您正在查看:标签 ssh 下的文章

April 17, 2010

方法如下：
首先写一段shell

#!/bin/sh
echo ""
echo " ********************************************************************"
echo " * welcome to http://bmforum.com- SSH Tunnel , press a key to exit. *"
echo " ********************************************************************"
echo ""
read x
exit

保存为： /bin/tunnel.sh

chmod 755 /bin/tunnel.sh #加权限
useradd tunnel -g nobody -s /bin/tunnel.sh #加用户
passwd tunnel #给他个密码。

继续阅读

linux inotify+rsync+ssh数据时时同步

January 5, 2010

引用：

Inotify 是文件系统事件监控机制，计划包含在即将发布的 Linux 内核中作为 dnotify 的有效替代。dnotify 是较早内核支持的文件监控机制。Inotify一种强大的、细粒度的、异步的机制，它满足各种各样的文件监控需要，不仅限于安全和性能。下面让我们一起学习如何安装 inotify 和如何构建一个示例用户空间应用程序来响应文件系统事件。

文件系统事件监控对于从文件管理器到安全工具的各种程序都是必要的，但是 dnotify（早期内核中的标准）存在一些局限性，这使我们期待出现一种更加完善的机制。抱着这种期待，我们发现了 inotify，一种更加现代化的文件系统事件监控替代品。
为什么使用 inotify？
使用 inotify 取代 dnotify 的原因有很多。第一个原因是，dnotify 需要您为每个打算监控是否发生改变的目录打开一个文件描述符。当同时监控多个目录时，这会消耗大量的资源，因为有可能达到每个进程的文件描述符限制。
除此之外，文件描述符会锁定目录，不允许卸载（unmount）支持的设备，这在存在可移动介质的环境中会引发问题。在使用 inotify 时，如果正在监控被卸载的文件系统上的文件，那么监控会被自动移除并且您会接收到一个卸载事件。
dnotify 不如 inotify 的第二个原因是 dnotify 有点复杂。注意，使用 dnotify 基础设施的简单文件系统监控粒度只停留于目录级别。为了使用 dnotify 进行更细粒度的监控，应用程序编程人员必须为每个受监控的目录保留一个 stat 结构的缓存。该用户空间的 stat 结构缓存需要用来明确确定当接收到通知信号时目录发生了什么变化。当获得通知信号时，生成 stat 结构列表并与最新的状态相比较。显而易见，这种技术是不理想的。
inotify 的另一个优点是它使用文件描述符作为基本接口，使应用程序开发者使用 select 和 poll 来监控设备。这允许有效的多路 I/O 和与 Glib 的 mainloop 的集成。相反，dnotify 所使用的信号常常使程序员头疼并且感觉不太优雅。
inotify 通过提供一个更优雅的 API 解决了这些问题，该 API 使用最少的文件描述符，并确保更细粒度的监控。与 inotify 的通信是通过设备节点提供的。基于以上原因，对于监控 Linux 2.6 平台上的文件，inotify 是您最明智的选择。

继续阅读

debian 安全设置

January 1, 2010

1 ssh 安全化

如果您仍然使用 telnet, 而不是 ssh, 则需要改变对本手册的阅读方式. 应当用 ssh 来取代所有的 telnet 远程登录. 任何时候通过嗅探互联网通讯来获取明文密码都是相当简单的, 您应该采用使用加密算法的协议. 那么, 现在在你的系统上执行 apt-get install ssh .

鼓励您系统上的所有用户使用 ssh 取代 telnet, 或者更进一步, 卸载 telnet/telnetd. 另外您应该避免使用 ssh 以 root 身份登录, 其替代的方法是使用 su 或 sudo 转换成 root 用户. 最后, /etc/ssh 目录下的 sshd_config 文件, 应当作如下修改, 以增强安全性:

ListenAddress 192.168.0.1

使得 ssh 只监听一个指定的接口, 如果你有多个(并不想在其上边获得 ssh 服务)接口, 或者将来会增加一块新网卡(但并不想通过它连接ssh服务).

PermitRootLogin no

尝试任何情况先都不允许 Root 登录. 如果有人想通过 ssh 成为 root, 需要两次登录, 并且root的密码现在仍不可能通过SSH暴力破解.

Listen 666 或 ListenAddress 192.168.0.1:666

改变监听端口, 这样入侵者不能完全确定是否运行了sshd守护进程(事先警告，这是模糊安全的).

PermitEmptyPasswords no

空密码是对系统安全的嘲弄.

AllowUsers alex ref me@somewhere

只允许某些用户通过 ssh 访问主机. user@host 也可用于限制指定用户通过指定主机访问.

AllowGroups wheel admin

仅允许某个组的成员通过 ssh 访问主机. AllowGroups 和 AllowUsers 对于拒绝访问主机有同样的效果. 当称它们为 "DenyUsers" 和 "DenyGroups" 时不要觉得奇怪.

PasswordAuthentication yes

这完全取决于您的选择. 仅仅允许用户使用置于 ~/.ssh/authorized_keys 文件中的 ssh-keys 登录主机将更加安全. 如果要达到这种效果，将其设为 "no".

禁用所有的您不需要的认证方式, 如果您用不到, 例如 RhostsRSAAuthentication, HostbasedAuthentication, KerberosAuthentication 或 RhostsAuthentication(例如), 您应该将其禁用, 即使它们是缺省设置(参阅联机帮助 sshd_config(5)).

Protocol 2

禁用版本1协议, 因为其设计缺陷, 很容易使密码被黑掉. 更多信息, 参阅 ssh协议问题报告或 Xforce 通告.

Banner /etc/some_file

为用户连接到 ssh 服务器增加一个标题(它将从文件读取), 在一些国家, 登入给定系统前, 给出未经授权或者用户监视警告信息, 将会受到法律的保护.

继续阅读

利用SSH通道来运行RSYNC

December 31, 2009

1.在备份服务运行：ssh-keygen -d 生成 id_dsa和id_dsa.pub
2. scp id_dsa.pub 到主服务器
scp /root/.ssh/id_dsa.pub root@ip:/root/.ssh/authorized_keys
3. 如果authorized_keys 存在则执行下面的步骤：scp /root/.ssh/id_dsa.pub root@ip:/root/.ssh/aa.pub
cat aa.pub >>authorized_keys
4.利用rsync 传递数据

rsync -zrtopg --progress --stats --delete -e ssh /home/aa root@220.181.4.61:/home/aa

5,参考脚本

RSYNC 参数详解

-v, –verbose 详细模式输出
-q, –quiet 精简输出模式
-c, –checksum 打开校验开关，强制对文件传输进行校验
-a, –archive 归档模式，表示以递归方式传输文件，并保持所有文件属性，等于-rlptgoD
-r, –recursive 对子目录以递归模式处理
-R, –relative 使用相对路径信息
-b, --backup 创建备份，也就是对于目的已经存在有同样的文件名时，将老的文件重新命名为~filename。可以使用--suffix选项来指定不同的备份文件前缀。
--backup-dir 将备份文件(如~filename)存放在在目录下。
-suffix=SUFFIX 定义备份文件前缀
-u, --update 仅仅进行更新，也就是跳过所有已经存在于DST，并且文件时间晚于要备份的文件。(不覆盖更新的文件)
-l, --links 保留软链结
-L, --copy-links 想对待常规文件一样处理软链结
--copy-unsafe-links 仅仅拷贝指向SRC路径目录树以外的链结
--safe-links 忽略指向SRC路径目录树以外的链结
-H, --hard-links 保留硬链结
-p, --perms 保持文件权限
-o, --owner 保持文件属主信息
-g, --group 保持文件属组信息
-D, --devices 保持设备文件信息
-t, --times 保持文件时间信息
-S, --sparse 对稀疏文件进行特殊处理以节省DST的空间
-n, --dry-run现实哪些文件将被传输
-W, --whole-file 拷贝文件，不进行增量检测
-x, --one-file-system 不要跨越文件系统边界
-B, --block-size=SIZE 检验算法使用的块尺寸，默认是700字节
-e, --rsh=COMMAND 指定替代rsh的shell程序
--rsync-path=PATH 指定远程服务器上的rsync命令所在路径信息
-C, --cvs-exclude 使用和CVS一样的方法自动忽略文件，用来排除那些不希望传输的文件
--existing 仅仅更新那些已经存在于DST的文件，而不备份那些新创建的文件
--delete 删除那些DST中SRC没有的文件
--delete-excluded 同样删除接收端那些被该选项指定排除的文件
--delete-after 传输结束以后再删除
--ignore-errors 及时出现IO错误也进行删除
--max-delete=NUM 最多删除NUM个文件
--partial 保留那些因故没有完全传输的文件，以是加快随后的再次传输
--force 强制删除目录，即使不为空
--numeric-ids 不将数字的用户和组ID匹配为用户名和组名
--timeout=TIME IP超时时间，单位为秒
-I, --ignore-times 不跳过那些有同样的时间和长度的文件
--size-only 当决定是否要备份文件时，仅仅察看文件大小而不考虑文件时间
--modify-window=NUM 决定文件是否时间相同时使用的时间戳窗口，默认为0
-T --temp-dir=DIR 在DIR中创建临时文件
--compare-dest=DIR 同样比较DIR中的文件来决定是否需要备份
-P 等同于 --partial
--progress 显示备份过程
-z, --compress 对备份的文件在传输时进行压缩处理
--exclude=PATTERN 指定排除不需要传输的文件模式
--include=PATTERN 指定不排除而需要传输的文件模式
--exclude-from=FILE 排除FILE中指定模式的文件
--include-from=FILE 不排除FILE指定模式匹配的文件
--version 打印版本信息
--address 绑定到特定的地址
--config=FILE 指定其他的配置文件，不使用默认的rsyncd.conf文件
--port=PORT 指定其他的rsync服务端口
--blocking-io 对远程shell使用阻塞IO
--stats 给出某些文件的传输状态
--progress 在传输时现实传输过程
--log-format=FORMAT 指定日志文件格式
--password-file=FILE 从FILE中得到密码
--bwlimit=KBPS 限制I/O带宽，KBytes per second
-h, --help 显示帮助信息

控制脚本

因为往往备份的目录是相对固定的，如果每次备份都要输入那么长一串，会不会觉得很麻烦呢？那我们写一个脚本来工作，并且利用crontab来定时定点的执行同步工作。

控制脚本代码如下：

#!/bin/sh
# rsyncer.sh
# author Jonsen Yang( 16hot )
# home http://www.isyi.com http://16hot.blog.isyi.com
# date 2007-03-20
#

LOCAL_DIR="/opt/etc" ;
REMOTE_USER="mybackup" ;
REMOTE_HOST="192.168.11.11" ;
REMOTE_DIR="/tmp/myetc" ;

RSYNC_CMD="/usr/local/bin/rsync" ;
RSYNC_LOG="/opt/var/log/rsync.log" ;

RSYNC_RUN="${RSYNC_CMD} -vzrtopg --progress --stats --delete -e ssh ${LOCAL_DIR} ${REMOTE_USER}@${REMOTE_HOST}:${REMOTE_DIR}";

${RSYNC_RUN} >> ${RSYNC_LOG} 2>&1;

# end rsyncer.sh

将 rsyncer.sh 脚本保存到 /opt/bin（或者你自己的工作目录）目录下，还要注意保证设置好mybackup用户可以执行的属性。

$ chmod +x /opt/bin/rsyncer.sh

另外，要注意 /opt/var/log/rsync.log 也必须是mybackup帐户可以读写才行。

运行

经过上面的步骤后，可谓万事俱备，只欠运行了。其实也很简单，我们只需要设置crontab，定时执行备份脚本进行备份就可以了。

$ crontab -e
0 3  * * *  /opt/bin/rsyncer.sh

这样，每天凌晨3点，就会自动执行 /opt/bin/rsyncer.sh 进行备份了。

参考网站：
http://wiki.isyi.com/wiki/Rsync_%2B_ssh_%E5%AE%89%E5%85%A8%E9%80%9A%E9%81%93%E8%BF%9B%E8%A1%8C%E5%90%8C%E6%AD%A5#.E5.8A.A0.E5.AF.86.E4.BC.A0.E8.BE.93

继续阅读

Linux下使用SSH、Crontab、Rsync三工具实现数据自动备份

December 31, 2009

作为网管人员大概都无一例外的经历过系统备份，尤其是重要系统的备份、重要数据库系统的备份工作。由于备份是个频繁而琐碎的工作，如何能把这个工作做得即简单又灵活呢？下面就来介绍在Linux下如何使用SSH和Crontab以及Rsync工具来进行数据的自动备份与同步。

一、SSH无密码安全登录

为什么要选择SSH呢?SSH又是什么呢?可以说它是替代以前Telnet的远程登录工具，SSH的英文全称是Secure Shell。用户可以把所有传输的数据进行加密，这样即使网络中的黑客能够劫持用户所传输的数据，如果不能解密的话，也不能对数据传输构成真正的威胁。而且SSH的数据传输是经过压缩的，可以加快传输的速度，这就是SSH目前能替代Telnet远程登录工具的原因。

说到安全，SSH提供两种级别的安全验证，一种是基于口令的安全验证。只要用户知道自己账号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证用户正在连接的服务器就是用户想连接的服务器，可能会有别的服务器在冒充真正的服务器，这存在着潜在的威胁。一种是基于密匙的安全验证。需要依靠密匙，也就是用户必须为自己创建一对公匙，密钥，并把公用密匙放在需要访问的服务器上。如果需要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求使用用户的密匙进行安全验证。服务器收到请求之后，先在服务器上用户的主目录下找到该用户的公用密匙，然后把它和用户发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”并把它发送给客户端软件。客户端软件收到“质询” 之后就可以用用户的私人密匙解密再把它发送给服务器。

下面做的就是利用第二种基于密匙的安全验证的登录，具体方法如下：

使用如下命令在需要备份的机器上创建一对公钥/密钥：

#ssh-keygen -t rsa

Generation public/private rsa key pair.

Enter file in which to save the key(/root/.ssh/id_rsa):

Enter passphrase(empty for no passphrase):

Enter same passphrase again:

Your identiflcation has been save in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_ras.pub.

The key fingerprint is:

c3:a0:de:f8:24:8e:f6:0d:ed:0a:b0:a2:2d:aa:d3:8broot@localhost.localdomain

这期间一直按回车即可，这样公匙/密钥就创建完毕。

使用如下命令把公匙传到需要备份的服务器上：

#ssh 192.168.1.2

#mkdir .ssh;chmod 0700 .ssh

远程登录到需要备份的服务器上并且创建.ssh目录。

#scp .ssh/id-rsa.pub 192.168.1.2 : .ssh/authorized_keys2

上述命令可以把公钥远程传过去。

这样一个SSH基于密匙的安全验证登录就简单的做完了，现在就可以从192.168.1.1直接用“ssh 192.168.1.2”无密码自动登录过去了，这样就简单而又安全的实现了自动登录目的，可以为下面定时做备份打下前题。

二、定时数据同步

这里把定时触发和同步一起来简单介绍一下，Crontab是个能定时执行命令的一个工具，它是用来让使用者在固定时间或固定间隔执行程式之用，下面就介绍一下这个命令的常用参数。

Crontab命令参数：

-e执行文字编辑器来设定时程表，内定的文字编辑器是VI，如果你想用别的文字编辑器，则请先设定VISUAL环境变数来指定使用那个文字编辑器(比如说setenvVISUALjce)。

-r删除目前的时程表。

-I列出目前的时程表。

Crontab时程表示格式如下：f1 f2 f3 f4 f5 command

其中，f1是表示分钟，f2表示小时，f3表示一个月份中的第几日，f4表示月份，f5表示一个星期中的第几天。Command表示要执行的命令。当f1为时表示每分钟都要执行command，f2为*时表示每小时都要执行程式，其余类推。当f1为a-b时表示从第a分钟到第b分钟这段时间内要执行，f2为a-b时表示从第a到第b小时都要执行。当f1为*/n时表示每n分钟个时间间隔执行一次，f2为*/n表示每n小时个时间间隔执行一次，其余类推。当f1为a,b,C,......时表示第a,b,C,......分钟要执行，f2为a,b,C,......时表示第a,b,C,......个小时要执行，其余类推。当然也可以将要定时执行的命令存放在预备文档里，这里就得用crontab file的方式来设定时程表。

三、数据同步

现在来介绍一下如何让数据同步的一个工具，Rsync可以让数据同步，下面看一下一些Rsync的主要参数：

-V，--verbose输出的信息；

-q，--quiet安静模式，几乎没有信息产生．常用在以cron执行rsync;

-a，--archive archive mode权限保存模式，相当于-rlptgoD参数;

-p，--perms保留档案权限;

-O，--owner保留档案所有者(root only)；

-g，--g rouP保留档；案群；

-D，--devices保留device信息(root only);

-e，--h=COMMAND定义所使用的remote shell;

-4，--ipv4使用IPv4协议;

-6，--ipv6使用IPv6协议;

下面看一下如何通过SSH和Rsync工具组合使用方法：

#rsync -ave ssh 192.168.1.2:/home/ftp/pub/ /home/ftp/pub/

需要注意的是,源端目录名称末尾的/。在源说明中后缀/通知rsync复制该目录的内容，但不复制目录文件自身。要想把目录包含在要复制内容的最顶层就要去掉/;

使用SSH传输rsync流量具有下述优点，可通过网络加密数据，而且速度非常快，使用SSH客户端密钥建立的任何信任关系。如果要在两台计算机之间保持大型、复杂目录结构的同步性(尤其是两者间的差异很小时)，那么rsync就是一种使用起来极为方便(并且执行速度很快)、随心所欲的工具。

#crontab -e

0 17 * * 1-5 rsync -ave ssh 192.168.1.2:/my /my

上面的操作"crontab-e"命令是编辑定时启动脚本,然后在周一到周五的每天下午5点执行SSH远程自动登录然后把192.168.1.2的/my目录下的所有东西同步到本地的/my目录下，这样就达到了自动数据同步备份的目的了。

继续阅读