SSH免密码登录
三台主机:
master
slave01
slave02
实现master到slave01、slave02的ssh免密码登录;
创建密钥的两种加密方式(rsa dsa),这里使用dsa生成ssh公钥和私钥:
ssh-keygen -t dsa
普通端口分发公钥
[razor@master~]$ ssh-copy-id -i .ssh/id_dsa.pub razor@slave01
特殊端口分发公钥
[razor@master~]$ ssh-copy-id -i .ssh/id_dsa.pub " -p 52113 razor@slave01"
.ssh目录的权限设为700 (可查阅/usr/bin/ssh-copy-id脚本中的详细设置)
authorized_keys文件的权限设为600
免密码登录后,ssh 直接在远程机器执行命令
[razor@master~]$ ssh slave01/sbin/ifconfig
免密码登录小结:
1)免密码登录验证是单向的;
2)基于用户的,最好不要跨不用的用户;
3)ssh连接慢的问题;
SSH批量分发与管理方案
1利用root做ssh key 验证
优点:简单,易用
缺点:安全性差,同时无法禁止root远程连接.
2利用普通用户来做:先把分发的文件拷贝到服务器用户家目录,然后sudo提权,拷贝到服务器的对应权限目录.
优点:安全.
缺点:配置复杂.
3同方案2,只是不用sudo,而是设置suid对固定命令提权.
优点:相对安全
缺点:复杂,安全性较差.任何人都可以处理带有suid权限的命令.
企业级生产场景批量管理,自动化管理方案
1最简单最常用ssh key,功能最强大的.一般中小型企业用,50-100台以下;
2 sina cfengine 较早的批量管理工具,现在基本没有企业使用了;
3门户级别比较流行的,puppet批量管理工具,复杂,笨重;
4 saltstack 批量管理工具,特点:简单,功能强大(配置复杂);
连接: