碼,將expect程式巢狀在shell指令碼

[[email protected] ~]# cat /server/script/Auto-fenfa.exp
#!/bin/bash
#Create by 海中小帆船
#Date 2018-11-08
#Functions Auto fenfa miyao
#Version 1.1
key_file='/root/.ssh/id_dsa.pub'
password='Y3^K2&123&'
[ ! -e $key_file ] && ssh-keygen -t dsa -P '' -f /root/.ssh/id_dsa > /dev/null 2>&1

for ip in {136..139}
do
/usr/bin/expect << EOF > /dev/null 2>&1
spawn ssh-copy-id -i $key_file "-p22 [email protected]$ip"
expect {
        "yes/no" {send "yes\r";exp_continue}
        "password" {send "$password\r"}
}
expect eof
EOF
if [ $? -eq 0 ]
        then
echo "192.168.146.$ip 金鑰分發完成"
        else
echo "192.168.146.$ip 金鑰分發失敗"
fi
done
[[email protected] ~]# sh /server/script/Auto-fenfa.exp
192.168.146.136 金鑰分發完成
192.168.146.137 金鑰分發完成
192.168.146.138 金鑰分發完成
192.168.146.139 金鑰分發完成

建立金鑰、分發金鑰、批量上傳指令碼、批量執行指令碼

[[email protected] script]# cat Q-auto-bushu.sh
#!/bin/bash
#Create By QQ
#Date ***
#Functions ****
#Version 1.1
#########################1.建立金鑰##################
. /etc/init.d/functions
[ ! -e "/root/.ssh/id_dsa.pub" ] && ssh-keygen -t dsa -P '' -f /root/.ssh/id_dsa >/dev/null 2>&1
if [ $? -eq 0 ];then
        action "建立金鑰成功" /bin/true
else
        action "建立金鑰失敗" /bin/false
        exit 0
fi

######################2.分發金鑰####################
for ip in 192.168.146.{136..139}
do
/usr/bin/expect << EOF > /dev/null 2>&1
spawn ssh-copy-id -i /root/.ssh/id_dsa.pub "-p22 $ip"
expect {
        "yes/no" {send "yes\r";exp_continue}
        "password" {send "111111\r"}
}
expect eof
EOF
if [ $? -eq 0 ];then
        action "$ip分發金鑰完成" /bin/true
else
        action "$ip分發金鑰失敗" /bin/false
fi
done
#######################3.傳送安裝指令碼###############
for i in 192.168.146.{136..139}
do
 scp /server/script/install_man.sh [email protected]$i:/server/script/
 if [ $? -eq 0 ];then
        action "$i傳送安裝指令碼成功" /bin/true
 else
        action "$i傳送安裝指令碼失敗" /bin/false
 fi
done
######################4.遠端安裝指令碼################
for n in 192.168.146.{136..139}
do
 ssh [email protected]$n /bin/bash /server/script/install_man.sh
 if [ $? -eq 0 ];then
                action "$n安裝man完成" /bin/true
        else
                action "$n安裝man失敗" /bin/false
 fi
done
[[email protected] script]#

測試結果

[[email protected] script]# sh Q-auto-bushu.sh
建立金鑰成功                                         [  OK  ]
192.168.146.136分發金鑰完成                                 [  OK  ]
192.168.146.137分發金鑰完成                                 [  OK  ]
192.168.146.138分發金鑰完成                                 [  OK  ]
192.168.146.139分發金鑰完成                                 [  OK  ]
192.168.146.136傳送安裝指令碼成功                                 [  OK  ]
192.168.146.137傳送安裝指令碼成功                                 [  OK  ]
192.168.146.138傳送安裝指令碼成功                                 [  OK  ]
192.168.146.139傳送安裝指令碼成功                                 [  OK  ]
192.168.146.136安裝man完成                                 [  OK  ]
192.168.146.137安裝man完成                                 [  OK  ]
192.168.146.138安裝man完成                                 [  OK  ]
192.168.146.139安裝man完成                                 [  OK  ]
[[email protected] script]#
[[email protected] ~]# which man
/usr/bin/man


相關推薦

ssh原理管理分發方法

ssh原理:在SSH安全協議的原理中, 是一種非對稱加密與對稱加密演算法的結合。 ssh登入有2種方法:賬號密碼登入和公鑰登入。 1.帳號密碼登入,沒辦法公證,不像https有CA證書公證。 1.服務端收到登入請求後,首先互換公鑰。 2.客戶端用服務端的公鑰加密賬號密碼併發送 3.服務端用自

ssh服務以及分發

驗證 file chattr 改名 開始 被攻擊 界面 運行 火墻 第1章 sshSSH(22端口)是Secure Shell Protocol的簡寫,安裝時的軟件包是openssh,有ssh 1,和ssh 2兩個版本-t 指定加密類型rsa1是版本1,rsa,dsa,ec

SSH安全登陸原理:密碼登陸與登陸

  SSH全稱(Secure SHell)是一種以安全性聞名的應用層網路通訊協議,用於計算機間的安全通訊,是目前比較成熟的遠端登陸解決方案。 它提供兩種方法登陸: 1.密碼登陸 2.公鑰登陸   密碼登陸  

免交互方式批量分發腳本

inux mil ssh sel null linu p s txt 端口 作者:Georgekai歸檔:學習筆記2018/1/30 1.1 SSH1.1.1 部署好基於ssh秘鑰的方式進行管理1. 創建秘鑰對ssh-keygen -t rsa2. 分發公鑰 ssh-co

SSH遠程管理,構建密對驗證的SSH體系,設置SSH代理功能。

redhat6 通道 ssh密鑰 驗證 開源軟件 配對 redhat6.5 主配置文件 體系 SSH服務及配置文件SSH(Secure Shell)是一種安全通道協議,主要用來實現字符界面的遠程登錄,對通信雙方的數據實行了加密處理,提供了更好的安全性。OpenSSH是實現S

expect--自動批量分發腳本

word div nbsp 腳本 命令 pass 變量 ini 安裝epel源 1.在使用之前,先安裝epel源,yum install expect -y2.寫分發腳本,後綴為exp #!/usr/bin/expect set host_ip [lindex $a

ssh原理執行機制

Hibernate 核心:是將表與表之間的操作,對映成物件和物件之間的操作,這樣簡化了持久層的程式碼,減輕了程式設計師的負擔 Hibernate原理 1.通過Configuration().configure();讀取並解析hibernate.cfg.xml

Linux 和 Windows 下配置 SSH(複用已有的

假如專案中添加了需要使用 ssh 方式連線伺服器的 git 子模組,則需要配置 ssh 公鑰,這裡我是直接複用之前用過的公鑰,這樣我們可以在多臺裝置上使用同一份公鑰。 複用舊公鑰 在 ~/ 目錄下新建 .ssh 目錄,然後複製已有的 id_rsa 和 id_rs

用shell指令碼批量分發,實現用…

用shell指令碼批量分發公鑰(將所有),先建立金鑰分發expetc指令碼key.exp 再建立shell指令碼,呼叫expetc 1.vim ip.txt 10.1.1.1 10.2.2.2 10.3.3.3 2.key.exp vim key.exp #!/usr/bin/expetc set

Linux網路篇,ssh原理應用

一、對稱加密與非對稱加密    對稱加密: 加密和解密的祕鑰使用的是同一個.    非對稱加密: 非對稱加密演算法需要兩個金鑰:公開金鑰(publickey)和私有金鑰;簡稱公鑰和私鑰對稱加密     對稱加密的密碼強度高、較

Fresco 圖片圓角實現原理 Android 中圖片圓角實現方法

上篇文章 介紹了 Fresco 基礎使用和實現圖片圓角的方法,可以通過兩種方式來實現圓角:BITMAP_ONLY 模式和 OVERLAY_COLOR 模式。本文通過分析 Fresco 原始碼來介紹這兩種方式實現圓角的原理,並總結 Android 中常用的實現圖

PWM波調速原理循跡小車調速方法

一、PWM和佔空比的概念 ①PWM:又稱脈衝寬度調製技術,是一種模擬控制方式,PWM波形如下所示。 ②佔空比:指高電平在一個週期中所佔的比例。例如佔空比為50%即高電平佔整個週期時間的一半。 二、P

C語言中構造隨機數原理rand()取餘構造隨機數方法

    在C語言中,ANSIC C程式庫提供rand()函式來產生隨機數。但事實上,rand()是並不是一個真正的隨機數產生器,即可以預測隨機序列的順序,在預設隨機種子情況下產生0~99之間的隨機數,其隨機序列為{83,86,77,15,……},比如以下程式: #inclu

Linux使用ssh實現免批量分發管理服務器

-i 服務器 公鑰 外網 config mar 密鑰對 amp OS ssh 無密碼登錄要使用公鑰與私鑰。linux下可以用用ssh-keygen生成公鑰/私鑰對,下面我以CentOS 6.6為例。 管理機器外網IP10.0.0.61(內網172.16.1.61) 服務器外

使用expect 批量分發ssh

expect#!/usr/bin/expect if {$argc != 2} { #首先註意大話號,彼此之間需要空格 send_user "USAGE:expect_sshkey.exp file host" exit } #define var set file [lindex $argv 0

ssh驗證的過程遇到的問題

log read lis not oca 進行 rect access com 1.創建一對密鑰; 2.將公鑰復制並添加到~/.ssh/authorized_keys; 3.設定ssh客戶端采用私鑰進行登陸驗證。 ssh公鑰生效需滿足的兩個條件:1) .ssh目錄的權限必須

ssh服務批量分發自動化管理

互聯網Ssh服務知識:Ssh包含openssh和openssl兩種包。Ssh客戶端包含ssh連接工具及scp拷貝、slogin、sftp等應用程序。Less /etc/ssh/sshd_config這是查看服務端配置,sshd是服務端,ssh是客戶端~/.ssh/known_hosts當客戶端ssh服務端後會

SSH登錄且禁止密碼登錄更改默認端口

zha etc 輸入密碼 pre 一行 oot use init.d load 1、ssh生成公私鑰 ssh-keygen -t rsa -C "[email protected]" 生成密鑰的位置如下,id_rsa是私鑰、id_rsa.pub是公鑰: ?

ssh認證原理

ssh公鑰認證的原理 所謂的公鑰認證,實際上是使用一對加密字串,一個稱為公鑰(public key),任何人都可以看到其內容,用於加密;另一個稱為私鑰(private key),只有擁有者才能看到,用於解密。通過公鑰加密過的密文使用私鑰可以輕鬆解密,但根據公鑰來猜測私鑰卻十分困難。 ss

ansible生成ssh客戶免密碼登入

環境 192.168.182.142(ansible主機) 192.168.182.143(客戶機) ①在192.168.182.142主機上生成公鑰 1,生成公鑰 檢視ls /root/.ssh/是否有祕鑰 有的話rm -rf /root/.ssh/* 最好刪除之前備份。 生成