linux信任關系

⑴ ssh測試linux 機器之間是否有信任關系

你不要在自己電腦上測試
換台電腦換個ssh軟體securecrt 然後再測試下
記得別在Linux上安裝軟體後再測試誰也不能保證你做了什麼調整

⑵ linux中如何確定遠端機器是否存在某個指定的文件

ssh連過去，find / -name 文件名

find其他參數
find 地址 參數 要找的類型
-name 文件名
-iname 忽略大小寫查找文件名
-user 文件所屬用戶查找
eg：find / -user joe -not - group joe
查找文件所屬用戶是joe而所屬組不是joe的文件
-perm 許可權查找
perm mode 完全符合
perm +mode 部分許可權符合
perm -mode 完全符合
eg：find \ -perm 222 查找所有文件是222許可權
find \ -perm +222 查找任意一位（u,g,o)是2許可權
find \ -perm -222 查找所有位都有2許可權
-atime，-mtime，-ctime 按時間查找（-amin，-mmin，-cmin）
find \tmp -ctime +10 查找10天前的文件
find \tmp -ctime -10 查找10天內的文件
find備份：
分區表備份 dd if=/dev/sda of=路徑 bs=1 count=512
空文件： dd if=/dev/zero of=路徑 bs=1M count=10

管道處理：-exec 直接執行
-ok 需要確認執行
eg：find / size +100M -OK mv {} /tmp/..... \;

按-type 類型查找
find / -type d -exec chmod 744 {} \;
查找所有目錄文件並且許可權修改為744

⑶ 怎樣用一條指令查看linux伺服器上不同節點的cpu使

每個節點對主節點設置ssh信任關系，ssh就不用密碼，直接執行命令 ssh username@node "top -n 1 -b"怎樣用一條指令查看linux伺服器上不同節點的cpu使

⑷ 如何配置linux系統信任關系

在Linux伺服器之間建立信任關系，是很多線上服務系統的基礎性工作，這樣能便於程序在多台伺服器之間自動傳輸數據，或者方便用戶不輸入密碼就可以在不同的主機間完成登錄或者各種操作。

網上關於建立Linux信任關系（ssh trust）的中文文章有一些，但是寫得都不太詳細，這里匯總了方方面面的資料，把多機信任關系建立方法說說清楚（文/陳運文）

一 建立信任關系的基本操作

基本場景是想從一台Server伺服器直接登錄另一台，或者將Server伺服器的數據不需密碼驗證直接拷貝至Client伺服器，以下我們簡稱Server伺服器為S（待發送的數據文件在這台伺服器上），Client服務為C，信任關系的最簡單操作方法如下：

1 在S伺服器上，進入當前用戶根目錄下的隱藏目錄 .ssh，命令如下：

cd ~/.ssh

（註：目錄名前的點好」.」表示該文件夾是一個特殊的隱藏文件夾，ls命令下默認是看不到的，通過 ls –a 命令觀察到）

2 生成S伺服器的私鑰和公鑰：

ssh-keygen -t rsa

（註：rsa是一種加密演算法的名稱，此處也可以使用dsa，關於rsa和dsa演算法的介紹可見本文後半章節）

ssh-keygen生成密鑰用於信任關系生成

-此時會顯示Generating public/private key pair. 並提示生成的公鑰私鑰文件的存放路徑和文件名，默認是放在 /home/username/.ssh/id_rsa 這樣的文件里的，通常不用改，回車就可以

然後Enter passphrase(empty for no passphrase): 通常直接回車，默認不需要口令

Enter same passphrase again: 也直接回車

然後會顯式密鑰fingerprint生成好的提示，並給出一個RSA加密協議的方框圖形。此時在.ssh目錄下ls，就可以看到生成好的私鑰文件id_rsa和公鑰文件id_rsa.pub了

以下是各種補充說明：

注1：如果此時提示 id_rsaalready exists，Overwrite(y/n) 則說明之前已經有人建好了密鑰，此時選擇n 忽略本次操作就行，可以直接用之前生成好的文件；當然選y覆蓋一下也無妨

注2：公鑰用於加密，它是向所有人公開的（pub是公開的單詞public的縮寫）；私鑰用於解密，只有密文的接收者持有。

3 在Server伺服器上載入私鑰文件

仍然在.ssh目錄下，執行命令：

ssh-add id_rsa

系統如果提示：Identity added: id_rsa (id_rsa) 就表明載入成功了

下面有幾個異常情況處理：

–如果系統提示：could not open a connection to your authentication agent

則需要執行一下命令：

ssh-agent bash

然後再執行上述的ssh-add id_rsa命令

–如果系統提示id_rsa: No such file or directory

這是系統無法找到私鑰文件id_rsa，需要看看當前路徑是不是不在.ssh目錄，或者私鑰文件改了名字，例如如果建立的時候改成 aa_rsa，則這邊命令中也需要相應改一下

-如果系統提示 command not found，那肯定是你命令敲錯字元了J

-提示Agent admitted failure to sign using the key，私鑰沒有載入成功，重試ssh-add

-注意id_rsa/id_rsa.pub文件不要刪除，存放在.ssh目錄下

4 把公鑰拷貝至Client伺服器上

很簡單，例如 scp id_rsa.pub [email protected]:~

5 ssh登錄到Client伺服器上，然後在Client伺服器上，把公鑰的內容追加到authorized_keys文件末尾（這個文件也在隱藏文件夾.ssh下，沒有的話可以建立，沒有關系）

cat id_rsa.pub >> ~/.ssh/authorized_keys

以下是各種補充說明，遇到問題時可以參考：

注1：這里不推薦用文件覆蓋的方式，有些教程直接scp id_rsa.pub 到Client伺服器的authorized_keys文件，會導致之前建的其他信任關系的數據被破壞，追加到末尾是更穩妥的方式；

注2： cat 完以後，Client伺服器上剛才拷貝過來的id_rsa.pub文件就不需要了，可以刪除或移動到其它地方）

注3：ssh-keygen 命令通過-b參數可以指定生成的密鑰文件的長度，如果不指定則默認為1024，如果ssh-keygen –b 4096（最長4096），則加密程度提高，但是生成和驗證時間會增加。對一般的應用來說，默認長度已經足夠勝任了。如果是rsa加密方式，那麼最短長度為768 byte

注4：authorized_keys文件的許可權問題。如果按上述步驟建立關系後，仍然要驗證密碼，並且沒有其他報錯，那麼需要檢查一下authorized_keys文件的許可權，需要作下修改： chmod g-w authorized_keys

OK，現在試試在Server端拷貝一個文件到Client伺服器，應該無需交互直接就傳過去了。

但是此時從Client傳數據到Server伺服器，仍然是需要密碼驗證的。如果需要兩台伺服器間能直接互傳數據，則反過來按上述步驟操作一下就可以了

二 刪除伺服器間信任關系的方法

如果想取消兩台伺服器之間的信任關系，直接刪除公鑰或私鑰是沒有用的，需要在Client伺服器上，打開 ~/.ssh/ authorized_keys 文件，找到對應的伺服器的公鑰欄位並刪除

每個段落的開頭是ssh-rsa字樣，段尾是Server伺服器的帳號和ip（如下圖紅框），需要細心的找一下後刪除整段

密鑰文件內容和刪除Linux伺服器間信任關系的方法

三 各種可能遇到的情況和處理方法

–提示 port 22: Connection refused

可能的原因：沒有正確安裝最新的openssh-server，安裝方法如下

sudo apt-get install openssh-server

不支持apt安裝的，可以手工下載：

wget ftp.ssh.com/pub/ssh/ssh-3.2.9.1.tar.gz

–關於目錄和文件的許可權設置

.ssh目錄的許可權必須是700，同時本機的私鑰的許可權必須設置成600：

chmod 600 id_rsa

否則ssh伺服器會拒絕登錄

四 關於RSA和DSA加密演算法

在ssh-keygen命令中，-t參數後指定的是加密演算法，可以選擇rsa或者dsa

RSA 取名自演算法的三位提出者Ron Rivest, Adi Shamir, and Leonard Adleman的姓名首字母，作為一種非對稱加密演算法，RSA的安全性基於及其困難的大整數分解（兩個素數的乘積的還原問題）。關於RSA演算法原理的文章很多，感興趣的朋友可以找來讀一讀。

DSA = Digital Signature Algorithm，基於有限域離散對數難題，是Schnorr和ElGamal簽名演算法的變種，一般用於數字簽名和認證，被美國標准局（NIST）採納為數字簽名標准DSS（Digital Signature Standard），based on discrete logarithms computation.

DES = Digital Encryption Standard. Obsolete standard.

RSA演算法好在網路容易實現密鑰管理,便進行數字簽名,演算法復雜,加/解速度慢,採用非對稱加密。在實際用於信任關系建立中，這兩種方法的差異很微小，可以挑選其一使用。

五 關於SSH協議的介紹

SSH全稱Secure SHell，顧名思義就是非常安全的shell的意思，SSH協議是IETF（Internet Engineering Task Force）的Network Working Group所制定的一種協議。SSH的主要目的是用來取代傳統的telnet和R系列命令（rlogin,rsh,rexec等）遠程登陸和遠程執行命令的工具，實現對遠程登陸和遠程執行命令加密。防止由於網路監聽而出現的密碼泄漏，對系統構成威脅。

ssh協議目前有SSH1和SSH2，SSH2協議兼容SSH1。目前實現SSH1和SSH2協議的主要軟體有OpenSSH和SSH Communications Security Corporation公司的SSH Communications 軟體。前者是OpenBSD組織開發的一款免費的SSH軟體，後者是商業軟體，因此在linux、FreeBSD、OpenBSD、NetBSD等免費類UNIX系統種，通暢都使用OpenSSH作為SSH協議的實現軟體。因此，本文重點介紹一下OpenSSH的使用。需要注意的是OpenSSH和SSH Communications的登陸公鑰/私鑰的格式是不同的，如果想用SSH Communications產生的私鑰/公鑰對來登入到使用OpenSSH的linux系統需要對公鑰/私鑰進行格式轉換。

第一次登陸後，ssh就會把登陸的ssh指紋存放在用戶home目錄的.ssh目錄的know_hosts文件中，如果遠程系統重裝過系統，ssh指紋已經改變，你需要把 .ssh 目錄下的know_hosts中的相應指紋刪除，再登陸回答yes，方可登陸。請注意.ssh目錄是開頭是」.」的隱藏目錄，需要ls –a參數才能看到。而且這個目錄的許可權必須是700,並且用戶的home目錄也不能給其他用戶寫許可權，否則ssh伺服器會拒絕登陸。如果發生不能登陸的問題，請察看伺服器上的日誌文件/var/log/secure。通常能很快找到不能登陸的原因。

六 關於ssh_config和sshd_config文件配置的說明

/etc/ssh/ssh_config:

Host *

選項「Host」只對能夠匹配後面字串的計算機有效。「*」表示所有的計算機。

ForwardAgent no

「ForwardAgent」設置連接是否經過驗證代理（如果存在）轉發給遠程計算機。

ForwardX11 no

「ForwardX11」設置X11連接是否被自動重定向到安全的通道和顯示集（DISPLAY set）。

RhostsAuthentication no

「RhostsAuthentication」設置是否使用基於rhosts的安全驗證。

RhostsRSAAuthentication no

「RhostsRSAAuthentication」設置是否使用用RSA演算法的基於rhosts的安全驗證。

RSAAuthentication yes

「RSAAuthentication」設置是否使用RSA演算法進行安全驗證。

PasswordAuthentication yes

「PasswordAuthentication」設置是否使用口令驗證。

FallBackToRsh no

「FallBackToRsh」設置如果用ssh連接出現錯誤是否自動使用rsh。

UseRsh no

「UseRsh」設置是否在這台計算機上使用「rlogin/rsh」。

BatchMode no

「BatchMode」如果設為「yes」，passphrase/password（互動式輸入口令）的提示將被禁止。當不能互動式輸入口令的時候，這個選項對腳本文件和批處理任務十分有用。

CheckHostIP yes

「CheckHostIP」設置ssh是否查看連接到伺服器的主機的IP地址以防止DNS欺騙。建議設置為「yes」。

StrictHostKeyChecking no

「StrictHostKeyChecking」如果設置成「yes」，ssh就不會自動把計算機的密匙加入「$HOME/.ssh/known_hosts」文件，並且一旦計算機的密匙發生了變化，就拒絕連接。

IdentityFile ~/.ssh/identity

「IdentityFile」設置從哪個文件讀取用戶的RSA安全驗證標識。

Port 22

「Port」設置連接到遠程主機的埠。

Cipher blowfish

「Cipher」設置加密用的密碼。

EscapeChar ~

「EscapeChar」設置escape字元。

/etc/ssh/sshd_config:

Port 22

「Port」設置sshd監聽的埠號。

ListenAddress 192.168.1.1

「ListenAddress」設置sshd伺服器綁定的IP地址。

HostKey /etc/ssh/ssh_host_key

「HostKey」設置包含計算機私人密匙的文件。

ServerKeyBits 1024

「ServerKeyBits」定義伺服器密匙的位數。

LoginGraceTime 600

「LoginGraceTime」設置如果用戶不能成功登錄，在切斷連接之前伺服器需要等待的時間（以秒為單位）。

KeyRegenerationInterval 3600

「KeyRegenerationInterval」設置在多少秒之後自動重新生成伺服器的密匙（如果使用密匙）。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。

PermitRootLogin no

「PermitRootLogin」設置root能不能用ssh登錄。這個選項一定不要設成「yes」。

IgnoreRhosts yes

「IgnoreRhosts」設置驗證的時候是否使用「rhosts」和「shosts」文件。

IgnoreUserKnownHosts yes

「IgnoreUserKnownHosts」設置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的「$HOME/.ssh/known_hosts」

StrictModes yes

「StrictModes」設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的許可權和所有權。這通常是必要的，因為新手經常會把自己的目錄和文件設成任何人都有寫許可權。

X11Forwarding no

「X11Forwarding」設置是否允許X11轉發。

PrintMotd yes

「PrintMotd」設置sshd是否在用戶登錄的時候顯示「/etc/motd」中的信息。

SyslogFacility AUTH

「SyslogFacility」設置在記錄來自sshd的消息的時候，是否給出「facility code」。

LogLevel INFO

「LogLevel」設置記錄sshd日誌消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁，已獲取更多的信息。

RhostsAuthentication no

「RhostsAuthentication」設置只用rhosts或「/etc/hosts.equiv」進行安全驗證是否已經足夠了。

RhostsRSAAuthentication no

「RhostsRSA」設置是否允許用rhosts或「/etc/hosts.equiv」加上RSA進行安全驗證。

RSAAuthentication yes

「RSAAuthentication」設置是否允許只有RSA安全驗證。

PasswordAuthentication yes

「PasswordAuthentication」設置是否允許口令驗證。

PermitEmptyPasswords no

「PermitEmptyPasswords」設置是否允許用口令為空的帳號登錄。

AllowUsers admin

「AllowUsers」的後面可以跟著任意的數量的用戶名的匹配串（patterns）或user@host這樣的匹配串，這些字元串用空格隔開。主機名可以是DNS名或IP地址。

⑸ linux與windows兩個操作系統之間能建立信任關系么

可以的，這個可以使用VM虛擬機，採用linux的smb服務，這是在本地主機上 實現文件的共享或傳輸；另外，如果是遠程終端的形式，那就可以使用lftp來實現，建立信任 可以採用用匿名登錄 或者就是ftp用戶登錄 就可以啦！

⑹ linux異地備份命令

linux本身不能通過命令實現異地備份。要說要說跨主機負責，可以用rcp和scp兩個命令，都需要建立主機信任關系。rcp不加密，scp是基於ssh的加密拷貝。這兩個命令都可以把A主機指定文件復制到B主機指定目錄下。
但真正實現完整異地備份功能，一般都採用專業的備份軟體，可以實現全量備份，增量備份，差異備份，甚至資料庫備份功能。

⑺ 如何通過linux ssh遠程linux不用輸入密碼登入

一、實現原理使用一種被稱為"公私鑰"認證的方式來進行ssh登錄。"公私鑰"認證方式簡單的解釋是：首先在客戶端上創建一對公私鑰（公鑰文件：~/.ssh/id_rsa.pub；私鑰文件：~/.ssh/id_rsa），然後把公鑰放到伺服器上（~/.ssh/authorized_keys），自己保留好私鑰。當ssh登錄時，ssh程序會發送私鑰去和伺服器上的公鑰做匹配。如果匹配成功就可以登錄了。
二、實驗環境
A機：TS-DEV/10.0.0.163
B機：CS-DEV/10.0.0.188
三、Linux/Unix雙機建立信任
3.1 在A機生成證書
在A機root用戶下執行ssh-keygen命令，在需要輸入的地方，直接回車，生成建立安全信任關系的證書。
# ssh-keygen -t rsa

注意：在程序提示輸入passphrase時直接輸入回車，表示無證書密碼。
上述命令將生成私鑰證書id_rsa和公鑰證書id_rsa.pub，存放在用戶家目錄的.ssh子目錄中。
3.2 查看~/.ssh生成密鑰的文件
# cd ~/.ssh
# ll

3.3 A對B建立信任關系
將公鑰證書id_rsa.pub復制到機器B的root家目錄的.ssh子目錄中，同時將文件名更換為authorized_keys，此時需要輸入B機的root用戶密碼（還未建立信任關系）。建立了客戶端到伺服器端的信任關系後，客戶端就可以不用再輸入密碼，就可以從伺服器端拷貝數據了。
# scp -r id_rsa.pub 10.0.0.188:/root/.ssh/authorized_keys

3.4 B對A建立信任關系

⑻ linux如何配置雙機SSH信任然後雙向免密碼登陸

一、實現原理
使用一種被稱為"公私鑰"認證的方式來進行ssh登錄。"公私鑰"認證方式簡單的解釋是：
首先在客戶端上創建一對公私鑰(公鑰文件：~/.ssh/id_rsa.pub;私鑰文件：~/.ssh/id_rsa)，然後把公鑰放到伺服器上(~/.ssh/authorized_keys)，自己保留好私鑰。當ssh登錄時，ssh程序會發送私鑰去和伺服器上的公鑰做匹配。如果匹配成功就可以登錄了。
二、實驗環境
A機：TS-DEV/10.0.0.163
B機：CS-DEV/10.0.0.188
三、Linux/Unix雙機建立信任
3.1
在A機生成證書
在A機root用戶下執行ssh-keygen命令，在需要輸入的地方，直接回車，生成建立安全信任關系的證書。
#
ssh-keygen
-t
rsa
注意：在程序提示輸入passphrase時直接輸入回車，表示無證書密碼。
上述命令將生成私鑰證書id_rsa和公鑰證書id_rsa.pub，存放在用戶家目錄的.ssh子目錄中。
3.2
查看~/.ssh生成密鑰的文件
#
cd
~/.ssh
#
ll
3.3
A對B建立信任關系
將公鑰證書id_rsa.pub復制到機器B的root家目錄的.ssh子目錄中，同時將文件名更換為authorized_keys，此時需要輸入B機的root用戶密碼(還未建立信任關系)。建立了客戶端到伺服器端的信任關系後，客戶端就可以不用再輸入密碼，就可以從伺服器端拷貝數據了。
#
scp
-r
id_rsa.pub
10.0.0.188:/root/.ssh/authorized_keys
3.4
B對A建立信任關系
在B機上執行同樣的操作，建立B對A的信任關系。
#
ssh-keygen
-t
rsa
#
cd
~/.ssh/
#
ll
#
scp
-r
id_rsa.pub
10.0.0.163:/root/.ssh/authorized_keys
如果想讓B，C同時可以scp不輸入密碼，傳輸A中的數據;
則要把B、C的公鑰都給
A;
操作步驟：把兩機器的id_rsa.pub中的數據都拷貝到A的/root/.ssh/authorized_keys文件中，一行表示一條;
A:
scp
-r
id_rsa.pub
10.0.0.163:/root/.ssh/authorized_keys
B:
scp
-r
id_rsa.pub
10.0.0.188:/root/.ssh/authorized_keys
測試
ssh
[email protected]
'hostname'
///
ssh
[email protected]
'hostname'
如果連接反應慢，請修改以下兩參數
/etc/ssh/sshd_config
GSSAPIAuthentication
no
UseDNS
no
然後重啟service
sshd
restart

⑼ linux ssh-keygen設置信任關系求教

你這個有點亂啊 你想實現什麼功能呢

⑽ linux ssh 跳轉的時候提示Permission denied (publickey).

機器之前需要建立信任關系才能使用ssh互相連接，截圖裡面有方法，照著做就行了。