linux---集群架构初探（8） 管理服务器及SSH服务

m01管理机主要职责

1.批量管理（ssh和ansible），分发软件、安装服务、运行命令和脚本。

2.跳板机( Jumpserver)。就是登陆跳板机才能管理其他服务器。

3.日志审计( Jumpserver)

4.VPN服务，只有连接上VPN才能使用管理机。PPTP

5.无人值守安装(批量装1000台)kickstart, cobbler

6.zabbix监控服务,代码发布(git+ jenkins)

SSH服务介绍

Secure Shell Protocol   安全的shell协议（传输过程中加密）。

远程连接并管理Linux。（如软件xshell）

默认端口22。

服务端软件（一般系统都自带）：

服务端配置文件：/etc/ssh/sshd_config

可优化配置：

Port 52113　　#默认22端口，建议更改为大于10000的端口号

PermitRootLogin  no  　　#默认yes，改为no，禁止root远程登录

PermitEmptyPasswords no　　#默认no，禁止空密码登录

UseDNS no　　#默认yes，改为no，不使用DNS解析（不需要将ip地址解析为域名）

GSSAPIAuthentication no　　#默认yes，改为no，解决连接慢的问题

ListenAddress 172.16.1.61:52113　　#设置为本机内网IP，保证服务器间使用内网连接，使用vpn连接跳板机，再连接其他服务器。

服务名：sshd.service

Linux ssh客户端常用命令：（客户端配置文件 /etc/ssh/ssh_config）

从一个客户端连接到另一个客户端：

可通过exit命令退出。

scp命令参数： -P 端口　　-r 递归　　-p 保持属性　　-l 限制速度

推：scp -P 22 -rp /data root@172.16.1.61:/tmp/

拉：scp -P 22 -rp root@172.16.1.61:/tmp/data/ /data

默认端口号22和默认用户名root可以省略，与rsync相比，scp每次都是全量拷贝。

sftp命令（加密的ftp服务，缺点是无法锁定家目录，不能传输目录）：

也可以使用xshell软件，使用sftp协议登录服务器，上传下载文件，注意本地电脑的文件路径尽量不要用中文。

ssh通信原理

1.服务器端ssh服务启动时会随机产生一串公钥server key

2.客户端请求ssh连接，服务器端检查其ip和端口号

3.检查通过后将公钥发送给客户端

4.客户端接收到公钥后，随机产生一串私钥，组成 密钥对 key pair，发送给服务器端

5.双方通过密钥对传输数据

客户端秘钥位置（家目录下）：

延伸：xshell 6 使用秘钥登录服务器

1.工具---新建用户秘钥生成导向，按默认配置即可，最后将生成的公钥保存为文件。

2.将保存的公钥文件上传至服务器，并将内容追加到 ~/.ssh/authorized_keys，并为其设置600权限。

3.修改配置文件/etc/ssh/sshd_config，确保

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

3.xshell新建会话，协议SSH，主机IP端口号填好，属性---用户身份验证---方法选择Public Key，用户名为刚才上传公钥文件登录的用户，用户秘钥选择刚才建好的秘钥，密码为刚才设置的密码。即可连接

实践批量管理（m01批量管理web01和web02）

m01（私钥）、web01（公钥）、web02（公钥）

1.在m01上生成密钥对（原则上在哪个服务器上生成都行，这里是为了方便）

输入ssh-keygen，连续回车：

ssh-keygen参数 -d 可以指定加密算法的类型 rsa（默认） 和 dsa。

RSA既可以进行加密也可以进行数字签名，DSA只能进行数字签名。

2.把公钥放到web01、web02服务器上

使用专门的命令：

这条命令是将生成的公钥内容直接追加到目的服务器的 ~/.ssh/authorized_keys 文件中（如果没有会生成此文件）

3.确保权限

4.测试

5.批量测试

 sshpass命令

当我们用ssh连接远程主机时需要输入密码，可通过sshpass直接在命令行将密码作为参数连接。

安装

远程连接服务器

从远端拉取文件到本地

取消第一次连接时需要输入yes确认：加上-o StrictHostKeyChecking=no