30选5玩法|福彩30选5开奖结果321|
 

标签:ssh

ssh 远程执行脚本

No Comments IT必备工具

环境:两台centos 7.0 ip:192.168.1.228、192.168.1.229

从192.168.1.228免输入密码登录到192.168.1.229

配置192.168.1.228

1、进入~目录

cd ~

创建.ssh 文件夹

mkdir .ssh

chmod 700 .ssh

2、创建ssh钥匙文件

ssh-keygen -t  rsa

3、更改私有钥匙的属性

chmod 600 id_rsa

4、将公共钥匙文件传送到192.168.1.229

使用scp传送

进入.ssh目录中

scp id_rsa.pub [email protected]:~/.ssh  #注意192.168.1.229?#34892;?#35201;存在.ssh目录

在192.168.1.229中.ssh

cat id_rsa.pub >> authorized_keys

chmod 700 .ssh

------中间广告---------

测试

在192.168.1.228中登录到192.168.1.229

ssh [email protected]

直接可以登录成功

注意从192.168.1.229登录到192.168.1.228是需要输入密码?#29616;ぃ?#22914;果都不需要输入密码,只需再192.168.1.229重复上面的步骤即可

测试在192.168.1.228中远程调用192.168.1.229的shell命令

在192.168.1.229中的/opt/shell/下建立一个shell脚本

test.sh

内容

  1. #!/bin/bash

  2. mkdir /opt/shell/log

授予执行权限

chmod +x test.sh

在192.168.1.228中远程调用

ssh [email protected] ‘bash /opt/shell/test.sh’

配置Cisco路由器上SSH服务

No Comments CISCO , , ,

 

目前Cisco的产品只支持SSH-1,?#20849;?#25903;持SSH-2。下面以GSR 12008为例详细介绍SSH-1的配置方法(斜体字为配置输入的命令):
① 配置hostname和ip domain-name:
Router#configure terminal
Router(config)#hostname TEST-GSR12008
TEST-GSR12008(config)#ip domain-name jx.cn.net
② 配置登录用户名和密码(以本地?#29616;?#20026;例):
TEST-GSR12008(config)#username test password 0 test
注:添加一个用户:test,口令:test
TEST-GSR12008(config)#line vty 0 4
TEST-GSR12008(config-line)#login local
在这两部分做完以后,用show run命令就能够看到:
hostname TEST-GSR12008
!
boot system flash gsr-k3p-mz.120-14.S.bin
enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG.
enable password 7 094F47C31A0A
!
username test password 7 0835495D1D
clock timezone PRC 16
redundancy
main-cpu
auto-sync startup-config
!
!
!
!
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
!
③ 配置SSH服务:
TEST-GSR12008(config)#crypto key generate rsa
The name for the keys will be: TEST-GSR12008.jx.cn.net
注:SSH的关键?#32622;?#23601;是hostname + . +ip domain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 注:选择加密位数,用默认就行了
Generating RSA keys …
[OK]
TEST-GSR12008(config)#end
TEST-GSR12008#write
Building configuration…
这时候用show run命令可?#38053;?#21040;:
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
ip ssh time-out 120
ip ssh authentication-retries 3
!
用命令show ip ssh也能看到:
SSH Enabled – version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:
TEST-GSR12008(config)#crypto key zeroize rsa
④设置SSH?#38382;?
配置好了SSH之后,通过show run命令我们看到SSH默认的?#38382;?#36229;时限定为120秒,?#29616;?#37325;试?#38382;?#20026;3次,可以通过下面命令进行修改:
TEST-GSR12008(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}
如果要把超时限定改为180秒,则应该用:
TEST-GSR12008(config)# ip ssh time-out 180
如果要把重试?#38382;?#25913;成5次,则应该用:
TEST-GSR12008(config)# ip ssh authentication-retries 5
这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。

H3C配置对SSH/Telnet 用户的ACL 控制

No Comments 网络技术 , , ,

配置对Telnet/SSH 用户的ACL 控制通过配置对telnet 或ssh 用户的acl 控制,可以在登录用户进行口令?#29616;?#20043;前将一些恶意或者不合法的连接请求过滤掉,保证设备的安全。

    4.2.1 配置准备

    用户对telnet 或ssh 方式登录交换机进行了正确配置。

    4.2.2 配置过程

    缺省情况下,不对用户界面的呼入(inbound)/ 呼出(outbound)进行限制。

    telnet 或ssh 用户的acl 控制功能只能引用基于数字标识的访问控制?#26012;懟?

    telnet 或ssh 用户引用基本访问控制?#26012;?#25110;高级访问控制?#26012;?#26102;,基于源ip或目的ip 地址对呼入/呼出进行限制。因此引用基本访问控制?#26012;?#21644;高级访问控制?#26012;?#23376;规则时,只有源ip 及其掩码、目的ip 及其掩码、time-range ?#38382;行А?#31867;似的,telnet 和ssh 用户引用二层访问控制?#26012;?#26102;,基于源mac 地址对呼入/呼出进行限制。因此引用二层访问控制?#26012;?#23376;规则时,只有源mac 及其掩码、time-range ?#38382;行А?

    基于二层访问控制?#26012;?#23545;telnet、ssh 用户进行控制时,只能限制呼入。

    对由于受acl 限制而被拒绝登录的用户,会记录一次访问失败日志信息。日志内容包括该用户的ip 地址、登录方式、登入用户界面索引值和登录失败原因。

    4.2.3 二层acl 控制配置举例

    1. 组网需求

    仅允许源mac 地址为00e0-fc01-0101 和00e0-fc01-0303 的telnet 用户访问交换机。

    2. 组网图

    3. 配置步骤

    # 定义二层访问控制?#26012;懟?

    [h3c] system-view

    system view: return to user view with ctrl+z.

    [h3c] acl number 4000 match-order config

    # 定义子规则。

    [h3c-acl-link-4000] rule 1 permit ingress 00e0-fc01-0101 0000-0000-0000 [h3c-acl-link-4000] rule 2 permit ingress 00e0-fc01-0303 0000-0000-0000 [h3c-acl-link-4000] rule 3 deny ingress any

    [h3c-acl-link-4000] rule 3 deny ingress any

    [h3c-acl-link-4000] quit

    # 进入用户界面视图。

    [h3c] user-interface vty 0 4

    # 引用二层访问控制?#26012;恚?#23545;用户界面的呼入进行限制。

    [h3c-user-interface-vty0-4] acl 4000 inbound

    4.2.4 基本acl 控制配置举例

    1. 组网需求

    仅允许来自10.110.100.52 和10.110.100.46 的telnet 用户访问交换机。

    2. 组网图

    3. 配置步骤

    # 定义基本访问控制?#26012;懟?

    [h3c] system-view

    system view: return to user view with ctrl+z.

    [h3c] acl number 2000 match-order config

    # 定义子规则。

    [h3c-acl-basic-2000] rule 1 permit source 10.110.100.52 0

    [h3c-acl-basic-2000] rule 2 permit source 10.110.100.46 0

    [h3c-acl-basic-2000] rule 3 deny source any

    [h3c-acl-basic-2000] quit

    # 进入用户界面视图。

    [h3c] user-interface vty 0 4

    # 引用访问控制?#26012;懟?

    [h3c-user-interface-vty0-4] acl 2000 inbound

网上都可以?#19994;?#26377;关ASA防火?#33050;?#32622;SSH的文章,但经测试后发现都有不少问题

No Comments CISCO , ,

 

ASA5500系列命令,我发现的软件版本7.0以上的正确配置方法如下:

//配置服务器端

ciscoasa(config)#crypto key generate   rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.
ciscoasa(config)#write mem //保存刚刚产生的密钥
ciscoasa(config)#ssh0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙
ciscoasa(config)#ssh timeout 30   //设置超时时间,单位为分钟
ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2
//配置客户端
ciscoasa(config)#passwd 密码   //passwd命令所指定的密码为远程访问密码,同样适用于telnet

所有7.0版本以上的用户名默认为pix,其它的版本我不知道。这里可?#38053;?#20986;ASA还有PIX的影子的,呵呵,网上?#26723;腁SA防火?#33050;?#32622;SSH通过命令"username 用户名 password密码"?#21019;?#24314;帐号,我测试了n次都说帐号错误.由此看出软件版本7.0上的用户名都是pix.不信大家可以试试.

//相关命令
show ssh                         //参看SSH配置信息
show crypto key mypubkey rsa //查看产生的rsa密钥值
crypto key zeroize             //清空所有产生的密钥

以上命令资料都是来自ASA5500系列防火墙官?#33050;?#32622;?#25913;?#21644;实际测试通过.

30选5玩法