SSH密钥认证SSHSecure Shell安全外壳是一种网络安全协议通过加密和认证机制实现安全的远程访问和文件传输等业务SSH支持多种身份验证方法包括密码认证和密钥认证。密码认证将用户名和密码发送给服务器进行认证密钥认证使用公钥和私钥对进行身份验证实现安全的免密登录【两台服务器之间实现互相免密操作】我们这篇主要讲的是密钥认证我们是怎么通过密钥连上另一台服务器呢举例说明我的服务器192.168.88.101另一台服务器192.168.88.130都已经把防火墙设置好了并且可以ping通可以通过密码认证链接1生成密钥对先再我的服务器上生成一个密钥对一个是私钥一个是公钥#生成密钥对 ssh-keygen#找到我们的密钥 ls /root/.ssh/这个.pub就是我们的公钥我们会把这个给到我们想要远程链接的服务器2复制密钥给目标服务器#复制公钥给目标服务器 ssh-copy-id root192.168.88.130输入目标服务器密码不显示直接回车给我们提示了让我们尝试登录我们就登陆一下3登录目标服务器#本机操作远程链接目标服务器 ssh root192.168.88.130直接进来了现在在目标服务器再重复一次这个操作就能实现互相免密操作4另一台服务器重复以上操作SSH服务安装与启动检查ssh客户端版本ssh -V检查SSH服务状态如果服务正在运行则说明已安装SSH服务器systemctl status sshd#若服务未安装、使用dnf安装即可服务端与客户端软件同时安装 dnf install -y openssh-server dnf install -y openssh-clients启动服务/重启服务systemctl start sshd -- 启动服务 systemctl enable sshd -- 将服务添加到自启动项下次开机就自动启动了基于SSH实现发送命令到远程服务器需求1在不连接到node2主机的情况下、在node2的/opt目录下创建一个文件node1.txt并观察这个文件的所有者、所属组#创建 ssh lisi192.168.88.130 touch /opt/node1.txt #检查 ssh lisi192.168.88.130 ll /opt/node1.txt数据传输SCPSCPSecure Copy Protocol是基于 SSH 协议的安全文件传输工具可用于在本地和远程服务器之间传输文件或目录。通过 SCP数据在传输过程中会被加密确保数据的安全性。scp -r 源路径 目标路径需求1:将本地的/etc/passwd文件传递到node2主机的/root目录#安全复制/etc/passwa下的所有子目录及文件粘贴到这台服务器的root用户下的/root scp -r /etc/passwa root192.168.130:/root需求2:远程主机node2的/etc/fstab文件拷贝到本地node1主机的/root目录下scp -r root192.168.88.130:/etc/fstab /rootDNS服务器named服务装包修改dns主配置文件下载一个binddnf -y install bind看一下我们要修改的文件在哪rpm -qc bind我们找到named.conf给他做一个备份cp /etc/named.conf{,.bak}配置正向解析域修改配置文件修改named.conf文件备份放着不动直接改源文件我们先删一些我们不需要的只留下下面的我这个是删过了删完之后我们再来修改理解这个directoury 后面跟的路径 是DNS 区域文件的默认存放目录zone后面双引号里面的位置我们一会就要修改这个这个地方可以随便写写猫猫狗狗张三李四都可以不写点不写com都可以只是写完几年之后在看会忘记所以我们写一个有意义有实意的名字这是对外的域名标识告诉 DNS 服务器「所有以什么什么结尾的域名比如www.itcast.com、node1.itcast.com都用下面这个区域的规则来解析」这是用户访问的目标域名必须和你要解析的业务域名完全一致type hint;区域类型hint类型代表「根提示区域」专门用来告诉本地 DNS 服务器互联网的根 DNS 服务器的 IP 地址是什么一会给这改成masterfile后面的双引号里加的是我们现在在这给一个空文件夹命名我们也写一个有实意并且能和我们的对外的域名来区分我们一会来修改这个的配置这个不是空的不存在的一个吗我们一会复制一个别的文件然后重命名为我们现在给命名的名字 也就是说我现在在file后面写个小咪 要是想找我直接按照/var/named/路径我下面设置的这个叫小咪这个文件里写的东西来找我但是我们现在有没有这个小咪文件没有怎么办再再下一步的时候我们可以创建一个但是手搓太麻烦我们直接复制一个系统的重命名为小咪然后再来修改就会轻松很多但是注意我们前面是不是说了按照一个路径来找我的小咪文件所以我们不管是手搓还是复制修改这个东西一定要在这个路径下通过什么名字来找我呢通过zone后面我们写的名字我们先来第一步修改主配置文件vim /etc/named.conf我修改对外的域名叫itcast.com通过域名itcast.com来找我通过我的权威解释器master来到我的itcast.com.zone文件里你就找的到我ping的到我options { directory /var/named; }; zone itcast.com IN { type master; file itcast.com.zone; };wq保存退出修改地址文件我们看这个文件里是不是有个地址我们进入到这个路径下面 cd /var/named复制保留源文件权限复制一个本地的配置重命名为我们上一步写的这个名字那我们这个文件现在是不是就有了然后再来修改我们的这个文件#带权限一块复制named.localhost, 复制的文件叫itcast.com.zone cp -p named.localhost itcast.come.zone修改配置文件第一步给他起名字叫小咪这就是小咪文件对不对我给他起的名字是itcast.com.zone那就vim itcast.com.zone来修改vim itcast.com.zone你的文件叫小咪你就vim xiaomiNS 前面我自己写上 后面写上我们的node2.itcast.com我们的主机名加文件名NS是name server的意思可以让下面我写的node2拼接到ns后面如果我前面的这个文件叫小咪这里就是 NS node2.小咪.一定要写主机名和.这个点这个点是根域别人找我们的时候先找根域再找的我们必须写现在看第二行A是地址的意思 ip地址前面写主机名后面写你的地址我自己的A前面写node2 后面写node2的地址别人ping我以前需要ping 192.168.88.30才能通现在我通过修改我命名的文件你命名的小咪文件的配置别人就可以通过我第一步起的对外域名来ping到我了张三李四啥的为了方便理解我再乱写几个这个第二行就自动拼接为node1.itcast,com. 第三行自动拼接为www.itcast.com.也就是说别人ping www.itcast.com的时候自动他就ping到1.1.1.1$TTL 1D IN SOA rname.invalid. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS node2.itcast.com. node2 A 192.168.88.130重启一下再看一下状态systemctl restart named systemctl status named有人问了主包主包named是啥named是 Linux 系统上最主流的 DNS 服务器软件 Bind 的核心进程名全称是Berkeley Internet Name Domain (DNS)是全球使用最广泛、最权威的 DNS 服务程序。简单说之前配置的内网 DNS 解析全靠这个服务跑起来它就是 DNS 服务器的本体。检验现在还是别的服务器ping你给自己起的名字还是不通的话来到这把自己的地址写进去vim /etc/resolv.conf/etc/resolv.conf是Linux 系统的 DNS 客户端配置文件全称resolver configuration。它的核心作用是告诉你的服务器「我要查域名的时候去找哪台 DNS 服务器」是系统所有域名解析的「指路牌」看看行不行了现在#向当前系统配置的 DNS 服务器发起查询请求 问它node2.itcast.com 这个域名对应的 IP 地址是什么 nslookup node2.itcast.com按理说就可以了 如果不行 说can not find 啥啥啥 我们重启一下systemctl restart named然后再nslookup那行再一次就OK了如果还不行看一下是不是是不是这个服务没有读取的权限给他加一个读取权限chmod gr /var/named/itcast.com.zone还是不行的话就再看看配置文件是不是少个点少改个master成功的话长这样反向解析域修改主配置文件vim /etc/named.confg修改地址文件依旧复制一个过来cp -p named.localhost 192.168.88.zone改成下面这样要改的地方圈起来了vim 192.168.88.zone重启并且查看服务systemctl restart named systemctl status named验证nslookup 192.168.88.130
