① linux下最常用的遠程管理工具是什麼 ss
在我們日常管理與維護伺服器個過程中,我們都需要使用遠程連接工具,今天我們就一同來總結下Linux常用的安全遠程連接工具-OpenSSH。
【遠程登錄協議】
1、telnet:是TCP/IP協議族中的一員,是Internet遠程登陸服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主
機工作的能力。默認使用的是TCP的23號埠,採用C/S架構,在用戶登錄的過程中傳輸的信息都是明文信息,安全無法保障,所以不建議用telnet。
2、ssh:為Secure Shell 的縮寫,由IETF的網路工作小組所制定;SSH
為建立在應用層和傳輸層基礎上的安全協議。SSH是目前較可靠,專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH
協議可以有效防止遠程管理過程中的信息泄露問題。默認使用的是TCP的22號埠,也是基於C/S架構,SSH有兩個版本v1與v2。
sshv1:基於CRC-32做MAC(消息摘要認證),不安全,強烈建議不使用;
sshv2:基於雙方主機的協商選擇使用最安全的MAC方式 ,其有如下特點:1、加密機制及MAC機制由雙方協商選定;2、基於DH實現密鑰交換,基於RSA或DSA實現身份認證;3、客戶端通過檢查伺服器端的主機密鑰來判斷是否能夠繼續通信;
【OpenSSH簡述】
OpenSSH 是一組用於安全地訪問遠程計算機的連接工具。它可以作為rlogin、rsh
rcp以及telnet的直接替代品使用。更進一步,其他任何TCP/IP連接都可以通過SSH安全地進行隧道/轉發。OpenSSH
對所有的傳輸進行加密,從而有效地阻止了竊聽、連接劫持,以及其他網路級的攻擊。OpenSSH 由 OpenBSD project 維護。
登錄過程和使用rlogin或telnet建立的會話非常類似。在連接時,SSH
會利用一個密鑰指紋系統來驗證伺服器的真實性。只有在第一次連接時,用戶會被要求輸入yes進行確認,之後的連接將會驗證預先保存下來的密鑰指紋。如果保
存的指紋與登錄時接收到的不符, 則將會給出警告。 指紋保存在 ~/.ssh/known_hosts中,對於SSHv2指紋,則是
~/.ssh/known_hosts2。
默認情況下,較新版本的OpenSSH只接受SSHv2連接。如果能用版本2則客戶程序會自動使用,否則它會返回使用版本1的模式。此外,也可以通
過命令行參數-1或-2來相應地強制使用版本1或2。 保持客戶端的版本1能力是為了考慮較早版本的兼容性,建議盡量使用版本2。
【SSH伺服器和客戶端工作流程】
OpenSSH使用C/S架構:
服務端工具(S):sshd
客戶端工具(C):ssh命令、putty、xshell、securecrt、sshshellclient;
【OpenSSH客戶端組件-ssh】
配置文本:/etc/ssh/ssh_config
使用方法:
ssh [username@] host [COMMAND]或 ssh -l username host [COMMAND]
-p PORT:指定遠程伺服器埠;
-l username:指定登錄遠程主機的用戶,不指定則使用當前用戶;
username@:等同於 -l username;
如果設置了COMMAND,表示使用username賬戶登錄遠程主機執行一次指定的命令並返回結果,不會停留在遠程主機上;
[root@www ~]# ssh 192.168.0.110 #使用root用戶登錄;
The authenticity of host '192.168.0.110 (192.168.0.110)' can't be established.
RSA key fingerprint is 01:2e:43:cc:bc:1d:f1:e5:f0:f4:89:78:74:a9:49:44.
Are you sure you want to continue connecting (yes/no)? yes #第一次連接,需手動進行確認;
Warning: Permanently added '192.168.0.110' (RSA) to the list of known hosts.
[email protected]'s password: #輸入遠程主機root賬戶的密碼;
Last login: Mon May 11 16:44:52 2015 from 192.168.0.104
[root@mailCentOS6 ~]# #登錄成功了,遠程主機名為mailCentOS6;
[root@mailCentOS6 ~]# ls #顯示遠程主機root家目錄下的文件;
2.sh boot.iso install.log sdb.mbr test1
anaconda-ks.cfg crontab install.log.syslog \temp\test
[root@mailCentOS6 ~]# exit #退出登錄;
logout
Connection to 192.168.0.110 closed.
[root@www ~]# ssh [email protected] ls #使用root登錄遠程主機,執行一次ls命令,返回結果便退出;
[email protected]'s password: #第二次連接,就不需要輸入yes了,直接輸入密碼即可;
2.sh
anaconda-ks.cfg
boot.iso
crontab
install.log
install.log.syslog
sdb.mbr
\temp\test
test1
[root@www ~]# #看到了嗎,我們當前並沒有登錄在遠程主機;
【OpenSSH伺服器端組件-sshd】
配置文件:/etc/ssh/sshd_config(通過修改此文件可以修改ssh的默認監聽埠與其他參數)
服務腳本:/etc/rc.d/init.d/sshd
服務啟動|停止|重啟:serveice sshd start|stop|restart
腳本配置文件:/etc/sysconfig/sshd
配置參數
# man sshd_config 查看配置參數的說明;
# vim /etc/sysconfig/sshd 通過編輯配置文件來修改配置參數;
#+空格+文字:以此格式開頭的行表示改行為注釋說明;
#+文字:以此格式開頭的行表示可啟用選項,不改變則表示使用該選項的默認設置,反之使用設定值「#」要去掉哦!
例:#Port 22 如不去掉#且22不變,表示使用默認的22號埠;
若把#Port 22改成port 7777,表示把sshd的監聽埠改成7777;
注意:修改參數與配置後,必須重啟服務(service sshd restart).
經常需要修改的參數:
[root@www ~]# cat /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22 #修改默認監聽的埠;
port 7777 #把sshd的監聽埠改成7777;
#AddressFamily any #監聽的地址家族,指定是監聽在IPV4上還是IPV6上,any表示所有;
#ListenAddress 0.0.0.0 #指定監聽的地址 (0.0.0.0表示本機的所有地址);
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key #使用shhv1用到的主機密鑰;
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024 #密鑰長度;
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m #登錄寬限期;
#PermitRootLogin yes #是否允許管理員直接登錄;
#StrictModes yes
#MaxAuthTries 6 #最大密碼輸入錯誤次數;
#MaxSessions 10 #最大會話個數;
#RSAAuthentication yes #是否允許使用RSA機制來認證;
#PubkeyAuthentication yes
#--------中間不長改變的配置參數略----------
Subsystem sftp /usr/libexec/openssh/sftp-server #表示是否啟動sftp功能;
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
sshd認證方式:
1、基於口令的認證;
2、基於密鑰的認證;
# ssh-keygen -t rsa 用rsa演算法生成密鑰,默認密鑰為id_rsa(私鑰), id_rsa.pub(公鑰)
# ssh-keygen -f /path/to/somefile -P oldpassword 根據現有的密鑰文件生成密鑰
-f /path/to/somefile: 密鑰文件保存在的位置;
-P '': 指定生成舊密鑰時使用的密碼;
方法一:把本地主機生成的公鑰 id_rsa.pub使用scp復制到遠程主機的上,在遠程主機使用cat id_rsa.pub>>.ssh/authorized_keys追加該公鑰信息,這樣就可以實現基於密鑰認證的ssh登錄;
方法二:# ssh--id -i .ssh/id_rsa.pub USERNAME@HOST
[root@www ~]# ssh-keygen -t rsa #用rsa演算法生成密鑰;
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #指定密鑰存放路徑及名稱,一般不用
#修改,直接回車;
Enter passphrase (empty for no passphrase): #輸入私鑰密碼;
Enter same passphrase again: #確認輸入私鑰密碼;
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c2:f9:c2:3d:4d:ca:52:39:7a:a7:33:de:42:11:d3:8f [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| o . |
| o o |
| . ...E . |
| + S.. |
| . B.= |
| =.B o |
| ++= |
| .o+. |
+-----------------+
[root@www ~]# ssh-keygen -f .ssh/id_rsa -P '' #根據現有密鑰文件重新生成密鑰;
Generating public/private rsa key pair.
.ssh/id_rsa already exists.
Overwrite (y/n)? y #提示是否確定要覆蓋;
Your identification has been saved in .ssh/id_rsa.
Your public key has been saved in .ssh/id_rsa.pub.
The key fingerprint is:
bf:55:f0:0b:a5:ee:4e:4a:1d:d3:b1:0e:66:ee:55:9b [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
| |
| |
| . o |
| * o |
| S O = .|
| . * B oo|
| o * +E |
| . B . |
| o.+ |
+-----------------+
#-----使用方法一:實現通過密鑰文件完成身份驗證(不需要輸入密碼)-----
[root@www ~]# scp .ssh/id_rsa.pub [email protected]:/root/ #使用spc命令復制公鑰文件到遠程
#主機的用戶家目錄下的.ss/路徑下;
[email protected]'s password: #輸入登錄遠程主機的密碼;
id_rsa.pub 100% 397 0.4KB/s 00:00 #提示復製成功;
[root@mailCentOS6 ~]# ls .ssh/ #驗證確認文件復製成功;
id_rsa.pub known_hosts
[root@mailCentOS6 ~]# touch .ssh/authorized_keys #路徑內沒有自動驗證密鑰文件,創建一個;
[root@mailCentOS6 ~]# cat .ssh/id_rsa.pub >> .ssh/authorized_keys #把公鑰追加到自動驗證密鑰文件;
[root@www ~]# ssh 192.168.0.110
Last login: Mon May 11 20:45:10 2015 from 192.168.0.111
[root@mailCentOS6 ~]# #OK了,看到了沒有,不用輸入密碼我們就直接可以遠程登錄了!!
#-----使用方法二:實現通過密鑰文件完成身份驗證(不需要輸入密碼)-----
[root@mailCentOS6 ~]# rm -f .ssh/authorized_keys #刪除原有保存的自動驗證密鑰文件;
[root@www ~]# ssh--id -i .ssh/id_rsa.pub [email protected] #使用命令自動傳輸生成自動驗證密鑰文件;
[email protected]'s password:
Now try logging into the machine, with "ssh '[email protected]'", and check in:
.ssh/authorized_keys #提示生成的文件;
to make sure we haven't added extra keys that you weren't expecting.
[root@www ~]# ssh 192.168.0.110 #驗證看看是否可以登錄;
Last login: Mon May 11 21:02:29 2015 from 192.168.0.111
[root@mailCentOS6 ~]# ls .ssh/ #看到了沒有,我們現在已經登錄到了mailCentOS6這台主機上了;
authorized_keys known_hosts
【命令補充】
scp: 利用ssh協議在主機之間實現安全文件傳輸的工具
scp SRC1... DEST
分兩種情形:
1、源文件在本機,目標為遠程主機
# scp /path/to/somefile... USERNAME@HOST:/path/to/somewhere
源可以是目錄或文件有多個,目標必須是目錄
2、源文件在遠程,本地為目標
# scp USERNAME@HOST:/path/to/somewhere /path/to/somewhere
-r: 復制目錄時使用(實現遞歸復制),scp默認不能復制目錄;
-p: 保持源文件的元數據信息,包括mode和timestamp
-q: 靜默模式,復制過程不顯示狀態信息;
-p PORT: 指定ssh協議監聽的埠(遠程主機)。
② Linux關於網卡的幾個命令
一、Linux網路屬性配置
1.Linux主機接入到網路方式
IP/NETMASK:實現本地網路通信
路由(網關):可以進行跨網路通信
DNS伺服器地址:基於主機名的通信,Linux可以有三個DNS地址
當第一個地址本身掛了,才會查找其備用地址;若第一個地址無法解析則停止
2.網路屬性配置方式
(1)靜態指定
1)命令方式
ifcfg系列命令:
ifconfig:配置IP,NETMASK
route:配置路由相關信息
netstat:狀態及統計數據查看
iiproute2系列命令:
ip OBJECT:
addr:地址和掩碼;
link:介面
route:路由
ss:狀態及統計數據查看
CentOS 7:nm(Network Manager)家族
nmcli:命令行工具
nmtui:text window 工具
hostname/hostnamectl:主機名配置
2) 配置文件:
RedHat及相關發行版:/etc/sysconfig/network-scripts/ifcfg-NETCARD_NAME
DNS伺服器指定配置文件:/etc/resolv.conf
本地主機名配置文件:/etc/sysconfig/network
註:命令配置能及時生效,但時關閉當前進程之後配置失效,為一次性配置方式
通過配置文件配置網路屬性,無法立即生效,需要重啟服務、重新載入配置文件或者重啟進程
(2)動態分配:依賴於本地網路中有DHCP服務
DHCP:Dynamic Host Configure Procotol, 動態主機配置協議,此時不能固定IP地址
3.網路介面命名
(1)傳統命名
乙太網:eth#,例如eth0, eth1, …
PPP網路:ppp#, 例如,ppp0, ppp1, …
(2)可預測命名方案(CentOS 7)
支持多種不同的命名機制,根據Fireware, 拓撲結構等信息自動配置
1) Firmware或BIOS為主板上集成的設備提供的索引信息可用,則根據此索引進行命名,如eno1,eno2, …
2) Firmware或BIOS為PCI-E擴展槽所提供的索引信息可用,且可預測,則根據此索引進行命名,如ens1, ens2, …
3) 如果硬體介面的物理位置信息可用,則根據此信息命名,如enp2s0, …
4) 如果用戶顯式定義,也可根據MAC地址命名,例如eno16777736(十六進制MAC), …
5)上述均不可用,則仍使用傳統方式命名;
(3)命名格式的組成
en:ethernet,表示網際網路網卡介面
wl:wlan,表示無線網網卡介面
ww:wwan,Wireless Wide Area Network,表示無線廣域網網卡
(4)名稱類型:
o<index>:集成設備的設備索引號;
s<slot>:擴展槽的索引號;
x<MAC>:基於MAC地址的命名;
p<bus>s<slot>:基於匯流排及槽的拓撲結構進行命名;