第三十天-ssh key企业批量分发自动化管理案例

本文实现一个应用ssh key 批量分发案例

目录

　　一、ssh key 原理及案例原理简图

　　　　1、ssh key 简介

　　　　2、rsa和dsa区别

　　　　3、ssh-copy-id的特殊应用

　　　　4、ssh-copy-id的原理

　　　　5、案例简图

　　二、操作步骤

　　三、具体实现步骤

　　　　服务端A:

　　　　客户端B：

　　　　客户端C:

　　四、ssh 批量分发与管理方案小结

　　五、企业级生产场景批量管理，自动化管理方案

一、ssh key 原理及案例原理简图

1、ssh key 简介

　　特别提示：在整个方案实现中，公钥（public key）和私钥（private key）仅需要建立一对即可，可以在A、B、C任意机器上来执行，本文选择在A服务器来生成密钥对。
　　ssh-kengen -t dsa 中的-t参数指建立密钥的类型，这里指建立的dsa类型,也可以执行　　

　　ssh-kengen -t rsa 建立的是rsa类型
2、rsa和dsa区别：
　　rsa:是一种加密算法，是由Ron Rivest、Adi Shamir和Leonard Adleman这三个人的名字的第一个字母连接起来的。
　　dsa:就是数字签名算法的英文全称的简写，即Digital Signature Algorithm
　　rsa既可以进行加密，也可以进行数字签名实现认证，而dsa只能用于数字签名从而实现认证。
　　-t type
　　指定要创建的密钥类型，可以使用"rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2)

　　~/.ssh/identity 该用户默认的RSA身份认证私钥，此文件的权限应当至少限制为"600"
　　~/.ssh/identity.pub 该用户默认RSA身份认证公钥。此文件无需保密。
此文件的内容应该添加到所有RSA的目标主机~/.ssh/authorized_keys文件中
3、ssh-copy-id的特殊应用
　　如果ssh 修改了特殊端口，如52113，那么，在用ssh-copy-id命令时，需要指定端口，操作命令如下：
　　ssh-copy-id id_dsa.pub "-p 52113 oldboy@10.0.0.142" #-->特殊端口分发，要加引号。

4、ssh-copy-id的原理
　　就是把.ssh/id_dsa.pub复制到10.0.0.8下面.ssh目录（提前创建权限700）下，并做了更改名字的操作，名字改为authorized_keys，权限为600

5、案例简图



二、操作步骤：
　　1、打开3台虚拟机，A,B,C，在每台虚拟机上添加用户oldboy,并设置用户密码123456
　　2、在其中一台虚拟机A中切换到建立的用户oldboy下，建立密钥对。
　　 命令为：ssh-keygen -t dsa, 一直回车即可
　　3、在A中分别执行
　　 ssh-copy-id .ssh/id_dsa.pub oldboy@B
　　 ssh-copy-id .ssh/id_dsa.pub oldboy@C
　　4、在A服务器的oldboy用户下，测试A到B,A到C是否ok,免密码验证。

三、具体实现步骤

服务端A:

[oldboy@A ~]$ ifconfig |awk -F '[ :]+' 'NR==2 {print $4}'
192.168.1.110
[xiaorui@lrz ~]$ sudo su -
[sudo] password for xiaorui:
[root@lrz ~]# hostname A
[root@lrz ~]# logout
[xiaorui@lrz ~]$ sudo su -
[root@A ~]# useradd oldboy
[root@A ~]# su - oldboy
[oldboy@A ~]$

1、生成一对密钥

[oldboy@A ~]$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/oldboy/.ssh/id_dsa):
Created directory '/home/oldboy/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/oldboy/.ssh/id_dsa.
Your public key has been saved in /home/oldboy/.ssh/id_dsa.pub.
The key fingerprint is:
ef:42:23:fb:5e:dc:24:38:d9:2c:cd:24:48:a6:25:c6 oldboy@A
The key's randomart image is:
+--[ DSA 1024]----+
|   .o +          |
|   .E* .         |
|    . . . .      |
|         X       |
|        S * .    |
|      . o= +     |
|       + .+ .    |
|      . .o       |
|       oo..      |
+-----------------+

2、拷贝公钥到客户端

[oldboy@A ~]$ ssh-copy-id -i ~/.ssh/id_dsa.pub oldboy@192.168.1.113
oldboy@192.168.1.113's password:
Now try logging into the machine, with "ssh 'oldboy@192.168.1.113'", and check in:

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

[oldboy@A ~]$ ssh-copy-id -i ~/.ssh/id_dsa.pub oldboy@192.168.1.114
The authenticity of host '192.168.1.114 (192.168.1.114)' can't be established.
RSA key fingerprint is e2:93:c3:1f:ad:27:c6:38:a0:49:8a:dc:cf:53:d3:74.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.114' (RSA) to the list of known hosts.
oldboy@192.168.1.114's password:
Now try logging into the machine, with "ssh 'oldboy@192.168.1.114'", and check in:

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

3、创建测试文件并分发

[oldboy@A ~]$ touch test.txt
[oldboy@A ~]$ echo 123 >test.txt
[oldboy@A ~]$ cat test.txt
123
[oldboy@A ~]$ scp test.txt oldboy@192.168.1.113:~
test.txt                                                                                                      100%    4     0.0KB/s   00:00
[oldboy@A ~]$ scp test.txt oldboy@192.168.1.114:~
test.txt                                                                                                      100%    4     0.0KB/s   00:00
在客户端查看：
[oldboy@B ~]$ ls
test.txt
编写分发脚本：
[oldboy@A ~]$ vim fenfa.sh
[oldboy@A ~]$ chmod +x fenfa.sh
[oldboy@A ~]$ sh fenfa.sh
Usage:scp .....
[oldboy@A ~]$ sh fenfa.sh test.txt /home/oldboy
test.txt                                                                                                      100%    4     0.0KB/s   00:00
test.txt                                                                                                      100%    4     0.0KB/s   00:00
[oldboy@A ~]$ cat fenfa.sh
#!/bin/sh

if [ $# -ne 2 ]
then
echo "Usage:scp ....."
exit 1
fi

for n in 113 114
do
scp $1 oldboy@192.168.1.$n:$2
done

exit 0
更专业的脚本：
[oldboy@A ~]$ cat fenfa.sh
#!/bin/sh

file="$1"
remotedir="$2"
. /etc/init.d/functions

if [ $# -ne 2 ]
then
echo "Usage:/bin/sh $0 arg1 arg2"
exit 1
fi

for n in 113 114
do
scp -rp $file oldboy@192.168.1.$n:$2 >/dev/null 2>&1
if [ $? -eq 0 ]
then
action "scp $file to $remotedir is ok" /bin/true
else
action "scp $file to $remotedir is fail" /bin/false
fi
done

exit 0
实施效果：
[oldboy@A ~]$ sh fenfa.sh test.txt /home/oldboy/
scp test.txt to /home/oldboy/ is ok                        [  OK  ]
scp test.txt to /home/oldboy/ is ok                        [  OK  ]

客户端B：

[oldboy@B ~]$ ifconfig |awk -F '[ :]+' 'NR==2 {print $4}'
192.168.1.113
[xiaorui@lrz ~]$ sudo su -
[sudo] password for xiaorui:
[root@lrz ~]# hostname B
[root@lrz ~]# hostname
B
[root@lrz ~]# logout
[xiaorui@lrz ~]$ sudo su -
[root@B ~]# useradd oldboy
[root@B ~]# su - oldboy
[oldboy@B ~]$

客户端C:

[oldboy@C ~]$ ifconfig |awk -F '[ :]+' 'NR==2 {print $4}'
192.168.1.114
[xiaorui@lrz ~]$ sudo su -
[sudo] password for xiaorui:
[root@lrz ~]# hostname C
[root@lrz ~]# hostname
C
[root@lrz ~]# logout
[xiaorui@lrz ~]$ sudo su -
[root@C ~]# useradd oldboy
[root@C ~]# su - oldboy
[oldboy@C ~]$

四、ssh 批量分发与管理方案小结：
　　1、利用root做ssh key验证。
　　优点：简单、易用
　　 缺点：安全差，同时无法禁止root远程连接。
　　2、利用普通用户来做，思路是先把分发的文件拷贝到服务器用户家目录，然后sudo提权拷贝到服务器的指定目录。
　　 优点：安全
　　 缺点：配置复杂。
　　3、拓展：同方案2，只是不用sudo，而是设置suid对固定命令提权。
　　 优点：相对安全
　　 缺点：复杂，安全性较差，任何人都可以处理带有suid权限命令

五、企业级生产场景批量管理，自动化管理方案：
　　1、最简单最常用ssh key，功能最强大的，一般中小型企业会用，50-100台服务器
　　2、sina cfengine较早的批量管理工具，现在基本没有企业用
　　3、门户级别比较流行的，puppet批量管理工具，复杂，笨重
　　4、saltstack批量管理工具，特点：简单，功能强大（配置复杂）

本文源自：根据老男孩教育视频整理总结而成