笔记：centos6 ssh配置测试

rule

　　ssh优化：
　　1、修改默认端口；
　　2、禁止root连接；
　　3、禁止空密码登陆；
　　4、禁止DNS
　　UseDNS no；
　　5、是否允许使用基于 GSSAPI 的用户认证
　　GSSAPIAuthentication no；
　　6、只监听本地IP；
　　7、用密钥登陆不用密码登陆；
　　

　　客户端ssh,连接完可以在用户下执行命令，也可以在连的时候执行命令:
　　ssh -p22 root@x.x.x.x
　　第一次连接会产生一个KEY到 ~/.ssh/know_hosts
　　

　　sftp加密ftp:
　　#缺点：必须系统用户，没法锁定目录，可以随意切换目录，两个缺点都比较危险
　　sftp -oPort=22 root@x.x.x.x
　　#不加路径传到root的home目录，加路径传到指定路径
　　put /etc/hosts
　　#下载文件到指定路径，不指定则下载到登陆前路径
　　get yum.conf /opt
　　

　　scp全量复制，用起来基本可以被rsync替代,-r递归，-p保持属性:
　　scp -P22 -r -p /tmp/ boy@x.x.x.x:/scp/
　　

　　知道端口或进程查详情
　　lsof -i tcp:22
　　netstat -lntup|grep 22
　　netstat -lntup|grep sshd
　　#centos7:
　　ssa（待研究）
　　

　　避免权限过大，用普通用户登录
　　批量方案(分发、部署、执行命令、配置修改)：
　　ssh key |puppet |saltstack
　　

　　ssh key:
　　创建用户和密码
　　useradd skey &&\
　　echo '12345678'|passwd --stdin skey
　　

　　在分发机上在普通用户下创建公钥私钥：一把钥匙（私钥）打开多个锁（公钥）
　　1、su - skey
　　2、ssh-keygen -t dsa
　　3、ls ~/.ssh
　　4、ssh-copy-id -i .ssh/id_dsa.pub skey@x.x.x.x
　　ssh-copy-id -i .ssh/id_das.pub "-p 12345 skey@x.x.x.x"
　　

　　

　　客户机：
　　1、ls ~/.ssh|wc -l  (生成authorized_keys文件，文件名由/etc/ssh/sshd_config里配置) 权限为600
　　2、生成记录在分发机上的know_hosts文件
　　

　　分发机分发文件：
　　1、scp -P22 sshkeytest skyboy@x.x.x.x:~
　　2、ssh 192.168.137.7 whoami #执行一次后不需要密码
　　

　　touch sshallsend.sh &&\
　　cat >sshallsend.sh<<eof
　　#!/bin/sh
　　. /etc/init.d/functions

[ \$# -eq 1 ]||{

　　echo "USAGE:\$0 {FILENAME|DIRECTORY}"
　　exit 1
　　}
　　for n in 7 8 9
　　do
　　#r复制目录，p保持属性
　　scp -rp \$1 skyboy@192.168.137.\${n}:~ &>/dev/null
　　[ \$? -eq 0 ]&&{
　　action "\$0 192.168.137.\${n} is ok" /bin/true
　　}||{
　　action "\$0 192.168.137.\${n} is faile" /bin/faile
　　}
　　done
　　eof
　　

　　

　　

　　cat >testfor <<eof
　　for n in 7 8 9
　　do
　　echo \${n}
　　echo \$?
　　done
　　eof