密钥交换与远程登录

1. 编写脚本实现登陆远程主机。（使用expect和shell脚本两种形式）
   expect实现

   点击查看代码

   [root@centos7 ~]# cat push_ssh_key.sh 
   #!/bin/bash
   PASS=magedu
   rpm -q expect &> /dev/null || yum -y install expect &> /dev/null
   ssh-keygen  -t rsa -P "" -f /root/.ssh/id_rsa &> /dev/null && echo "ssh key is created"
   while read IP ;do
   expect &> /dev/null <<EOF  #或者expect <<EOF   &> /dev/null
   set timeout 20
   spawn ssh-copy-id -i /root/.ssh/id_rsa.pub root@$IP
   expect "yes/no" { send "yes\n";exp_continue }
     "yes/no" { send "yes\n";exp_continue }
     "password" { send "$PASS\n" }
   }
   expect eof
   EOF
   echo $IP is ready
   done < hosts.txt
   

   shell脚本调用expect

   点击查看代码

   [root@centos7 ~]# cat push_shell_expect.sh 
   COLOR="echo -e \E[1;32m"
   END="\E[0m"
   PASSWORD=123456
   IPLIST="
   10.0.0.7
   10.0.0.17
   "
   [ ! -f ~/.ssh/id_rsa ] && ssh-keygen -P "" -f ~/.ssh/id_rsa &>/dev/null
   rpm -q expect &> /dev/null || yum -y -q install expect &>/dev/null
   for ip in $IPLIST ;do
   {    
   expect <<EOF
   set timeout 60
   spawn ssh-copy-id $ip
   expect {
   		"yes/no" { send "yes\r";exp_continue }
   		"password:" { send "$PASSWORD\r" }
   }
   expect eof
   EOF
   $COLOR"$ip is ready"$END
   }&
   done
   wait
   $COLOR"Push ssh key is finished!"$END
   

2. 生成10个随机数保存于数组中，并找出其最大值和最小值

   点击查看代码

   [root@centos7 ~]# cat find_max_num.sh 
   #!/bin/bash
   echo
   echo -e "随机值为："
   #随机数组赋值
   for index in {1..10}; do
     rand[$index]=$RANDOM
     echo -n "${rand[$index]} "
   done
   
   max_num=${rand[1]} #定义最大值
   
   for index in {2..10}; do
     if [ $max_num -lt ${rand[$index]} ]; then
   	max_num=${rand[$index]}
     fi
   done
   echo 
   echo
   echo "最大值为：${max_num}"
   echo
   [root@centos7 ~]# ./find_max_num.sh 
   
   随机值为：
   22800 21206 27151 13253 24886 10023 1667 6372 13604 29172 
   
   最大值为：29172
   
   [root@centos7 ~]# 
   

3. 输入若干个数值存入数组中，采用冒泡算法进行升序或降序排序

   点击查看代码

   [root@centos7 ~]# cat bubbling.sh 
   #!/bin/bash
   echo
   echo "随机值为："
   #随机数组赋值
   for index in $(seq 10); do
     rand[$index]=$RANDOM
     echo -n "${rand[$index]} "
   done
   
   for (( i=1; i<=${#rand[*]}; i++ )); do
   	for (( j=1; j<=${#rand[*]}-1; j++ )); do
   			if [[ ${rand[j]} -gt ${rand[j+1]} ]]; then
   				tmp=${rand[j]}
   				rand[j]=${rand[j+1]}
   			rand[j+1]=${tmp}
   			fi
   	done
   done
   echo
   echo "排序后的结果为:"
   echo ${rand[*]}
   echo 
   [root@centos7 ~]# ./bubbling.sh 
   
   随机值为：
   12817 13190 11295 12512 17385 31884 20827 17261 15837 4458 
   排序后的结果为:
   4458 11295 12512 12817 13190 15837 17261 17385 20827 31884
   
   [root@centos7 ~]# 
   

4. 总结查看系统负载的几种命令，总结top命令的指标大概什么含义

   • /proc/uptime 包括两个值，单位 s
     • 系统启动时长
     • 空闲进程的总时长（按总的CPU核数计算）
   • uptime 和 w 显示以下内容
     • 当前时间
     • 系统已启动的时间
     • 当前上线人数
   • 系统平均负载（1、5、15分钟的平均负载，一般不会超过1，超过5时建议警报）系统平均负载: 指在特定时间间隔内运行队列中的平均进程数,通常每个CPU内核的当前活动进程数不大于3，那么系统的性能良好。如果每个CPU内核的任务数大于5，那么此主机的性能有严重问题
   • 如：linux主机是1个双核CPU，当Load Average 为6的时候说明机器已经被充分使用
   • 范例：

     [root@centos7 ~]# uptime 
      17:49:43 up 52 days, 20:49,  1 user,  load average: 0.05, 0.03, 0.05
     [root@centos7 ~]# cat /proc/uptime 
     4567766.37 9056602.92
     [root@centos7 ~]# w
      18:05:42 up 52 days, 21:05,  1 user,  load average: 0.00, 0.01, 0.05
     USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
     root     pts/0    117.176.186.169  14:41    6.00s  0.42s  0.00s w
     

   • top 提供动态的实时进程状态
     
     有许多内置命令

     帮助：h 或 ？ ，按 q 或esc 退出帮助
     排序：
     	P：以占据的CPU百分比,%CPU
     	M：占据内存百分比,%MEM
     	T：累积占据CPU时长,TIME+
     首部信息显示：
     	uptime信息：l命令
     	tasks及cpu信息：t命令
     	cpu分别显示：1 (数字)
     	memory信息：m命令
     退出命令：q
     修改刷新时间间隔：s
     终止指定进程：k
     保存文件：W
     

   • top命令栏位信息简介

     us：用户空间
     sy：内核空间
     ni：调整nice时间
     id：空闲
     wa：等待IO时间
     hi：硬中断
     si：软中断（模式切换）
     st：虚拟机偷走的时间
     

   • top选项：

     -d # 指定刷新时间间隔，默认为3秒
     -b 全部显示所有进程
     -n # 刷新多少次后退出
     -H   线程模式
     

   • 范例：

     top -H -p `pidof mysqld`
     

5. 编写脚本，使用for和while分别实现192.168.0.0/24网段内，地址是否能够ping通，若ping通则输出"success!"，若ping不通则输出"fail!"

   点击查看代码

   #for实现
   [root@centos7 ~]# cat for_scan_host.sh 
   NET=192.168.0
   for ID in {1..254};do
      {
   	  ping -c1 -W1 $NET.$ID &> /dev/null && echo $NET.$ID success! | tee -a host_list.log || echo $NET.$ID fail
      }&
   done
   wait
   [root@centos7 ~]# touch host_list.log 
   [root@centos7 ~]# ./for_scan_host.sh | head -3
   192.168.0.2 fail
   192.168.0.4 fail
   192.168.0.5 fail
   
   #whil实现
   [root@centos7 ~]# cat while_scan_host.sh 
   NET=192.168.0
   ID=1
   while [ $ID -lt 254 ]; do
     {
   	 ping -c1 -W1 $NET.$ID &> /dev/null && echo $NET.$ID success! | tee -a host_list.log || echo $NET.$ID fail
     }&
     let "ID++" 
   done
   wait
   [root@centos7 ~]# ./while_scan_host.sh | head -3
   192.168.0.1 fail
   192.168.0.3 fail
   192.168.0.5 fail
   

6. 每周的工作日1:30，将/etc备份至/backup目录中，保存的文件名称格式 为“etcbak-yyyy-mm-dd-HH.tar.xz”，其中日期是前一天的时间

   点击查看代码

   [root@centos7 ~]# crontab -e
   
   [root@centos7 ~]# crontab -l
   30 1 * * * ~/backup.sh
   
   [root@centos7 ~]# cat backup.sh 
   #!/bin/bash
   COLOR='echo -e \E[1;35m'
   END='\E[0m'
   BACKUP=/backup
   SRC=/etc
   DATE=`date -d yesterday +%F`
   [ ! -d $BACKUP/$DATE ] && mkdir -p $BACKUP/$DATE
   ${COLOR}Starting backup...$END
   sleep 2
   cp -av $SRC  ${BACKUP}${SRC}_$DATE
   ${COLOR}Backup is finished$END
   

7. 描述密钥交换的过程

   • 密钥交换：IKE（ Internet Key Exchange ）
     • 公钥加密：用目标的公钥加密对称密钥
     • DH (Deffie-Hellman)：生成对称（会话）密钥
     • 参看：https://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange
   • DH 介绍
     • 这个密钥交换方法，由惠特菲尔德·迪菲（Bailey Whitfield Diffie）和马丁·赫尔曼（Martin- Edward Hellman）在1976年发表- 它是一种安全协议，让双方在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密钥，这个密钥一般作为“对称加密”的密钥而被双方在后续数据传输中使用。
     • DH数学原理是base离散对数问题。做类似事情的还有非对称加密类算法，如：RSA。
     • 其应用非常广泛，在SSH、VPN、Https...都有应用，勘称现代密码基石
   • DH 实现过程：

     A: g,p 协商生成公开的整数g, 大素数p
     B: g,p
     A:生成隐私数据:a (a<p)，计算得出 g^a%p，发送给B
     B:生成隐私数据:b,(b<p)，计算得出 g^b%p，发送给A
     A:计算得出 [(g^b%p)^a]%p = g^ab%p，生成为密钥
     B:计算得出 [(g^a%p)^b]%p = g^ab%p，生成为密钥
     

   • DH 特点
     泄密风险：私密数据a，b在生成K后将被丢弃，因此不存在a，b过长时间存在导致增加泄密风险。
     中间人攻击：由于DH在传输p，g时并无身份验证，所以有机会被实施中间人攻击，替换双方传输时的数据
   • 范例：

     g=23
     p=5
     
     A:a=6
     g^a%p=23^6%5=4
     [(g^b%p)^a]%p=2^6%5=4
     
     B:b=15
     g^b%p=23^15%5=2
     [(g^a%p)^b]%p=4^15%5=4
     
     [root@centos8 ~]#echo 23^15%5|bc
     2
     [root@centos8 ~]#echo 23^6%5|bc
     4
     [root@centos8 ~]#echo 2^6%5|bc
     4
     [root@centos8 ~]#echo 4^15%5|bc
     4
     

8. https的通信过程
   

   1. 客户端发起HTTPS请求用户在浏览器里输入一个https网址，然后连接到服务器的443端口
   2. 服务端的配置采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥
   3. 传送服务器的证书给客户端证书里其实就是公钥，并且还包含了很多信息，如证书的颁发机构，过期时间等等
   4. 客户端解析验证服务器证书这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如：颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密
   5. 客户端将加密信息传送服务器这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了
   6. 服务端解密信息服务端将客户端发送过来的加密信息用服务器私钥解密后，得到了客户端传过来的随机值
   7. 服务器加密信息并发送信息服务器将数据利用随机值进行对称加密,再发送给客户端
   8. 客户端接收并解密信息客户端用之前生成的随机值解密服务段传过来的数据，于是获取了解密后的内容
   9. 使用密钥进行数据传输
   

9. 使用awk以冒号分隔获取/etc/passwd文件第一列

   [root@centos7 ~]# awk -F: '{print $1}' /etc/passwd | head -3
   root
   bin
   daemon