1.在生成環(huán)境中經(jīng)常要修改服務(wù)器的密碼，以保證安全，可以用shell編寫腳本。

用ssh直接修改對方服務(wù)器的密碼可以用ssh 用戶名@登錄IP 后跟命令就可以實(shí)現(xiàn)，但是需要管理員輸入密碼后才能操作，為了不讓管理員手動進(jìn)行輸入所以用expect解決此方案，由于expect是單獨(dú)的命令在/bin/bash是無法使用的，所以必須要嵌套使用，<<代表以什么結(jié)尾，EOF代表以EOF結(jié)尾，spawn輸入登錄的命令行，expect為期待著問什么，send代表發(fā)送需要的內(nèi)容，\r代表為回車符。

1臺服務(wù)器修改密碼的方法

多臺服務(wù)器并且在全國各地IP地址都是不同的密碼修改，專門編寫存放IP地址的文件，然后在腳本中調(diào)用該文件。

2.ssh輸入時出現(xiàn)一下錯誤的提示，無法ssh登錄到服務(wù)器端，提示如下，說明對端服務(wù)器的驗(yàn)證被刪除。

服務(wù)器端刪除驗(yàn)證的方法

服務(wù)器端解決的方案

解決ssh輸入時出現(xiàn)一下錯誤的提示，刪除的本機(jī)的known_hosts文件

ssh用秘鑰驗(yàn)證的方法：在本地機(jī)器上生成秘鑰對，把生成的公鑰放到服務(wù)器端，這樣用戶就可以不用輸入密碼就可以登錄。

查看生成的公鑰和私鑰

把生成的公鑰上傳到服務(wù)器端

3.在遠(yuǎn)程服務(wù)器添加一個用戶為fanlj，但是不登陸到遠(yuǎn)程主機(jī).

SSH到遠(yuǎn)程主機(jī)時，能夠調(diào)用遠(yuǎn)程主機(jī)的X窗口

ssh -X   192.168.1.30

sshd配置文件解析

# vim  /etc/ssh/sshd_config

Port 3389          //修改端口號，修改后客戶端登陸ssh  -p  3389 x.x.x.x

Protocol 2

ListenAddress  192.168.168.174       //不是在所有IP地址上監(jiān)聽，只監(jiān)聽指定IP地址

PermitRootLogin  no        //不允許root用戶以ssh方式登陸

PermitEmptyPasswords  no   //不允許使用空密碼

UseDNS no            //不執(zhí)行DNS反解

LoginGraceTime  2m    //登錄限時(寬限期)，若客戶端超過此時間（默認(rèn)2分鐘）

//未登錄成功，服務(wù)器將主動斷開連接

StrictModes yes        //嚴(yán)格模式，此模式會在允許登入前檢查用戶家目錄和密鑰庫

//文件的權(quán)限、歸屬，若有異常（其他人能寫入）則拒絕登入

MaxAuthTries  6     //每次連接允許認(rèn)證登錄的最多次數(shù)，若超過此次數(shù)

//仍未登錄成功，服務(wù)器將主動斷開連接

4.實(shí)現(xiàn)黑名單/白名單

添加兩個用戶分別為lj和jim

(1)只使用黑名單，其他默認(rèn)全允許；或只使用白名單，默認(rèn)其他全拒絕

(2)允許tom用戶使用ssh，只允許root用戶在192.168.1.30上使用ssh，其他全拒絕

# vim  /etc/ssh/sshd_config

AllowUsers  tom  root@192.168.1.30

在服務(wù)器端配置192.168.1.30

在客戶端進(jìn)行測試