1、实现sshd免密登录
1.Linux下生成密钥
ssh-keygen的命令手册,通过”man ssh-keygen“命令:
通过命令”ssh-keygen -t rsa“
生成之后会在用户的根目录生成一个 “.ssh”的文件夹
进入“.ssh”会生成以下几个文件
authorized_keys:存放远程免密登录的公钥,主要通过这个文件记录多台机器的公钥
id_rsa : 生成的私钥文件
id_rsa.pub : 生成的公钥文件
know_hosts : 已知的主机公钥清单
如果希望ssh公钥生效需满足至少下面两个条件:
1) .ssh目录的权限必须是700
2) .ssh/authorized_keys文件权限必须是600
2.远程免密登录
常用以下几种方法:
2.1 通过ssh-copy-id的方式
命令: ssh-copy-id -i ~/.ssh/id_rsa.put <romte_ip>
常见错误:
[root@test ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 192.168.37.135
-bash: ssh-copy-id: command not found //提示命令不存在
解决办法:yum -y install openssh-clients
2.2 通过scp将内容写到对方的文件中
命令:scp -p ~/.ssh/id_rsa.pub root@<remote_ip>:/root/.ssh/authorized_keys
也可以分为两步操作:
$ scp ~/.ssh/id_rsa.pub root@<remote_ip>:pub_key //将文件拷贝至远程服务器
$ cat ~/pub_key >>~/.ssh/authorized_keys //将内容追加到authorized_keys文件中,不过要登录远程服务器来执行这条命令
2.3 通过Ansible实现批量免密
2.3.1 将需要做免密操作的机器hosts添加到/etc/ansible/hosts下:
[Avoid close]
192.168.37.132
192.168.37.133
192.168.37.134
2.3.2 执行命令进行免密操作
ansible <groupname> -m authorized_key -a "user=root key='{{ lookup('file','/root/.ssh/id_rsa.pub') }}'" -k
2.4 手工复制粘贴的方式
将本地id_rsa.pub文件的内容拷贝至远程服务器的~/.ssh/authorized_keys文件中
2、编译安装dropbear实现SSH登录
1.Dropbear简介
Dropbear是一款基于ssh协议的轻量sshd服务器,与OpenSSH相比,他更简洁,更小巧,运行起来占用的内存也更少,但他们都是用于实现ssh安全远程登录协议的,系统默认安装有openssh,而dropbear是基于epel源的,需要自己下载安装。 Dropbear特别用于“嵌入”式的Linux(或其他Unix)系统,如无线路由器。
本文介绍在嵌入式的环境中的安装步骤。
2.Dropbear编译安装
1) 下载dropber源码包并安装开发包组
在PC机上下载源码包
地址:https://matt.ucc.asn.au/dropbear/releases/dropbear-2016.74.tar.bz2
在Linux下接收源码包并解压
[root@centos7 program]# tar -jvxf dropbear-2016.74.tar.bz2
在Linux上安装开发包组
[root@centos7 program]# yum groupinstall Development tools
2)到解压的源码包路径下,并编译安装(一定要先安装前面第一步骤里的“”development tools”这个包组,否则会频繁报错)
[root@centos7 program]# cd dropbear-2016.74
[root@centos7 program]# ./configure --prefix=/usr/local/dropbear/ --sysconfdir=/etc/dropbear/
[root@centos7 dropbear-2016.74]# make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp"
[root@centos7 dropbear-2016.74]# sudo make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp" install
其中–prefix=/usr/local/dropbear/指定安装后的总目录位置,–sysconfdir=/etc/dropbear/是指定其配置文件存放路径。根据INSTALL文件的提示,进行第make PROGRAMS=”dropbear dbclient dropbearkey dropbearconvert scp”(只写make也行),在这个过程按道理说不会再出错的。
make PROGRAMS=”dropbear dbclient dropbearkey dropbearconvert scp” install;可以看到下载的文件,在/usr/local/dropbear下。
其中:bin下的是客户端程序;sbin下的是服务端程序;/usr/local/dropbear/bin/dbclient就相当于ssh协议。
3)编译安装完成后验证
在下载过程中,并没有将我们指定的/etc/dropbear生成,先建文件夹mkdir/etc/dropbear,而且我们服务端运行的话需要KEY,所以我们要先生成key(输入命令:cat README):
在这里选择用的rsa加密,执行命令
3.启动服务测试
3、实现单个用户及用户组使用sudo执行所有命令
场景一:给普通用户chen以root权限,能以root身份执行任何命令(例如执行passwd改密码)
我们首先要在root身份下执行visudo,编辑/etc/sudoers策略文件,给用户chen以root权限。
1.直接命令行输入visudo,不带任何参数
2.在策略文件末尾附近,找到
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
3.新加入一行
chen ALL=(ALL) ALL
4.保存退出
==>到此为止,用户chen已经有“root权限”
例如要用root身份创建一个example.json的空文件:
[chen@centos7 ~]$ sudo touch example.json
输出:
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for chen:
此时应当输入用户chen的密码。
场景二:sudo免密
我们使用sudo时,在间隔一段时间后总会要求输入当前用户(chen)的密码,用以供系统确认“执行sudo的确实是chen本人”。
能否忽略掉这一验证,让系统不校验身份,总是认为执行root的是chen本人
通过执行visudo命令,修改/etc/sudoers策略文件:
将:chen ALL=(ALL) ALL
改为:chen ALL=(ALL) NOPASSWD: ALL
保存退出。
这次,无论间隔多长时间,系统都不需要再次对chen用户进行密码鉴权,而总是认为“是chen用户本人在执行sudo及后续命令”。
场景三:sudo 用户组 免密
让所有归属于chen的用户组的用户,都拥有同一权限。
visudo修改/etc/sudoers,
将chen ALL=(ALL) NOPASSWD: ALL
改为:%chen ALL=(ALL) NOPASSWD: ALL
注意chen之前的百分号,指代后面的chen是一个用户组。
现在有一个普通用户test2019:
[test2019@centos7 ~]$ id
uid=501(test2019) gid=501(test2019) groups=501(test2019) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
将其加入到chen用户组:
[root@centos7 ~]# usermod -a -G chen test2019
再查看test2019的用户组:
[test2019@centos7 ~]$ id
uid=501(test2019) gid=501(test2019) groups=501(test2019),500(chen) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
在test2019用户身份下切到root用户身份:
[test2019@centos7 ~]$sudo su -
[root@centos7 ~]#
4、简述rsync用于那些场景,并对比scp有什么优点?
scp是相当于复制,黏贴,如果有的话是覆盖,比较耗时间,不智能。
rsync是复制,如果有重复的文件,会直接跳过,而且他自己的算法优化。
scp是把文件全部复制过去,当文件修改后还是把所有文件复制过去,
rsync 第一次是把所有文件同步过去,当文件修改后,只把修改的文件同步过去。
5、搭建DHCP服务,实现自动获取ip地址
(1)在CentOS7上安装DHCP软件包
[root@CentOs7 ~]# yum -y install dhcp
(2)修改DHCP的配置文件
[root@CentOs7 ~]# cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf
将样板拷贝到并替换配置文件。
在配置文件中加入这么一段
subnet 172.25.0.0 netmask 255.255.0.0{
range 172.25.0.50 172.25.0.253;
}
其中subnet 和netmask分别代表网段号和子网掩码号。可以按需求选择三种private ip中的任意一种。
range代表你要划分的ip池的范围。
(3)关闭VMvare自带的dhcp服务器,然后所有需要分配ip的主机都使用这一张网卡。
我们取消掉该网卡的DHCP服务,并且让所有主机都接入这张网卡。
(4)服务机上启动DHCP服务器
[root@CentOs7 ~]# systemctl start dhcpd.service
(5)Client上重新启动网卡
[root@CentOs7 ~]# systemctl restart network
6、搭建PXE实现自动化安装系统
一:以http方式实现PXE 安装必备软件;
yum -y install tftp-server dhcp httpd syslinux system-config-kickstart
搭建前准备:
关闭防火墙: 临时: systemctl stop firewalled
永久: systemctl disabled firewalled
关闭selinux: 临时: setenforce 0
永久:sed -i 's/=enforcing/=disabled/' /etc/selinux/config
1. tftp的工作目录 : /var/lib/tftpboot/
2. 进入到镜像的挂载目录的isolinux,复制 cp initrd.img isolinux.cfg vmlinuz /var/lib/tftpboot/
3. cp /usr/share/syslinux/pxelinux.0 /var/lib/tftpboot/
4. 进入 /var/lib/tftpboot/ ,创建pxelinux.cfg目录, mkdir pxelinux.cfg 重命名isolinux.cfg ; mv isolinux.cfg pxelinux.cfg/default
5. 修改default文件 ,找到第一行 default linux 找到 label linux 那行:append initrd=initrd.img ks=[http://192.168.37.128/ks/ks.cfg](http://192.168.37.128/ks/ks.cfg) quiet
6. 修改/etc/xinetd.d/tftp文件 ; disable = no
7. 配置/etc/dhcp/dhcpd.conf文件。 subnet 192.168.37.0 netmask 255.255.255.0 {
range 192.168.37.60 192.168.37.80;
next-server 192.168.37.128;
filename "pxelinux.0";
}
8. 进入/var/www/html/ ;mkdir cdrom ks
mount /dev/cdrom cdrom
9. 修改yum库的名称为 [development]
10. 执行system-config-kickstart ,前提要图形界面的系统
11.重启服务: systemctl restart httpd
systemctl restart dhcpd
systemctl restart tftp
12.创建一台新的虚拟机,内存要大于1024,让它自动获取IP,自动安装。
二:以ftp方式实现自动安装 方法相同,ftp工作目录/var/ftp
http工作目录 /var/www/html 只需将对应的文件修改位置即可。
7、搭建Cobbler实现自动化安装系统
(1)yum install cobbler dhcp
systemctl start cobblerd httpd tftp
(2)cobbler check
default_password_crypted: "$1$rHH5STtx$dI7Yo3.FmxbqA3cokkPg71"
next_server: 192.168.32.17
server: 192.168.32.17
manage_dhcp: 1
(3)cobbler get-loaders 下载boot loaders
(4) vim /etc/cobbler/dhcp.template
subnet 192.168.36.0 netmask 255.255.255.0 {
option routers 192.168.36.5;
option domain-name-servers 192.168.1.1;
option subnet-mask 255.255.255.0;
range dynamic-bootp 192.168.32.100 192.168.36.254;
(5) systemctl restart cobblerd
cobbler sync
(6) cobbler import --path=/misc/cd/ --name=Centos7.5-x86_64--arch=x86_64
(7)cp ks_centos7.cfg /var/lib/cobbler/kickstarts/ks7.cfg
--url=$tree