ssh key分发

rsa与das区别：

rsa:是一种加密算法，是由Ron Rivest、Adi Shamir和LeonardAdleman这三个名称的第一个字母连接起来。

dsa:就是数字签名算法的英文全称的简写，即DigitalSignature Algorithm

测试环境：

机器               IP

Cl1  a            192.168.2.30

Cl2  b            192.168.2.31

Cl3  c            192.168.2.32

密钥分发：

操作步骤：

1、准备3台虚拟机，打开CRT交互端口，批量添加建立寄居蟹的用户zdw，并设置密码

2、在cl1中切换到zdw用户下，建立密钥对。

命令为：ssh-key –t dsa，一直回车。

3、  在cl1中分别执行ssh-copy-id-i .ssh/id_dsa.pub "-p 52113 zdw@192.168.2.31"和

ssh-copy-id -i .ssh/id_dsa.pub"-p 52113 zdw@192.168.2.32"

执行上面的命令把公钥文件拷贝到cl2,cl3服务器上。

ssh-copy-id的原理（ssh-copy-id –I .ssh/id_dsa.pub“-p 52113 zdw@192.168.2.31”）

就是把.ssh/id_dsa.pub复制到192.168.2.31下面的.ssh目录（提前创建权限700）下，并做了更改名字的操作，名字改为authorized_keys，权限变为600了。

下面是具体的操作：

创建：

分发公钥：

注：我们发的是id_dsa.pub为什么出现的是authorized_keys?

因为默认的配置是这样，如下

[root@a ~]# grep authorized_keys /etc/ssh/sshd_config

#AuthorizedKeysFile    .ssh/authorized_keys

也就是只有把authorized_keys放到.ssh下，才能生效，放到别处没用

上面完成了key的分发，下面实验一下：

SSH连接时，直接接命令，查看B32的IP

分发文件：

小技巧：

如果有很多台服务器，这样操作会很不方便，可以在cl2或3机器上，打包ssh_key.tar.gz文件，放到一台服务器上，当有别的服务器时，下载这个文件放在指定目录中就可以了。下面是操作方法：

免密码登录小结：

1）  免密码登录验证是单向的。

2）  基于用户的，最好不要跨不同的用户。

3）  ssh连接慢的问题。

4） 批量分发1000台初始都需要输入一次密码，并且第一次连接要确认（expect）。

下面是脚本的使用：

批量查看机器IP及内存等的脚本：

查看IP：

查看内存：

批量分发文件放在家目录：

批量分发文件，放在/etc下：

单独分发：

解决思路：visudo提权，让普通用户可以用root的权限做事情，但他还是普通用户

打开交互窗口对另外二台执行：

echo "zdw     ALL=(ALL)       NOPASSWD: /bin/cp">>/etc/sudoers

执行此句的意思是，那二台机器上，zdw使用cp就相当于有了root的权限。

在cl2和cl3机器上检查语法

[root@cl3 ~]# visudo -c                #添加后检查语法

/etc/sudoers:parsed OK

单文件分发：

visudo，用远程sudo把hosts文件放到31的/etc上。

# Disable "ssh hostname sudo<cmd>", because it will show the password in clear.

#        You have to run "ssh -t hostname sudo <cmd>".

#

Defaults   requiretty

查看visudo上面这条控制着,sudo命令禁止远程执行，如果想远程执行sudo，加-t或把Defaults requiretty注释掉（有安全隐患）。

脚本批量实现方法：

实际只需要这二条，就可以不用在root下就可以往/etc里放文件了。

scp -P52113 -rp hosts zdw@192.168.2.31:~

ssh -p52113 -t zdw@192.168.2.31 sudo/bin/cp ~/hosts /etc/hosts

提示：如果不想要这个提示Connection to 192.168.2.31 closed.，可如下更改：

ssh -p52113 -t zdw@192.168.2.$n sudo/bin/cp ~/$file $remotedir &>/dev/n

ull

执行脚本时，发现没有那个提示了：

再次说明：

此方法的理念是，先用普通用户拷到家目录，这样一定可以使用，然后再用sudo提权，这样不至于权限过大，又起到copy做用。

rsync批量分发实验：

rsync命令赋权，三台机器都操作

chmod 4755 `which rsync`使用suid里的知识

Cl1机器上写fenfa3.sh脚本

提前在hosts上加入###zdw用于分发后的对比

执行

SSH批量分发与管理方案小结：

1、  利用root做ssh key验证。

优点：简单，易用

缺点：安全差，同时无法禁止root远程连接。

企业应用：80%的企业。

2、  利用普通用户如zdw来做，思路是先把分发的文件拷贝到服务器用户家目录，然后sudo提权拷贝到服务器的对应权限目录。

优点：安全。

缺点：配置复杂。

3、  拓展：同方案2，只是不用sudo，而是设置suid对固定命令提权。

优点：相对安全

缺点：复杂，安全性较差。任何人都可以处理带有suid权限的命令。

实现cl1和cl2到cl3不要密码

之前的操作实现了cl1到cl2&cl3上不用输入密码。如果要实现cl1&cl2到cl3不要密码，就把cl1上的.ssh/id_dsa复制到cl2上

使用cl2查看cl3的IP不需要密码了

小提示：vi编辑器中，输入o回车自动跳到下一行，shift+inser是粘贴

批量分发，不用root

scp -P52113 -p hosts 192.168.2.31:~

ssh -p52113 -t 192.168.2.31 sudo cp /etc/hosts /etc/hosts.$(date +%F)

ssh -p52113 -t 192.168.2.31 sudo cp ~/hosts /etc/

学习自：

老男孩Linux

      本文转自cix123  51CTO博客，原文链接：http://blog.51cto.com/zhaodongwei/1826653，如需转载请自行联系原作者