devbox
羊村懒王
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

管理服务远程ssh_powershell连接跳板机

作者:羊村懒王 | 2024-04-12 04:21:25

powershell连接跳板机

SSH远程管理服务

一、SSH简介

**SSH是一个安全协议,在进行数据传输时,会对数据包进行加密处理,加密后在进行数据传输。确保了数据传输安全。**那SSH服务主要功能有哪些呢?
1.提供远程连接服务器的服务
1)Linux远程连接协议:ssh服务 端口22
2)Windows远程连接:RDP协议 端口3389
2.对传输的数据进行加密

各个服务的对应的端口号,或者对应的服务如下图
在这里插入图片描述

二、SSH相关命令

SSH有客户端与服务端,我们将这种模式称为C/S架构,ssh客户端支持Windows、Linux、Mac等平台。在ssh客户端中包含 ssh|slogin远程登陆、scp远程拷贝、sftp文件传输、ssh-copy-id秘钥分发等应用程序。
1.ssh命令
[root@web01 ~]# ssh root@172.16.1.31
命令拆分:
ssh #命令
root #连接远端时真实存在的用户
#如果连接时不写用户,就会连接服务器的当前用户
@ #分隔符
172.16.1.31 #远端服务器的地址
-p #指定ssh服务端的端口
22 #ssh的默认端口
-o StrictHostKeyChecking=no #首次连接不询问连接

补充:xshell连接不上服务器怎么办?
1.首先确认网络是否能ping通
2.查看网卡是否启动
3.查端口,用telnet检查
4.检查ssh服务是否启动
5.查看防火墙
6.虚拟机的虚拟网络编辑器,查看配置是否正确
7.查看window的网卡

2.scp命令
类似于rsync命令,远程拷贝,scp是全量复制,rsync是增量复制
scp也支持推和拉

1)参数
-P 指定端口,默认22端口可不写
-r 表示递归拷贝目录
-p 表示在拷贝文件前后保持文件或目录属性不变
-l 限制传输使用带宽(默认kb)

2)scp推
#推送文件到远程目录
[root@web02 ~]# scp rewriteip.sh root@172.16.1.31:/tmp/
root@172.16.1.31’s password:
rewriteip.sh 100% 195 4.4KB/s 00:00
命令拆分:
scp #命令
rewriteip.sh #文件
root #用户,不填默认以远程主机的当前用户
@ #分隔符
172.16.1.31 #远程主机ip地址
:/tmp/ #远程主机保存文件的位置
#注意:
1.与rsync不同,推送目录时不论加/或者不加,推送的都是目录
2.如果想推送目录下的文件加*

3)scp拉
[root@web02 ~]# scp root@172.16.1.31:/tmp/rewriteip.sh /tmp/
root@172.16.1.31’s password:
rewriteip.sh 100% 195 102.9KB/s 00:00
#注意:
1.与rsync不同,推送目录时不论加/或者不加,推送的都是目录
2.如果想推送目录下的文件加*

4)命令示例:
#推:将本地/tmp/oldboy推送至远端服务器10.0.0.61的/tmp目录,使用对端的root用户
[root@m01 ~]# scp -P22 -rp /tmp/oldboy oldboy@10.0.0.61:/tmp

#拉:将远程10.0.0.61服务器/tmp/oldboy文件拉取到本地/opt/目录下
[root@m01 ~]# scp -P22 -rp root@10.0.0.61:/tmp/oldboy /opt/

#限速
[root@m01 ~]# scp /opt/1.txt root@172.16.1.31:/tmp
root@172.16.1.31 password:
test 100% 656MB ‘83.9MB/s’ 00:07
#限速为8096kb,换算为MB,要除以 8096/8=1024KB=1MB
[root@m01 ~]# scp -rp -l 8096 /opt/1.txt root@172.16.1.31:/tmp
root@172.16.1.31s password:
test 7% 48MB ‘1.0MB/s’ 09:45

3.sftp 命令(了解即可)
1)终端连接

[c:\~]$ sftp 192.168.1.31
#下载文件
sftp:/data> get 2_nfs.jpg
Fetching /data/2_nfs.jpg
sftp:received 29.7kb in 0.03 seconds
#上传文件
sftp:/data>  put
#选择文件

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

2)服务器之间的连接
1.连接
[root@web01 ~]# sftp 172.16.1.31
root@172.16.1.31’s password:
Connected to 172.16.1.31.
sftp>
2.操作远程主机
sftp> pwd
Remote working directory: /root
sftp> cd /data
sftp> pwd
Remote working directory: /data
sftp> ll
Invalid command.
sftp> ls
123.txt
sftp> ls -l
-rw-r–r-- 1 nfsnobody nfsnobody 0 Mar 29 11:34 123.txt
3.操作本机(在命令前面加一个1,表示localhost)
sftp> lls -l
total 152
-rw-------. 1 root root 1755 Mar 4 18:56 anaconda-ks.cfg
-rw-r–r-- 1 root root 426 Mar 26 19:26 client.sh
-rw-r–r-- 1 root root 136588 Mar 25 16:58 etc.tar.gz
-rw-r–r-- 1 root root 1437 Mar 29 20:59 jingdong.sh
-rw-r–r-- 1 root root 195 Mar 23 16:18 rewriteip.sh
4.拉取命令
get 文件名
#指定目录拉取
get 文件名 目录名
5.推送
put
6.文件传输工具
1.xftp
2.filezilla
3.flashfxp
7.sz、rz命令与sftp对比
sz、rz:
1)不能上传大于4个G的文件
2)不能断点续传
3)不能上传文件夹
sftp:
1)能上传大于4G的文件
2)支持断点续传
3)可以上传文件夹

ssh验证方式

1.基于账户密码远程登录
知道服务器的IP地址、端口、账号密码即可通过ssh客户端命令登陆远程主机。

#设置密码
1.如果太难,会记不住
2.如果太简单,容易破解
3每台服务器密码不一样
4.密码是动态的
5.密码三个月一改
6.密码错误三次锁定用户
7.密码没有规律

2.基于秘钥的远程登录
默认情况下,通过ssh客户端命令登陆远程服务器,需要提供远程系统上的帐号与密码,但为了降低密码泄露的机率和提高登陆的方便性,建议使用密钥验证方式。
原理:
在这里插入图片描述
1)生成密钥对
[root@m01 ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:vy4Z1ItRlNuuVJzdDV7ZM0hnTjpGrFZBrvM/pVILsrY root@m01
The key’s randomart image is:
±–[RSA 2048]----+
| …+=o+o|
| o o+B+o|
| o +oO =+|
| o ooB + o|
| .So.* |
| o.+ = . .|
| +.+ + o.|
| o +… +. |
| +E. . …|
±—[SHA256]-----+

2)将公钥发送给要免密的服务器

1>手动复制公钥
1.查看公钥
[root@m01 ~]# cat .ssh/id_rsa.pub
2.在其他服务器上创建文件,将内容粘贴进去
[root@nfs ~]# mkdir .ssh
[root@nfs ~]# vim .ssh/authorized_keys
3.授权文件
[root@nfs ~]# chmod 700 .ssh
[root@nfs ~]# chmod 600 .ssh/authorized_keys
4.测试连接
#首次连接需要记录服务器信息到.ssh/known_hosts
[root@m01 ~]# ssh 192.168.1.31
The authenticity of host ‘192.168.1.31 (192.168.1.31)’ can’t be established.
ECDSA key fingerprint is SHA256:KjZp/zxqS35aUrDtKvhXlYyWcZwZvH/HP1nSfG61uPM.
ECDSA key fingerprint is MD5:41:33:87:9d:3e:a4:55:d2:e0:23:90:2f:10:e7:0a:a3.
Are you sure you want to continue connecting (yes/no)? yes
There was 1 failed login attempt since the last successful login.
Last login: Tue Mar 30 08:46:27 2021 from 192.168.1.1

2>使用命令推送公钥
#推送公钥到172.16.1.7

[root@m01 ~]# ssh-copy-id -i .ssh/id_rsa.pub root@172.16.1.7
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: ".ssh/id_rsa.pub"
The authenticity of host '172.16.1.7 (172.16.1.7)' can't be established.
ECDSA key fingerprint is SHA256:KjZp/zxqS35aUrDtKvhXlYyWcZwZvH/HP1nSfG61uPM.
ECDSA key fingerprint is MD5:41:33:87:9d:3e:a4:55:d2:e0:23:90:2f:10:e7:0a:a3.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.1.7's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@172.16.1.7'"
and check to make sure that only the key(s) you wanted were added.


[root@m01 ~]# ssh 172.16.1.7
Last login: Tue Mar 30 08:46:06 2021 from 192.168.1.1


拓展:若遇到以下问题:
PS C:\Users\qs> ssh root@10.11.12.2
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:RamM+z+P0ZkUkk9MMzizQJy8uAgLOgq1LS35ZBBJtHg.
Please contact your system administrator.
Add correct host key in C:\\Users\\qs/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in C:\\Users\\qs/.ssh/known_hosts:7
ECDSA host key for 10.11.12.2 has changed and you have requested strict checking.
Host key verification failed.

所以现在执行
ssh-keygen -R yourip


  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39

ssh免密场景

在这里插入图片描述
实践场景,用户通过Windows/MAC/Linux客户端连接跳板机免密码登录,跳板机连接后端无外网的Linux主机实现免密登录,架构图如下。
实践多用户登陆一台服务器无密码
实践单用户登陆多台服务器免密码

1.powershell免密连接跳板机(Windows)
1.打开powershell
2.执行ssh-keygen
3.windows下找到公钥文件:…ssh\id_rsa_pub(…代表的是目录,大家目录可能不一样)
4.将公钥内容复制到m01跳板机上
[root@nfs ~]# vim .ssh/authorized_keys
[root@nfs ~]# chmod 600 .ssh/authorized_keys

2.xshell免密登录跳板机(Linux)
1.打开xshell、找到工具栏里的工具,点击新建用户密钥
2.选择加密文件类型和位数,下一步
3.生成密钥对成功,下一步
4.给密钥配置信息,名字,密码…完成
5.密钥属性或者工具栏,用户密钥管理者
6.选择密钥对,点击属性,查看公钥
7.将公钥内容复制到m01跳板机上
[root@m01 ~]# vim .ssh/authorized_keys
[root@m01 ~]# chmod 600 .ssh/authorized_keys
8.连接时使用密钥连接

3.Mac直接连接即可

巡检脚本

#通过跳板机获取所有机器的load,CPU,Memory等信息(思考:如果服务器数量多,如何并发查看和分发数据)
[root@m01 ~]# cat xunjian.sh

#!/usr/bin/bash
for i in 7 31
do
    echo "#########172.16.1.$i#####"
    ssh root@172.16.1.$i "$1"
done

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
跳板机脚本

[root@m01 ~]# vim jump.sh

#!/bin/bash
#jumpserver
lb01=192.168.1.5
lb02=192.168.1.6
web01=192.168.1.7
web02=192.168.1.8
web03=192.168.1.9
nfs=192.168.1.31
backup=192.168.1.100
db01=192.168.1.51
m01=192.168.1.61
zabbix=192.168.1.71

menu(){
        cat <<-EOF
        +-------------------------+
        |     1) lb01             |
        |     2) lb02             |
        |     3) web01            |
        |     4) web02            |
        |     5) web03            |
        |     6) nfs              |
        |     7) backup           |
        |     8) db01             |
        |     9) m01              |
        |     10) zabbix          |
        |     h) help             |
        +-------------------------+
EOF
}
#菜单函数
menu

#连接函数
connect(){
  ping -c 1 -w 1 $1 &>/dev/null
  if [ $? -eq 0 ];then
    ssh root@$1
  else
    echo -e "\033[5;4;40;31m 别连了,我的哥,$2:$1机器都没开!!!\033[0m"
  fi
}

#控制不让输入ctrl+c,z
trap "" HUP INT TSTP
while true
do
    read -p "请输入要连接的主机编号:" num
    case $num in
            1|lb01)
              connect $lb01 lb01
                    ;;
            2|lb02)
              connect $lb02 lb02
                    ;;
            3|web01)
              connect $web01 web01
                    ;;
            4|web02)
              connect $web02 web02
                    ;;
            5|web03)
                  connect $web03 web03
                    ;;
            6|nfs)
              connect $nfs nfs
                    ;;
            7|backup)
                  connect $backup backup
                    ;;
            8|db01)
                   connect $db01 db01
                    ;;
            9|m01)
                    connect $m01 m01
                    ;;
            10|zabbix)
                    connect $zabbix zabbix
                    ;;
            h|help)
                    clear
                    menu
                    ;;
            close)
                    break
                    ;;
    esac
done

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82
  • 83
  • 84
  • 85
  • 86
  • 87
  • 88
ssh安全优化

1.优化内容
#SSH作为远程连接服务,通常我们需要考虑到该服务的安全,所以需要对该服务进行安全方面的配置。
1.更改远程连接登陆的端口
2.禁止ROOT管理员直接登录
3.密码认证方式改为密钥认证
4.重要服务不使用公网IP地址
5.使用防火墙限制来源IP地址(这里不调整,以后会说)

2.SSH服务登录防护需进行如下配置调整,vim /etc/ssh/sshd_config,找到下面的选项一一修改即可
Port 6666 # 变更SSH服务远程连接端口
PermitRootLogin no # 禁止root用户直接远程登录
PasswordAuthentication no # 禁止使用密码直接远程登录
UseDNS no # 禁止ssh进行dns反向解析,影响ssh连接效率参数
GSSAPIAuthentication no # 禁止GSS认证,减少连接时产生的延迟

免交互expect[扩展]
1.安装expect

[root@m01 ~]# yum install -y expect
2.编写expect脚本

#!/usr/bin/expect
set ip 10.0.0.51
set pass 123456
set timeout 30
spawn ssh root@KaTeX parse error: Can't use function '\r' in math mode at position 42: …no)" {send "yes\̲r̲"; exp_continue…pass\r"}
}
expect “root@" {send “df -h\r”}
expect "root@” {send “exit\r”}
expect eof
免交互sshpass[扩展]
1.安装sshpass

[root@m01 ~]# yum install -y sshpass
2.使用sshpass命令

[root@m01 ~]# sshpass -p 123456 ssh root@10.0.0.51

[option]
-p:指定密码
-f:从文件中取密码
-e:从环境变量中取密码
-P:设置密码提示

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/羊村懒王/article/detail/409127
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号