ssh优化:
1、修改默认端口;
2、禁止root连接;
3、禁止空密码登陆;
4、禁止DNS
UseDNS no;
5、是否允许使用基于 GSSAPI 的用户认证
GSSAPIAuthentication no;
6、只监听本地IP;
7、用密钥登陆不用密码登陆;
客户端ssh,连接完可以在用户下执行命令,也可以在连的时候执行命令:
ssh -p22 root@x.x.x.x
第一次连接会产生一个KEY到 ~/.ssh/know_hosts
sftp加密ftp:
#缺点:必须系统用户,没法锁定目录,可以随意切换目录,两个缺点都比较危险
sftp -oPort=22 root@x.x.x.x
#不加路径传到root的home目录,加路径传到指定路径
put /etc/hosts
#下载文件到指定路径,不指定则下载到登陆前路径
get yum.conf /opt
scp全量复制,用起来基本可以被rsync替代,-r递归,-p保持属性:
scp -P22 -r -p /tmp/ boy@x.x.x.x:/scp/
知道端口或进程查详情
lsof -i tcp:22
netstat -lntup|grep 22
netstat -lntup|grep sshd
#centos7:
ssa(待研究)
避免权限过大,用普通用户登录
批量方案(分发、部署、执行命令、配置修改):
ssh key |puppet |saltstack
ssh key:
创建用户和密码
useradd skey &&\
echo '12345678'|passwd --stdin skey
在分发机上在普通用户下创建公钥私钥:一把钥匙(私钥)打开多个锁(公钥)
1、su - skey
2、ssh-keygen -t dsa
3、ls ~/.ssh
4、ssh-copy-id -i .ssh/id_dsa.pub skey@x.x.x.x
ssh-copy-id -i .ssh/id_das.pub "-p 12345 skey@x.x.x.x"
客户机:
1、ls ~/.ssh|wc -l (生成authorized_keys文件,文件名由/etc/ssh/sshd_config里配置) 权限为600
2、生成记录在分发机上的know_hosts文件
分发机分发文件:
1、scp -P22 sshkeytest skyboy@x.x.x.x:~
2、ssh 192.168.137.7 whoami #执行一次后不需要密码
touch sshallsend.sh &&\
cat >sshallsend.sh<<eof
#!/bin/sh
. /etc/init.d/functions
[ \$# -eq 1 ]||{
echo "USAGE:\$0 {FILENAME|DIRECTORY}"
exit 1
}
for n in 7 8 9
do
#r复制目录,p保持属性
scp -rp \$1 skyboy@192.168.137.\${n}:~ &>/dev/null
[ \$? -eq 0 ]&&{
action "\$0 192.168.137.\${n} is ok" /bin/true
}||{
action "\$0 192.168.137.\${n} is faile" /bin/faile
}
done
eof
cat >testfor <<eof
for n in 7 8 9
do
echo \${n}
echo \$?
done
eof