SSH服务的搭建

管理服务

SSH基础服务，SSH是远程连接Linux，管理Linux的服务。
Secure Shell Protocol简写SSH 安全的shell协议
使用的默认的端口为22（一台机器的不同功能就用端口区分）

ssh参数：
-p 指定端口
格式：命令 -p 端口 用户@IP相当于ssh IP

scp命令参数:
-P端口
-r递归
-p保持属性
-l 限制速度
推：
scp -P 22 -rp /data root@1721617:/tmp
scp -P -rp /data 1721617:/tmp
拉
scp -P 22 -rp root@1721617:/data /tmp
scp -P -rp 1721617:/data /tmp
对比下scp和rsync
scp每一次都是全量考本，加密拷贝。
rsync第一次全量拷贝，远程shell也是加密拷贝

sftp命令：加密的ftp服务，默认缺点不能锁定家目录。
ftp：vsftp。

sftp服务也支持windows ftp客户端：
winscp,flashftp,xshell也支持

常规和服务器交互数据文件：
rz/sz 属于lrzsz

ssh服务配置：
s

使用用户名密码登录

不需要密码登录，使用密钥文件就可以连接服务器。

实践密钥认证：
项目实践：批量管理、批量分发内容项目

1、基于root用户做Linux之间的秘钥认证。
2、生成密钥对（去超市买把锁），不需要指定服务器。
3、在61上生成密钥对（方便）。

4、把锁放到7/8上

C6:

5、ssh-copy-id:原理

6、测试远程执行命令：

7、写个脚本

8、开发脚本实现批量管理服务器：

9、批量发文件：

复杂分发文件脚本：

SSH批量管理如何一键完成：
一键创建及分发秘钥：

默认配置
Windows下有很多SSH工具。在这里我是用的是Putty。如果安装了Git并配置使用Putty的话，就不需要另外在安装Putty了。使用SSH连接服务器的命令如下：
ssh IP地址1
一般来说为了安全性考虑，端口号等一些参数并不会使用默认值。这样的话命令就变成这样：
ssh 用户名@IP地址 -p 端口号1
如果连接成功的话会提示你输入远程服务器的密码。全部成功之后SSH就会显示远程服务器的提示符，这时候就说明连接成功了。
密钥登录
每次登录SH都需要输入密码很麻烦，而且可能不太安全。SSH还能使用另外一种登录方式，也就是使用密钥登录。这种登录方式需要客户端生成一堆公钥私钥对，然后将公钥添加到服务器中，这样下次就可以直接登录了。
首先生成SSH密钥，依照提示输入信息即可。默认生成在用户主目录中的ssh文件夹中。带pub的是公钥，接下来需要添加到服务器中。
ssh-keygen1
然后将本地公钥添加到服务器中，需要使用另一个命令：
scp -P 端口号 本地文件路径 用户名@远程服务器地址:远程路径1
然后登陆服务器，找到复制进去的公钥，将公钥名字改为authorized_keys并添加到对应的ssh文件夹中。然后退出SSH重新登陆试试，成功的话不需要输入密码就会直接进入远程服务器。

日常工作中需要大量、频繁地使用ssh到服务器查看、拉取相关的信息或者对服务器进行变更。目前公司大量使用的shell，但是随着逻辑的复杂化、脚本管理的精细化，shell已经不满足日常需求，于是我尝试整合工作中的需求，制作适合的工具。 由于管理制度的缺陷，我以工作流程为核心思考适合自己的运维方式，提升工作效率，把时间留给更有价值的事情。 完整代码在最后，请大家参考。

生产：4000+物理服务器，近 3000 台虚拟机。

开发环境：python36、redhat79，除了paramiko为第三方模块需要自己安装，其他的直接import即可。

批量执行 *** 作是一把双刃剑。批量执行 *** 作可以提升工作效率，但是随之而来的风险不可忽略。

风险案例如下：

挂载很多数据盘，通常先格式化硬盘，再挂载数据盘，最后再写入将开机挂载信息写入/etc/fstab文件。在批量lsblk检查硬盘信息的时候发现有的系统盘在/sda有的在/sdm，如果不事先检查机器相关配置是否一致直接按照工作经验去执行批量 *** 作，会很容易造成个人难以承受的灾难。

在执行批量 *** 作时按照惯例：格式化硬盘->挂载->开机挂载的顺序去执行，假设有的机器因为某些故障导致格式化硬盘没法正确执行。在处理这类问题的时候通常会先提取出失败的ip，并再按照惯例执行 *** 作。运维人员会很容易忽略开机挂载的信息已经写过了，导致复写（这都是血和泪的教训）。

所以，为了避免故障，提升工作效率，我认为应当建立团队在工作上的共识，应当遵守以下原则：

当然，代码的规范也应当重视起来，不仅是为了便于审计，同时也需要便于溯源。我认为应当注意以下几点：

1、ssh no existing session，sftp超时时间设置:

在代码无错的情况下大量ip出现No existing session，排查后定位在代码的写法上，下面是一个正确的示例。由于最开始没考虑到ssh连接的几种情况导致了重写好几遍。另外sftp的实例貌似不能直接设置连接超时时间，所以我采用了先建立ssh连接再打开sftp的方法。

2、sftp中的get()和put()方法仅能传文件，不支持直接传目录：

不能直接传目录，那换个思路，遍历路径中的目录和文件，先创建目录再传文件就能达到一样的效果了。在paramiko的sftp中sftplistdir_attr()方法可以获取远程路径中的文件、目录信息。那么我们可以写一个递归来遍历远程路径中的所有文件和目录(传入一个列表是为了接收递归返回的值)。

python自带的os模块中的oswalk()方法可以遍历到本地路径中的目录和文件。

3、多线程多个ip使用sftpget()方法时无法并发。

改成多进程即可。

4、多个ip需要执行相同命令或不同的命令。

由于是日常使用的场景不会很复杂，所以借鉴了ansible的playbook，读取提前准备好的配置文件即可，然后再整合到之前定义的ssh函数中。

同时，我们还衍生出一个需求，既然都要读取配置，那同样也可以提前把ip地址准备在文件里。正好也能读取我们返回的执行程序的结果。

参数说明：

密码认证：

公钥认证：

可以配合 grep，awk 等命令精准过滤。

个人认为 Python 在初中级运维工作中的性质更像是工具，以提升工作效率、减少管理成本为主。可以从当前繁琐的工作中解脱出来，去 探索 更有价值的事情。python 本质上并不会减少故障的产生，所以在不同的阶段合理利用自身掌握的知识解决当前最重要的痛点，千万不要本末倒置。

SSH隧道是一种通过加密的SSH连接传输任意网络数据的方法。它可以用来为任何应用程序添加加密通道；也可以用它来实现和跨防火墙访问局域网的服务。

SSH是一个通过不受信任的网络进行安全远程登录和文件传输的标准。通过SSH隧道传输TCP/IP数据，它还提供了一种使用端口转发保护任何给定应用程序数据流量的方法。采用了这种方法后，应用程序的数据流量都会走SSH的加密连接，从而不会被窃听或拦截。对于本身不支持加密的应用程序来说，使用SSH隧道可以很方便地添加网络安全性。

上图简要介绍了SSH隧道。不可信网络的安全连接建立在SSH客户端和SSH服务器之间。这个连接是加密的，可用于保护机密性和完整性，并且可以对通信方进行身份验证。

客户端应用使用SSH来连接到服务端应用。隧道启用后

通过上面的转发，无需修改应用程序，就能保证应用程序客户端和服务端通信的安全。

这个方式的缺点是，任何能登陆服务器的用户都可以启用端口转发。内部IT人员经常在他们的家里的机器或云上的服务器上启用转发，从而能在企业内网中，从工作机器上访问家里的机器或云上的服务器。黑客或恶意软件会利用类似的方式在局域网中留一个后门。还可以在多个设备上开启隧道，攻击者通过在这些隧道中跳来跳去来隐藏踪迹。

本地代理用于将端口从客户端计算机转发到服务端计算机。SSH客户端监听来自某个端口的连接，当它收到连接时，将请求通过隧道转发到SSH服务器；然后SSH服务器将请求转到目标端口。

本地转发比较常见的场景有：

在OpenSSH中，使用 -L 参数开启本地转发

这个命令工作的过程如下图

默认情况下，其他的机器都能够连接到本地的SSH客户端指定的端口；为了安全起见，一般绑定地址，将连接来源限制在同一主机的程序

也可以在 OpenSSH客户端的配置中 配置本地转发，这样就不用单独输入命令行了

比如在~/ssh/config中这样写

这样在开启转发的时候只需要输入 ssh serverfw 而不用再输入完整的命令了

如果希望通过本地计算机，让远程服务器 remote 可以连接到 server 上的服务，可以使用SSH远程转发。

使用SSH远程转发一个典型的用途是，在企业内部开一个后门，让公网的计算机可以访问到企业的某个内部服务，这个是有一定风险的，使用的时候需要特别小心。

在OpenSSH中，远程转发通过 -R 参数开启，在本地计算机上输入命令

上面命令的工作过程如下

默认情况下，OpenSSH仅允许从服务器主机（上图的 remote ）连接到远程转发端口 server:p2 ，如果想要其他的主机也能连上 server:p2 ，需要在 sshd_config 文件中设置

如果需要指定来源IP，可以将配置改为

比如

将只允许52192173到端口8080的连接

OpenSSH的远程转发支持多个规则，比如

同样的，可以在 ~/ssh/config 配置host，比如

SSH （安全外壳协议）为建立在应用层基础上的安全协议。SSH 是较可靠，专为 远程登录 会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

从客户端来看，SSH提供两种级别的安全验证。

第一种级别（基于口令的安全验证）

只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的 服务器 。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

第二种级别（基于密匙的安全验证）

需要依靠 密匙 ，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

用这种方式，你必须知道自己密匙的 口令 。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能需要10秒 [2] 。

---