路漫漫其修远兮
吾将上下而求索
        找回密码

ssh+dnat+普通用户登录内网机器

2017-05-13 分类:ssh 评论(0)

测试ssh要在本地的虚拟机上测试

两种方法登录到内网的机器上面,一个是通过在iptables上面设置nat转换,一个是登录到跳板机,然后调到内网机器上面

1、设置新用户和对应的密码,记录

2、设置root不允许登录,重启服务,这个连接不会断线,在新终端用root登录失败

3、可以使用zhao用户登录成功

4、设置服务端use dns为no,不反解dns,提高客户端相应速度

    GSSAPIAuthentication no  在authentication gssapi-with-mic有很大的可能出现问题,因此关闭GSS认证可以提高ssh连接速度。

http://doiido.blog.51cto.com/5503054/1563498

5、设置su到某个用户免密码

vim /etc/pam.d/su

auth      sufficient   pam_wheel.so trust use_uid #将这一行注释去掉

gpasswd -a zhao wheel 将zhao用户添加到wheel组里面

useradd admin

echo $?

echo "redhat—" | passwd –stdin admin

echo $?

gpasswd -a admin wheel

echo $?

sed -i 's@.*trust use_uid$@auth       sufficient  pam_wheel.so trust use_uid@'  /etc/pam.d/su

echo $?

ip route add 218.240.128.48/30 via 192.168.10.70

ip route add 61.233.17.4/30 via 192.168.10.70

ip route add 110.96.194.2 via 192.168.10.70

ip route add 111.204.6.221 via 192.168.10.70

echo "any net 218.240.128.48/30 gw 192.168.10.70" >> /etc/sysconfig/static-routes 

echo "any net 61.233.17.4/30 gw 192.168.10.70" >> /etc/sysconfig/static-routes 

echo "any net 110.96.194.2 gw 192.168.10.70" >> /etc/sysconfig/static-routes 

echo "any net 111.204.6.221 gw 192.168.10.70" >> /etc/sysconfig/static-routes 

http://blog.itpub.net/7863502/viewspace-750764/

——————–当加.*的时候要查找整个配置文件该关键字的数量,严格匹配条件,以防对其他配置文件造成影响

echo "YHPz32YAk6YA" | passwd –stdin root

echo $?

sed -i 's@.*GSSAPIAuthentication.*@GSSAPIAuthentication no@'  /etc/ssh/sshd_config

echo $?

sed -i 's@.*UseDNS.*@UseDNS no@'  /etc/ssh/sshd_config

echo $?

sed -i 's@^#PermitRootLogin.*@PermitRootLogin no@'  /etc/ssh/sshd_config

echo $?

service sshd reload

解压密码:Gya6p7fjcCQH

修改完成后,不能断掉终端,

再用原来的终端登录,确保登录不成功,

再用新的终端,确保能够登录,才算更改成功

修改的时候注意是临时生效还是永久生效,

禁止root登录可以scp到这台机器上面

grep "^any" /etc/sysconfig/static-routes | while read ignore args ; do

   /sbin/route add -$args

done

公司docker目录:/root/docker/docker2

http://qubaoquan.blog.51cto.com/1246748/292546  在network的服务文件里面会有这个检测,网关必须是在同一个网络内,有几条添加几条都可以

http://yangrenjun.iteye.com/blog/629728

测试可以成功登录

修改root和普通用户的密码

更倾向于端口映射来进行登录,也便于以后ansible部署

客户端进行的操作只有两步:普通用户,ip,端口登录到机器上面,su – 到root用户上面进行操作

解决因为目标机器连接超时没看见以为连接到目标机器上了,实际是跳板机上面

先给每个机器添加用户和密码

设置su不需要密码

设置好nat和iptables,路由

设置好session,确保可以用普通用户登录

发通知

设置sshd,禁止root

设置root密码

发邮件通知

spawn scp -P 9777  $src_file rtb@61.233.17.6:$dest_file

 expect {

 "(yes/no)?"

  {

  send "yes\n"

  expect "*assword:" { send "ywwhxxtwtyty!@!\n"}

 }

 "*assword:"

{

 send "ywwhxxtwtyty!@!\n"

}

}

expect "100%"

交互式写法

未经允许不得转载:江哥架构师笔记 » ssh+dnat+普通用户登录内网机器

分享到:更多 ()

评论 抢沙发

评论前必须登录!