自动登录 ssh工具 sshpass

一般用在sh脚本中，无须再次输入密码（本机known_hosts文件中有的主机才能生效）。它允许你用 -p 参数指定明文密码，然后直接登录远程服务器，它支持密码从命令行、文件、环境变量中读取。

yum install sshpass

 常用：

-p  明文                     # sshpass -p 123456 ssh 10.0.0.161 hostname -I

-f   文件中读取密码    # sshpass -f pwd.txt ssh 10.0.0.161 hostname -I

-e    环境变量读取 # export SSHPASS=123456 # sshpass -e ssh 10.0.0.161 hostname -I

ssh登录验证方式   ：用户/口令的方式验证和基于密钥的

一：1. 客户端发起ssh请求，服务器会把自己的公钥发送给用户 2. 用户会根据服务器发来的公钥对密码进行加密 3. 加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功

二 1. 首先在客户端生成一对密钥（ssh-keygen） 2. 并将客户端的公钥ssh-copy-id 拷贝到服务端 3. 当客户端再次发送一个连接请求，包括ip、用户名 4. 服务端得到客户端的请求后，会到authorized_keys中查找，如果有响应的IP和用户，就会随机生 成一个字符串，例如：magedu 5. 服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端 6. 得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端 7. 服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录

 实现基于密钥的登录方式

在客户端生成密钥对 ssh-keygen -t rsa [-P 'password'] [-f “~/.ssh/id_rsa"]

查看：#ls .ssh/ 创建 #ssh-keygen   把公钥传输至远程服务器对应用户的家目录 ssh-copy-id [-i [identity_file]] [user@]host

查看目标机 #ll .ssh/ #将本机公钥上传给远程主机 # ssh-copy-id [email protected] #再次查看目标主机,

测试免密码登录# ssh [email protected]

********：EG：{实际上是多个主机有共同的文件（公钥 id_rsa  id_rsa.pub）} 多机互相打通 #ls .ssh/ # ssh-keygen

# ls .ssh/ {id_rsa id_rsa.pub}

将公钥复制到本机 #ssh-copy-id 127.1  查看# ls .ssh/

将ssh目录下整体复制到其他主机，表示多机公用密钥对 #rsync -a .ssh 10.0.0.157:/root/ #rsync -a .ssh 10.0.0.154:/root/

windows客户端工具 xshell 也可以配置公钥远程连接

ssh服务器配置

# cat /etc/ssh/sshd_config（修改）

eg： #10s如果没有互动，则断开链接，永久生效可以写配置文件,例如可以写在 /etc/profile 里

# export TMOUT=10

关闭dns解析选项，加快连接速度 # vim /etc/ssh/sshd_config UseDNS no GSSAPIAuthentication no # systemctl restart sshd

在ubuntu 上开启root远程登录 vim /etc/ssh/sshd_config #PermitRootLogin prohibit-password

总结：

ssh 服务的最佳实践 1. 建议使用非默认端口 2. 禁止使用protocol version 1 3. 限制可登录用户 4. 设定空闲会话超时时长 5. 利用防火墙设置ssh访问策略 6. 仅监听特定的IP地址 7. 基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12|  xargs 8. 使用基于密钥的认证 9. 禁止使用空密码 10. 禁止root用户直接登录 11. 限制ssh的访问频度和并发在线数 12. 经常分析日

谢谢观看