close
 

可以使用 scp 指令來透過ssh連線在機器間傳輸檔案,就如同 rcp 指令。
格式 scp 來源 目的

copy 本機檔案到遠端     scp localfile username@tohostname:/newfilename

copy 遠端檔案到本機  scp username@tohostname:/remotefile /newlocalfile 
 
scp /downloads/* username@penguin.example.net:/uploads/
 
scp 本地用户名@IP 地址:文件名1 远程用户名@IP 地址:文件名 2 
[ 本地用户名@IP 地址 :] 可以不输入 , 可能需要输入远程用户名所对应的密码 . 
 
参数 : 
-v 和大多数 linux 命令中的 -v 意思一样 , 用来显示进度 . 可以用来查看连接 , 认证 , 或是配置错误 . 
-C 使能压缩选项 . 
-P 选择端口 . 注意 -p 已经被 rcp 使用 . 
-4 强行使用 IPV4 地址 . 
-6 强行使用 IPV6 地址 .
 
 ----------------------------------------------------
ssh(scp) + No Password Login(public key) 
A使用者 ssh登入另一台主機B使用者 不用密碼 

        1. 先登入A使用者主機

2. 製作key
ssh-keygen -t dsa  或者  
ssh-keygen -t rsa
一直Enter就好,不用打密碼

3. 將key scp 到B使用者主機
scp 
/.ssh/id_dsa.pub B使用者主機ip:/使用者home目錄/.ssh/authorized_keys
或者
scp 
/.ssh/id_rsa.pub B使用者@該主機ip:/使用者home目錄/.ssh/authorized_keys
ex: scp  
/.ssh/id_rsa.pub akira@192.168.0.100:/home/akira/.ssh/authorized_keys
(若
B使用者主機.ssh目錄不存在, 請建立該目錄 mkdir ~/.ssh/)

4.登入B使用者主機, 輸入以下命令
chmod
 700 ~/.ssh/
chmod 644 ~/.ssh/authorized_keys

如果有其它主機(如C、D、E,等
等),也想無密碼登入主機B,public key做法與上面相同,只是最後把key附加到authorized_keys即可,作法為 cat 
id_rsa.pub >> authorized_keys
                     
 
 

使用 SSH 配合憑證來遠端複製檔案 (scp)

 

以下整理 UNIX 系統上面使用 SSH 配合憑證來遠端複製檔案

假設有一台主機叫做 X,多台要被複製檔案的機器是 A, B, C。理論上這種情況下 X 的安全等級應該要高於 A, B, C,不過這並不一定

安全等級的差異牽涉到要由哪台機器去信任哪一台機器

以 A, B, C 去信任 X 為例,作法如下:
在 X 上面用某個帳號產生一組 Private/Public Key,然後把 Public Key 發佈給 A, B, C,要求 A, B, C 去信任這一個 Public Key


更進一步,還能限制這個 Public Key 只能作某項動作...


以下是詳細的作法


[步驟一] 產生 Public/Private Key

先在 X 上面開設一個帳號,例如 backup (或者使用現有的任何一個帳號也可以) 然後使用 ssh-keygen -t dsa 命令產生一組 Private/Public Key,內定會在 .ssh/ 目錄下產生兩個檔案: id_dsa id_dsa.pub (不要設定 passphrase)
由於之後會限制一組 Key 只能作特定一件工作,因此我們再執行一次 ssh-keygen -t dsa 產生另一組 Private/Public Key
記得把 Key 儲存成不同的檔名以供辨識,例如我們可以把 .ssh 目錄下的 Key 更名成:

id_cmd1 id_cmd1.pub => 用來執行命令1
id_cmd2 id_cmd2.pub => 用來執行命令2


[步驟二] 設定信任關係

接下來,我們就可以把 id_cmd1.pub 及 id_cmd2.pub 的內容複製到 A, B, C 上面了
首先在 A 上面,建立特定一個帳號,例如 backup,然後執行 vipw (FreeBSD),把 password 欄位置換成 * 星號:


backup:*:1010:50::0:0:backup user:/home/backup:/bin/sh



這樣的話,這個帳號雖然擁有 shell,但也不能隨意用 password 來登入了,只能從 local 用 su - backup 或從遠端用 ssh public key 來進入使用


然後把 id_cmd1.pub 及 id_cmd2.pub 合成一個檔案,放在/home/backup/.ssh/authorized_keys 中:


ssh-dss AAAAB3NzaC1kc3MAAACBAPWP8FS0iatXx3z7o/alB1pI8a.... backup@X
ssh-dss AAAAB3NzaC1kc3MAAACBALW8J12p4Jebc5sAPDhiokTy2.... backup@X



這樣寫,代表 A 上面的 backup 這個帳號信任這組 public/private key,任何人持有該相對應的 private key,都可以 ssh 進入 backup 在 A 上面的帳號


既然可以 ssh,當然也可以自由使用 scp 來複製檔案了,而且使用任何一組 Key 都可以進行沒有限制的作業,

例如從 X 上面可以用 ssh 登入 A:


ssh -i /home/backup/.ssh/id_cmd1 backup@A
ssh -i /home/backup/.ssh/id_cmd2 backup@A



[步驟三] 限制只允許特定動作

由於 ssh 的權限太大,而我們只是要複製檔案 (scp) 而已,因此我們可以再作一些限制。
改寫 /home/backup/.ssh/authorized_keys,在每個 key 開頭加上特定指令,例如

command="scp -f /tmp/backup.tgz",no-port-forwarding,no-pty ssh-dss AAAAB3NzaC1kc3MAAACBAPWP8FS.... backup@X
command="scp -t /tmp/info.tgz",no-port-forwarding,no-pty ssh-dss AAAAB3NzaC1kc3MAAACBALW8J12p4J.... backup@X


上面 scp -f 代表 copy 的來源, scp -t 代表 copy 的目的地,目的地也可以是一個目錄,但是要再加上 -d 選項

這樣的話,不管對方下了什麼指令,A 都只會執行前面 command 內的指令,所以.... X 只能對 A 進行下列兩種工作,而且都要指定正確的 Key 才能完成:

scp -i /home/backup/.ssh/id_cmd1 backup@A:/tmp/backup.tgz backup-A.tgz
scp -i /home/backup/.ssh/id_cmd2 data.tgz backup@A:/tmp/info.tgz


上面 scp -i 就是指定該動作要使用的身份,後面接上相對應的 private key 即可

事實上,由於每個 key 只會被對方的機器允許作特定的事情,因此遠方的目錄及檔案名稱甚至可以省略,例如:
scp -i /home/backup/.ssh/id_cmd1 backup@A: backup-A.tgz
scp -i /home/backup/.ssh/id_cmd2 data.tgz backup@A:

測試沒有問題後,把 authorized_keys 同樣複製一份到 B, C 上面就大功告成了
備註: 如果您要大量複製、備份檔案,請參考另外一篇「使用 SSH 配合憑證來遠端備份檔 案 (rsync)

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 天才R 的頭像
    天才R

    做 個 有 趣 的 人

    天才R 發表在 痞客邦 留言(0) 人氣()