1.paramiko Exception: Error reading SSH protocol banner
2.自动化运维初级村Paramiko vs Netmiko
3.python对称加密之cryptography
4.用python做的源码软件必须开源吗?

paramiko Exception: Error reading SSH protocol banner

       å‡ºçŽ°é”™è¯¯ï¼š paramiko.ssh_exception.SSHException: Error reading SSH protocol banner[Errno ] Connection reset by peer

        则需要修改 paramiko 源码，重新编译后安装。

        参考：

       blogs.com/SunshineKimi/p/.html

自动化运维初级村Paramiko vs Netmiko

       秉承着“最小化上手范围”的原则，相信大家经过新手村二十多个章节的源码学习，都已经对Python有了初步的源码了解，基础的源码学习必然是略显枯燥无聊的，但希望大家可以在“新手村”系列视频和文章的源码指导下有自己阅读程序，分析需求，源码燕窝加工要溯源码吗编写程序，源码调试程序的源码基本技能。

       以上也是源码进入初级村的最低门槛，如果还没有具备上述能力的源码朋友，衷心的源码希望你可以返回新手村进行学习，切勿囫囵吞枣，源码盲目求快。源码

       初级村包含的源码内容：Paramiko和Netmiko，两者的源码使用方式及优劣；Python正则解析，将通过SSH收集回来的各种信息进行正则解析；番外：Text-FSM解析；Python SNMP，如何使用Python调用SNMP采集指令，并讲解OID使用方式；NetConf，如何通过NetConf对网络设备进行操作；Crontab并回调CMDB，如何设置定时执行SSH任务进行定期巡检，并更新回写CMDB；番外：Python Scheduler；Flask Web框架，将SSH和NetConf与Web框架相结合，通过API方式或前端调用其执行。

       在自动化运维领域里面，单从服务器运维的注入漏洞源码角度来讲，由于可以提前对服务器做系统的定制安装，所以一些大厂会选择在装机时植入特定的Agent，以此实现远程控制服务器的目的。不过对于大部分的公司，服务器运维或者网络设备运维都仍然依靠远程SSH这一方法，所以我们使用Python作为自动化运维的编程语言的话，就非常需要一个第三方包来实现这一功能，而Paramiko和Netmiko可以说是扛把子的角色。相信看这个教程的朋友肯定都听过这两个工具包，但可能并不是所有的人都了解这两个包之间的关系。除此之外，网上五花八门的对于用哪个更好的争论也难以分辨。那么这个章节就先给大家介绍一下这两个包的来龙去脉，以及我个人在工作中对两个包都深度使用过之后的体验。

       OpenSSH，介绍第三方库之前有必要先科普一下关于SSH的知识。我们经常谈论的SSH是一个传输层协议，相比Telnet来说可以与远端设备建立更安全的连接通道，对传输的内容进行加解密处理，所以基于安全考虑，企业中几乎所有的对远程设备的连接都要求使用SSH连接。

       SSH协议有两种不兼容的版本：SSHv1和SSHv2。那么设备想要支持SSH协议，就需要在设备上安装一个与之相匹配的mirai僵尸源码服务端/客户端的应用程序，而OpenSSH就是目前使用最为广泛的SSH协议的开源实现。

       对于较老的SSHv1，由于存在加密算法的专利问题和数据完整性的缺陷，OpenSSH已经删除了对其的支持。所以目前OpenSSH主要支持SSHv2。

       OpenSSH套件包含以下工具：

       整体的结构图如下所示：

       Paramiko/Netmiko简介：Paramiko遵循SSH2协议，支持以加密和认证的方式，进行远程服务器的连接；模块本身使用Python语言编写和开发，只有像crypto这样的核心函数才会用到C语言。

       Paramiko目前是Python中应用最广的SSH模块，大家耳熟能详的Ansible， Netmiko，Nornir，NAPALM其实都是用到了Paramiko来做SSH的实现，所以也可以从中看出，其实Paramiko的角色其实是Python语言里实现SSH功能的底层工具包。

       那么既然是底层工具包就必然为了具备完备的通用性而损失了易用性，而Paramiko过于底层的方法调用也是被网友最为诟病的原因。

       但我们已经提到，Python想要实现SSH远程连接，就逃不开Paramiko，那么我们就非常有必要了解一下Paramiko的基本实现原理和主要的组成类。

       源码核心架构图：Paramiko中几个大的概念和相互之间的关系基本就是如上图所示了（一些身份认证类和其他杂类并没有包含其中，在学习初期也没有深究这些的妖魔纪元源码必要）。

       总体来说Paramiko的源码核心架构并不复杂，但对于使用该包的编程人员来说，暴露了太多底层细节。因为其最High-Level的类就是一个SSHClient对象，而一个SSHClient对象又必须通过创建Channel来完成数据的收发。

       所以说Paramiko其实就是一个实现了SSH功能的底层工具包，它可以连接任何兼容SSHv2的设备，包括：服务器，网络设备，打印机，甚至是监控摄像头，并且它最核心的功能就是：建立SSH连接 -> 发数据 -> 收数据。

       Netmiko：但看本系列的教程的朋友应该大多数都是具备网络运维背景的朋友，想实现一些网络运维中的自动化能力，那么平时所要面对的就都是网络设备，我这里推荐大家使用Netmiko。

       我们可以通过一个流程图来表示一下除了Paramiko本身的底层能力外，还需要哪些步骤才能完成一次与网络设备的交互。

       交互流程图：从上述的流程图中可以看出，除了Paramiko支持的底层SSH连接与数据发送接收功能之外，我们想要与网络设备进行交互还需要诸多地方需要处理，而Netmiko正好可以提供以上这些功能，这也是我们为什么选择用Netmiko的原因。

       其实网上有很多文章都有对Paramiko和Netmiko的问仙源码对比，但大多数的解释都不够准确，并且还有很多直接通过代码来演示区别的，更是让一些编程基础不太好的朋友十分头疼，所以我希望大家可以通过这一章节，非常清晰的知道，两者之间的区别究竟有哪些。

       这一章节并没有提到关于使用Paramiko或者Netmiko来进行连接设备的代码，但对Paramiko的源码核心架构做了介绍，这也是大家后续使用Netmiko必须要掌握的基础知识，并且对于Netmiko基于Paramiko的改进也通过流程图展示给大家，对后续的深入理解及二次开发会非常有帮助。

python对称加密之cryptography

       Cryptography这个库是从python3: 加密简介这篇文章中了解到的，该文章中提到这个库是人类易于使用的密码学包，于是我便访问了官网，对其具体使用进行了研究。

       对称加密的使用方式通常是，某些数据我们不希望以明文形式存储，但又希望将来能够再次使用该明文。

       过往需求：在之前做运维平台时，遇到过一个需求。master主控机有其他slave节点的root权限（ssh公钥部署的方式）。我们老大觉得这不太安全，万一主控机被黑掉，其他机器也就沦陷，不太安全。因此，在创建master私钥对儿的时候设置了私钥密码（passphrase），这样即使主控机被黑，不知道私钥密码也无法访问从节点。

       设想是这样的，但是自动化平台的操作不可能每次都要求用户输入私钥密码然后再进行操作（太繁琐）。因此，就想把秘钥密码通过平台（web界面）让管理员输入（配置）并保存到数据库中。当然，数据库中不能保存密码的明文，必须经过加密。这样，程序每次进行自动操作时，就可以从数据库取出密文进行解密，从而获得私钥密码，通过paramiko库就可以操控其他服务器了。

       （后来想想，其实也不太安全，万一黑客从服务器上访问了程序源码，把解密的过程摘出来，一样可以获得私钥密码）

       当时使用的对称加密库是PyCrypto，这个库应该是python密码学方面最出名的第三方库了，这里就不多介绍了，想了解的可以访问他的GitHub。

       现在来看看cryptography怎么使用。首先需要知道它支持python的哪些版本。其官网说支持的版本有：Python 2.7、Python 3.4+ 和 PyPy 5.3+。我这里使用的是3.6.3。安装当然是通过最方便的pip。

       安装后会安装一些依赖包，这里就不多说了。

       通过cryptography实现对称加密简单到令人发指（相对pycrypto）。接口只有一个Fernet类，这个类包括一个类方法：generate_key()，两个实例方法：encrypt() -- 加密，decrypt() -- 解密。

       一步一步来看：[1]导入包，[2]实例化Fernet需要唯一的参数key，这个参数要求有点高，不是随便一个字节序列就行，要求位 + url-safe + base-encoded 的bytes类型。为了方便，Fernet类内置了生成key的类方法：generate_key()，作为加密解密的钥匙。当然，要求不能有重复的，所以，如果你多执行几次，会发现，生成出来的不会有重复的（好像说的事废话）。

       [3]实例化一个Fernet对象。[4]接下来就是加密方法：fernet.encrypt(data) 接受一个bytes类型的数据，返回一个加密后的bytes类型数据（人类看不懂），俗称token-Fernet。

       [5]解密fernet.decrypt(token)

       实在是太简单了（如果你用过pycrypto的话）。

       需要注意的是，实例化Fernet时用到的key要保存好，否则就再也解不了密文了！Keep this some place safe! If you lose it you’ll no longer be able to decrypt messages; if anyone else gains access to it, they’ll be able to decrypt all of your messages, and they’ll also be able forge arbitrary messages that will be authenticated and decrypted.

       还有功能叫密钥轮换(key rotation)，大概的意思是说加密一段明文的时候可以使用多个key，而这些key允许在将来进行替换。该特性需要在version2.2版本里，但是我本地使用pip进行安装却发现最高版本是2.1.4，这是什么鬼~，具体见官网文档。

       先废话到这里，欢迎有相关需求的蛇友交流使用场景。

用python做的软件必须开源吗?

       软件是否必须开源，取决于其许可证条款。Python语言本身遵循的是一个兼容GPL协议的许可证，而非以GPL协议发布，这意味着个人或组织在使用Python语言开发软件时不需要强制开源。

       然而，Python解释器的许可证情况可能会影响代码的开源性。例如，CPython解释器遵循的是GNU Lesser General Public License (LGPL)或GNU General Public License (GPL)中的一个版本，允许在专有软件中使用Python，而不需要公开源代码。PyPy解释器使用的是MIT许可证，允许更广泛的使用场景，包括专有软件。Jython解释器使用许可证与CPython类似。

       当讨论到软件许可证时，关键在于理解不同许可证之间的关系与差异。许可证限制范围通常局限于软件本身，而不是使用软件产生的衍生作品。例如，如果在发明了能够读取意念的笔后将其设计图纸开源，并声明遵循GPL许可证，那么该许可证仅应用于笔的设计，而不影响使用者在图纸基础上进行修改后产生的任何衍生作品。

       第三方库的许可证同样重要。例如，paramiko库遵循LGPL协议，允许在专有软件中使用而不需开源。然而，如果项目中使用了特定的第三方库，该库的许可证可能要求其用户开源代码，这将直接影响项目开源性。因此，开发者在选择使用第三方库时，必须仔细研究并理解其许可证条款。

       总之，Python软件是否必须开源取决于其许可证条款，特别是当涉及到第三方库的使用时，需要仔细研究这些库的许可证以避免违反开源要求。开发者应确保理解并遵守所有相关的许可证规定，以避免法律问题和确保项目的合规性。