概述

ansible是通过ssh连接被管理的主机的。因此，在学习ansible之前，应该对ssh协议有一定的了解。

ssh协议支持的登陆认证方式

ssh支持两种登陆认证方式：

• 基于账号、口令的认证方式

• 基于公钥的认证方式

  • 也就是无密码ssh，通过这种方式登陆时，无需交互

linux的openssh软件包

sshd、ssh、scp、sftp等命令都是openssh软件包提供的。其中：

• sshd是服务端程序，用来启动ssh服务，其默认配置文件在/etc/ssh/sshd_config

• ssh是命令行客户端，其默认配置文件在/etc/ssh/ssh_config，用户自己的配置文件在$HOME/.ssh/config

• scp是基于ssh的远程文件拷贝命令。它即可将本地文件拷贝到远程主机，也可以将远程主机上的文件拷贝到本地。比如：

  • 将本地文件拷贝到远程主机

    • scp local_file_path remote_user@remote_host:remote_file_path

  • 将远程主机上的文件拷贝到本地

    • scp remote_user@remote_host:remote_file_path local_file_path

  • 递归地将本地目录及其子目录中的所有文件拷贝到远程主机

    • scp -r local_folder remote_user@remote_host:remote_folder

  • 递归地将远程主机上的目录及其子目录中的所有文件拷贝到本地

    • scp -r remote_user@remote_host:remote_folder local_folder

• sftp是安全文件传输协议，它提供了与ftp类似的命令。比如：ls、get、put等。其与ftp的不同之处是：

  • 使用ftp时，需要在远程主机上部署ftp服务。而sftp是基于ssh的，并有单独的服务端程序，只需要在远程主机上启动ssh服务即可，所以，sftp本质上是一个客户端程序
  • sftp会对传输的数据进行加密，而ftp不会。因此，ftp传输速度更快，但是不安全；sftp传输速度较慢，但是安全

配置公钥认证方式

如果想要支持基于用户名、口令的认证方式，那么需要在服务端的配置文件中设置如下选项：

PasswordAuthentication yes

如果想要支持基于公钥的认证方式，那么需要在服务端的配置文件中设置如下选项：

PubkeyAuthentication yes

注意：修改完配置文件之后，需要重启sshd。

下面以 在主机mongodb-101上，以用户vagrant的身份，无密码登陆主机mongodb-102 为例，讲述如何配置无密码ssh：

1，在mongodb-101上，使用ssh-keygen命令生成RSA秘钥对：

[vagrant@mongodb-101 ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/vagrant/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/vagrant/.ssh/id_rsa.
Your public key has been saved in /home/vagrant/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:gLz2t4bWPxywfluTVTY54feCPzCCPapV9FkijMpy2wM vagrant@mongodb-101
The key's randomart image is:
+---[RSA 2048]----+
|               . |
|   . .   o    . o|
|    o . . + . .=+|
|     o o.+ o = o=|
|    + E So= * o .|
|   . + +.o.o * . |
|      o+*. .+ o  |
|      o++o+. . . |
|     ....ooo     |
+----[SHA256]-----+

默认，公钥被保存在：~vagrant/.ssh/id_rsa.pub中，私钥被保存在：~vagrant/.ssh/id_rsa中。

2，将公钥追加到mongodb-102上的vagrant用户的AuthorizedKeysFile（默认在：~vagrant/.ssh/authorized_keys）中。需要注意：AuthorizedKeysFile的权限应该被设置成只有用户自己能访问。

3，接下来，就可以在mongodb-101上，以用户vagrant的身份，无密码登陆mongodb-102了：

[vagrant@mongodb-101 ~]$ ssh vagrant@mongodb-102

ssh登陆的详细过程

1，版本号协商阶段

ssh协议目前有ssh1和ssh2两个版本，因此，客户端和服务端需要通过版本号协商，确定最终使用的协议版本。具体过程如下：

• 客户端发起TCP连接请求，TCP连接建立后，服务端向客户端下发版本标识字符串，格式是：SSH-主协议版本号.次协议版本号.软件版本号。其中，ssh协议的版本号是由主协议版本号和次协议版本号决定的，软件版本号主要用于调试
• 客户端将自己的版本号与服务端的版本号进行比较。如果服务端的版本号较低，并且客户端支持该版本，那么就使用服务端的版本，否则使用客户端自己的版本
• 客户端将自己决定使用的版本，发送给服务端
• 服务端检查自己是否支持客户端决定使用的版本，如果不支持，则断开TCP连接；否则，进入密钥和算法协商阶段

2，密钥和算法协商阶段

ssh协议会用到非对称加密算法、对称加密算法、消息验证码（MAC，Message Authentication Code）算法、压缩算法等算法。因此，服务端和客户端都会向对方发送自己支持的算法列表，最后，协商出最终使用的算法。

接下来，服务端和客户端会使用DH密钥交换算法、主机密钥对等参数，生成会话id和会话密钥。具体过程如下：

• 服务端向客户端发送自己的公钥
• 客户端收到服务端的公钥之后，会检查它是否在自己的known_hosts文件（该文件位于$HOME/.ssh/known_hosts，其中保存的是：主机与其公钥的对应关系）中，如果不在或者主机的公钥已经变了，那么会让用户决定是否继续连接，如果继续连接，那么会把服务端的公钥更新到known_hosts文件中。这个步骤叫Host Key Checking
• 服务端生成会话id，并发送给客户端
• 客户端生成会话密钥（记作key），并计算r = id xor key。然后，将r使用服务端的公钥进行加密，发送给服务端
• 服务端使用私钥进行解密，得到r。然后计算r xor id，得到会话密钥key
• 至此，服务端和客户端都得到了会话id和会话密钥。以后的数据传输都会使用会话密钥进行加密和解密

3，认证阶段

a）基于账号和口令的认证方式

• 客户端使用会话密钥加密账号、认证方式、密码。然后发送给服务端
• 服务端使用会话密钥解密，得到账号和密码。然后，服务端对用户和密码进行验证，如果验证成功，则认证成功；否则，向客户端发送认证失败报文，其中包含服务端支持的认证方式列表
• 客户端再次进行认证，直到成功或达到最大失败次数，当达到最大失败次数时，服务端会关闭TCP连接

b）基于公钥的认证方式

• 客户端使用会话密钥加密账号、认证方式、公钥。然后发送给服务端
• 服务端使用会话密钥解密，得到账号和公钥。然后，服务端检查公钥是否在该用户的AuthorizedKeysFile中，如果在，那么服务端生成一个随机字符串，称之为质询，服务端使用客户端的公钥对质询进行加密，然后再使用会话密钥对加密过的质询进行加密，发送给客户端
• 客户端先使用会话密钥解密，再使用私钥解密，得到质询。然后使用会话密钥对质询进行加密，发送给服务端
• 服务端使用会话密钥解密，得到质询。然后，检查该质询是不是自己之前生成的那个，如果是，则认证成功

几个常用的ssh特性

1，ControlMaster、ControlPersist

ControlMaster特性用于复用已经建立的连接。开启这个功能后，如果已经有一条到远程主机的连接，那么再次连接的时候，会复用之前建立的连接，而不是再创建一个。

ControlPersist特性用于将连接持久化。开启这个功能后，即使到远程主机最后一个连接被关闭了，也不会真正的关掉连接。以后再连接的时候，仍然会使用这个连接。

前面曾经提到过，ssh客户端的用户配置文件在$HOME/.ssh/config（需要注意：该文件的权限应该被设置成只有用户自己才能访问）。如果想要开启ControlMaster和ControlPersist特性，只需要在用户配置文件中，添加如下配置：

Host *
    ControlMaster auto
    ControlPath ~/.ssh/control-master-%r@%h:%p
    ControlPersist yes

2，ProxyCommand

ProxyCommand选项用于指定一个命令。ssh客户端通过标准输入和标准输出与命令启动后的进程进行通信。

假设有三台服务器mongodb-101、mongodb-102、mongodb-103。其中，mongodb-101可以直接连接mongodb-102；mongodb-102可以直接连接mongodb-103；但是mongodb-101不能连接mongodb-103。在这个例子中，mongodb-101相当于ssh客户端，mongodb-102相当于跳板机，mongodb-103相当于隐藏在跳板机后面的服务器。那么如何配置才能使mongodb-101可以通过ssh连接mongodb-103呢？答案是：通过ssh的ProxyCommand选项。

Host mongodb-103
    ProxyCommand ssh mongodb-102 nc %h %p

注意：需要在mongodb-102上安装命令nc。