ssh的原理与使用技巧,帮助更多终端爱好者更随心所欲的使用终端
2019-08-13 16:22:41 【

在Mac下登陆远程服务器并没有Windows那么方便的使用XShell,相比较而言,在Mac下更多的是依赖终端输入SSH命令登录远程服务器。

使用SSH命令行的好处就是可以近距离接触底层,用的越多,用的越溜,对SSH的原理就越了解。相反,使用现成的SSH工具(PuTTY、XShell),我们其实并不会有涉及使用ssh命令的机会,对大多数人而言,怕是只知道最基本的ssh root@ip。


本文将带大家了解ssh的原理与使用技巧,帮助更多终端爱好者更方便更随心所欲的使用终端。

1.SSH是什么

SSH服务其实是一个守护进程(demon),系统后台会监听客户端的连接,ssh服务端的进程名为sshd,负责实时监听客户端的请求(IP 22端口),包括公共秘钥等交换等信息。SSH服务端由2部分组成:openssh(提供ssh服务)、openssl(提供加密的程序)。

2.对称加密和非对称加密

在学习SSH的工作机制之前,我们需要了解对称加密和非对称加密的原理。

对称加密

所谓对称加密,是采用对称密码编码技术的加密措施,它的特点是文件加密和解密都是使用相同的密钥。

这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难,除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,而且对计算机功能要求也没有那么高。

非对称加密

与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。

公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。

因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

3.SSH如何工作

了解了对称加密和非对称加密是什么之后,再来了解SSH如何使用非对称加密技术,大致流程如下:

在服务器启动的时候会产生一个密钥(也就是768bit公钥),本地的ssh客户端发送连接请求到ssh服务器,服务器检查连接点客户端发送的数据和IP地址,确认合法后发送密钥(768bits公钥)给客户端,此时客户端将本地私钥(256bit)和服务器的公钥(768bit)结合成密钥对key(1024bit),发回给服务器端,服务端利用自己的私钥解密,读取出客户端的本地私钥,建立连接通过key-pair数据传输,在此之后,服务端与客户端就愉快的使用客户端私钥进行沟通。

4.SSH命令详解

SSH命令最简单的用法只需要指定用户名和主机名参数即可,主机名可以是 IP 地址或者域名。

  1. ssh root@192.168.0.1

指定端口号

SSH 默认连接到目标主机的 22 端口上,我们可以使用 -p 选项指定端口号。

  1. ssh -p 22 root@192.168.0.1

追加命令

使用 SSH 在远程主机执行一条命令并显示到本地,然后继续本地工作,只需要直接连接并在后面加上要执行的命令。

  1. ssh -p 22 root@192.168.0.1 ls -l

图形界面

在远程主机运行一个图形界面的程序,只需使用SSH的-X选项,然后主机就会开启 X11转发功能。

  1. ssh -X 22 root@192.168.0.1

绑定源地址

如果你的客户端有多于两个以上的 IP 地址,你就不可能分得清楚在使用哪一个 IP 连接到 SSH 服务器。为了解决这种情况,我们可以使用 -b 选项来指定一个IP 地址。这个 IP 将会被使用做建立连接的源地址。

  1. ssh -b 192.168.0.200 root@192.168.0.103

对所有数据请求压缩

使用 -C 选项,所有通过 SSH 发送或接收的数据将会被压缩,并且仍然是加密的。

  1. ssh -b 192.168.0.200 root@192.168.0.103

打开调试模式

因为某些原因,我们想要追踪调试我们建立的 SSH 连接情况。SSH 提供的 -v 选项参数正是为此而设的。其可以看到在哪个环节出了问题。

  1. ssh -v root@192.168.0.103

5.SSH免密登陆

通过SSH命令登陆远程服务器需要手动的每次输入密码,解决这个问题其实非常简单,通过 ssh-keygen 生成本地公钥和私钥,将公钥Copy到远程服务器就可以。

1.构建 SSH 密钥对

使用 ssh-keygen -t +算法名,现在大多数都使用 RSA 或者 DSA 算法。

如果你在安装Git时已经做过此步骤,那么忽略这一步即可。

  1. ssh-keygen -t rsa

2.拷贝本地公钥给远程服务器

  1. ssh-copy-id root@192.168.25.110  

你可以通过参数 -i 指定公钥文件

  1. ssh-copy-id -i id_dsa.pub omd@192.168.25.110

3.查看是否已经添加了对应主机的密钥

使用 -F 选项

  1. ssh-keygen -F 192.168.0.1

4.删除主机密钥

使用-R选项,也可以在 ~/.ssh/known_hosts 文件中手动删除

  1. ssh-keygen -R 192.168.0.1

6.如何配置 SSH

SSH 的配置文件在 /etc/ssh/sshd_config 中,你可以看到端口号,空闲超时时间等配置项。

  1. cat /etc/ssh/sshd_config

/etc/ssh/sshd_config 配置文件详细说明

  1. #############1. 关于 SSH Server 的整体设定##############

  2. #Port 22  

  3. ##port用来设置sshd监听的端口,为了安全起见,建议更改默认的22端口为5位以上陌生端口

  4. #Protocol 2,1

  5. Protocol 2

  6. ##设置协议版本为SSH1或SSH2,SSH1存在漏洞与缺陷,选择SSH2

  7. #AddressFamily any

  8. #ListenAddress 0.0.0.0

  9. #ListenAddress用来设置sshd服务器绑定的IP地址

  10. ##监听的主机适配卡,举个例子来说,如果您有两个 IP, 分别是 192.168.0.11 及 192.168.2.20 ,那么只想要

  11. ###开放 192.168.0.11 时,就可以设置为:ListenAddress 192.168.0.11

  12. ####表示只监听来自 192.168.0.11 这个 IP 的SSH联机。如果不使用设定的话,则预设所有接口均接受 SSH

  13. #############2. 说明主机的 Private Key 放置的档案########## 

  14. #ListenAddress ::

  15. ##HostKey用来设置服务器秘钥文件的路径

  16. # HostKey for protocol version 1

  17. #HostKey /etc/ssh/ssh_host_key

  18. ##设置SSH version 1 使用的私钥

  19. # HostKeys for protocol version 2

  20. #HostKey /etc/ssh/ssh_host_rsa_key

  21. ##设置SSH version 2 使用的 RSA 私钥

  22. #HostKey /etc/ssh/ssh_host_dsa_key

  23. ##设置SSH version 2 使用的 DSA 私钥

  24. #Compression yes

  25. ##设置是否可以使用压缩指令

  26. # Lifetime and size of ephemeral version 1 server key

  27. #KeyRegenerationInterval 1h

  28. ##KeyRegenerationInterval用来设置多长时间后系统自动重新生成服务器的秘钥,

  29. ###(如果使用密钥)。重新生成秘钥是为了防止利用盗用的密钥解密被截获的信息。

  30. #ServerKeyBits 768

  31. ##ServerKeyBits用来定义服务器密钥的长度

  32. ###指定临时服务器密钥的长度。仅用于SSH-1。默认值是 768(位)。最小值是 512 。

  33. # Logging

  34. # obsoletes QuietMode and FascistLogging

  35. #SyslogFacility AUTH

  36. SyslogFacility AUTHPRIV

  37. ##SyslogFacility用来设定在记录来自sshd的消息的时候,是否给出“facility code”

  38. #LogLevel INFO

  39. ##LogLevel用来设定sshd日志消息的级别

  40. #################3.安全认证方面的设定################

  41. #############3.1、有关安全登录的设定###############

  42. # Authentication:

  43. ##限制用户必须在指定的时限内认证成功,0 表示无限制。默认值是 120 秒。

  44. #LoginGraceTime 2m

  45. ##LoginGraceTime用来设定如果用户登录失败,在切断连接前服务器需要等待的时间,单位为妙

  46. #PermitRootLogin yes

  47. ##PermitRootLogin用来设置能不能直接以超级用户ssh登录,root远程登录Linux很危险,建议注销或设置为no

  48. #StrictModes yes

  49. ##StrictModes用来设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启

  50. ###建议使用默认值"yes"来预防可能出现的低级错误。

  51. #RSAAuthentication yes

  52. ##RSAAuthentication用来设置是否开启RSA密钥验证,只针对SSH1

  53. #PubkeyAuthentication yes

  54. ##PubkeyAuthentication用来设置是否开启公钥验证,如果使用公钥验证的方式登录时,则设置为yes

  55. #AuthorizedKeysFile .ssh/authorized_keys

  56. ##AuthorizedKeysFile用来设置公钥验证文件的路径,与PubkeyAuthentication配合使用,默认值是".ssh/authorized_keys"

  57. ###该指令中可以使用下列根据连接时的实际情况进行展开的符号: %% 表示'%'、%h 表示用户的主目录、%u 表示该用户的用户名

  58. ####经过扩展之后的值必须要么是绝对路径,要么是相对于用户主目录的相对路径。

  59. #############3.2、安全验证的设定###############

  60. # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

  61. #RhostsRSAAuthentication no

  62. ##是否使用强可信主机认证(通过检查远程主机名和关联的用户名进行认证)。仅用于SSH-1。

  63. ###这是通过在RSA认证成功后再检查 ~/.rhosts 或 /etc/hosts.equiv 进行认证的。出于安全考虑,建议使用默认值"no"

  64. # similar for protocol version 2

  65. #HostbasedAuthentication no

  66. ##这个指令与 RhostsRSAAuthentication 类似,但是仅可以用于SSH-2。

  67. # Change to yes if you don't trust ~/.ssh/known_hosts for

  68. # RhostsRSAAuthentication and HostbasedAuthentication

  69. #IgnoreUserKnownHosts no

  70. ##IgnoreUserKnownHosts用来设置ssh在进行RhostsRSAAuthentication安全验证时是否忽略用户的“/$HOME/.ssh/known_hosts”文件

  71. # Don't read the user's ~/.rhosts and ~/.shosts files

  72. #IgnoreRhosts yes

  73. ##IgnoreRhosts用来设置验证的时候是否使用“~/.rhosts”和“~/.shosts”文件

  74. # To disable tunneled clear text passwords, change to no here!

  75. #PasswordAuthentication yes

  76. ##PasswordAuthentication用来设置是否开启密码验证机制,如果用密码登录系统,则设置yes

  77. #PermitEmptyPasswords no

  78. #PermitEmptyPasswords用来设置是否允许用口令为空的账号登录系统,设置no

  79. #PasswordAuthentication yes

  80. ##是否允许使用基于密码的认证。默认为"yes"

  81. PasswordAuthentication yes

  82. # Change to no to disable s/key passwords

  83. ##设置禁用s/key密码

  84. #ChallengeResponseAuthentication yes

  85. ##ChallengeResponseAuthentication 是否允许质疑-应答(challenge-response)认证

  86. ChallengeResponseAuthentication no

  87. ########3.3、与 Kerberos 有关的参数设定,指定是否允许基于Kerberos的用户认证########

  88. #Kerberos options

  89. #KerberosAuthentication no

  90. ##是否要求用户为PasswdAuthentication提供的密码必须通过Kerberos KDC认证,要使用Kerberos认证,

  91. ###服务器必须提供一个可以校验KDC identity的Kerberos servtab。默认值为no

  92. #KerberosOrLocalPasswd yes

  93. ##如果Kerberos密码认证失败,那么该密码还将要通过其他的的认证机制,如/etc/passwd

  94. ###在启用此项后,如果无法通过Kerberos验证,则密码的正确性将由本地的机制来决定,如/etc/passwd,默认为yes

  95. #KerberosTicketCleanup yes

  96. ##设置是否在用户退出登录是自动销毁用户的ticket

  97. #KerberosGetAFSToken no

  98. ##如果使用AFS并且该用户有一个Kerberos 5 TGT,那么开启该指令后,

  99. ###将会在访问用户的家目录前尝试获取一个AFS token,并尝试传送 AFS token 给 Server 端,默认为no

  100. ####3.4、与 GSSAPI 有关的参数设定,指定是否允许基于GSSAPI的用户认证,仅适用于SSH2####

  101. ##GSSAPI 是一套类似 Kerberos 5 的通用网络安全系统接口。

  102. ###如果你拥有一套 GSSAPI库,就可以通过 tcp 连接直接建立 cvs 连接,由 GSSAPI 进行安全鉴别。

  103. # GSSAPI options

  104. #GSSAPIAuthentication no

  105. ##GSSAPIAuthentication 指定是否允许基于GSSAPI的用户认证,默认为no

  106. GSSAPIAuthentication yes

  107. #GSSAPICleanupCredentials yes

  108. ##GSSAPICleanupCredentials 设置是否在用户退出登录是自动销毁用户的凭证缓存

  109. GSSAPICleanupCredentials yes

  110. # Set this to 'yes' to enable PAM authentication, account processing,

  111. # and session processing. If this is enabled, PAM authentication will

  112. # be allowed through the ChallengeResponseAuthentication mechanism.

  113. # Depending on your PAM configuration, this may bypass the setting of

  114. # PasswordAuthentication, PermitEmptyPasswords, and

  115. # "PermitRootLogin without-password". If you just want the PAM account and

  116. # session checks to run without PAM authentication, then enable this but set

  117. # ChallengeResponseAuthentication=no

  118. #UsePAM no

  119. ##设置是否通过PAM验证

  120. UsePAM yes

  121. # Accept locale-related environment variables

  122. ##AcceptEnv 指定客户端发送的哪些环境变量将会被传递到会话环境中。

  123. ###[注意]只有SSH-2协议支持环境变量的传递。指令的值是空格分隔的变量名列表(其中可以使用'*''?'作为通配符)。

  124. ####也可以使用多个 AcceptEnv 达到同样的目的。需要注意的是,有些环境变量可能会被用于绕过禁止用户使用的环境变量。

  125. #####由于这个原因,该指令应当小心使用。默认是不传递任何环境变量。

  126. AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

  127. AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

  128. AcceptEnv LC_IDENTIFICATION LC_ALL

  129. AllowTcpForwarding yes

  130. ##AllowTcpForwarding设置是否允许允许tcp端口转发,保护其他的tcp连接

  131. #GatewayPorts no

  132. ##GatewayPorts 设置是否允许远程客户端使用本地主机的端口转发功能,出于安全考虑,建议禁止

  133. #############3.5、X-Window下使用的相关设定###############

  134. #X11Forwarding no

  135. ##X11Forwarding 用来设置是否允许X11转发

  136. X11Forwarding yes

  137. #X11DisplayOffset 10

  138. ##指定X11 转发的第一个可用的显示区(display)数字。默认值是 10 。

  139. ###可以用于防止 sshd 占用了真实的 X11 服务器显示区,从而发生混淆。

  140. X11DisplayOffset 10

  141. #X11UseLocalhost yes

  142. #################3.6、登入后的相关设定#################

  143. #PrintMotd yes

  144. ##PrintMotd用来设置sshd是否在用户登录时显示“/etc/motd”中的信息,可以选在在“/etc/motd”中加入警告的信息

  145. #PrintLastLog yes

  146. #PrintLastLog 是否显示上次登录信息

  147. #TCPKeepAlive yes

  148. ##TCPKeepAlive 是否持续连接,设置yes可以防止死连接

  149. ###一般而言,如果设定这项目的话,那么 SSH Server 会传送 KeepAlive 的讯息给 Client 端,以确保两者的联机正常!

  150. ####这种消息可以检测到死连接、连接不当关闭、客户端崩溃等异常。在这个情况下,任何一端死掉后, SSH 可以立刻知道,而不会有僵尸程序的发生!

  151. #UseLogin no

  152. ##UseLogin 设置是否在交互式会话的登录过程中使用。默认值是"no"

  153. ###如果开启此指令,那么X11Forwarding 将会被禁止,因为login不知道如何处理 xauth cookies 。

  154. ####需要注意的是,在SSH底下本来就不接受 login 这个程序的登入,如果指UsePrivilegeSeparation ,那么它将在认证完成后被禁用。

  155. UserLogin no 

  156. #UsePrivilegeSeparation yes

  157. ##UsePrivilegeSeparation 设置使用者的权限

  158. #PermitUserEnvironment no

  159. #Compression delayed

  160. #ClientAliveInterval 0

  161. #ClientAliveCountMax 3

  162. #ShowPatchLevel no

  163. #UseDNS yes

  164. ##UseDNS是否使用dns反向解析

  165. #PidFile /var/run/sshd.pid

  166. #MaxStartups 10

  167. ##MaxStartups 设置同时允许几个尚未登入的联机,当用户连上ssh但并未输入密码即为所谓的联机,

  168. ###在这个联机中,为了保护主机,所以需要设置最大值,预设为10个,而已经建立联机的不计算入内,

  169. ####所以一般5个即可,这个设置可以防止恶意对服务器进行连接

  170. #MaxAuthTries 6

  171. ##MaxAuthTries 用来设置最大失败尝试登陆次数为6,合理设置辞职,可以防止攻击者穷举登录服务器

  172. #PermitTunnel no

  173. ############3.7、开放禁止用户设定############

  174. #AllowUsers<用户名1> <用户名2> <用户名3> ...

  175. ##指定允许通过远程访问的用户,多个用户以空格隔开

  176. #AllowGroups<组名1> <组名2> <组名3> ...

  177. ##指定允许通过远程访问的组,多个组以空格隔开。当多个用户需要通过ssh登录系统时,可将所有用户加入一个组中。

  178. #DenyUsers<用户名1> <用户名2> <用户名3> ...

  179. ##指定禁止通过远程访问的用户,多个用户以空格隔开

  180. #DenyGroups<组名1> <组名2> <组名3> ...

  181. ##指定禁止通过远程访问的组,多个组以空格隔开。

  182. # no default banner path

  183. #Banner /some/path

  184. # override default of no subsystems

  185. Subsystem sftp /usr/libexec/openssh/sftp-server

  186. ClientAliveInterval 3600

  187. ClientAliveCountMax 0

7.sftp是什么

SFTP是Secure FileTransferProtocol的缩写,安全文件传送协议。

SFTP和FTP是两种协议,它们是不同的,sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身没有单独的守护进程,更不需要ftp服务器启动。

SFTP同样是使用加密传输认证信息和传输的数据,所以,使用SFTP是非常安全的。但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP。

8.sftp登陆

使用sftp登陆远程服务器,可以

  1. sftp root@192.168.0.1

也可以指定端口号

  1. sftp -oPort=22 root@192.168.0.1

9.使用sftp进行文件上传下载

下载

语法

  1. get [-afPpRr] remote [local]  

下载远程文件到本地目录

  1. get /tmp/test.c ~/

下载远程文件夹到本地目录

  1. get -r /tmp/test.c ~/

上传

语法

  1. put [-afPpRr] local [remote]

上传本地文件到远程文件夹

  1. put ~/test.c /tmp/

上传本地文件夹到远程目录(会上传本地文件夹下的所有文件)

  1. put ~/test /tmp/

10.更多sftp命令

输入 help 命令可以查看sftp支持的命令操作:

  1. sftp> help

  2. Available commands:

  3. bye Quit sftp

  4. cd path Change remote directory to 'path'

  5. chgrp grp path Change group of file 'path' to 'grp'

  6. chmod mode path Change permissions of file 'path' to 'mode'

  7. chown own path Change owner of file 'path' to 'own'

  8. df [-hi] [path] Display statistics for current directory or

  9. filesystem containing 'path'

  10. exit Quit sftp

  11. get [-afPpRr] remote [local] Download file

  12. reget [-fPpRr] remote [local] Resume download file

  13. reput [-fPpRr] [local] remote Resume upload file

  14. help Display this help text

  15. lcd path Change local directory to 'path'

  16. lls [ls-options [path]] Display local directory listing

  17. lmkdir path Create local directory

  18. ln [-s] oldpath newpath Link remote file (-s for symlink)

  19. lpwd Print local working directory

  20. ls [-1afhlnrSt] [path] Display remote directory listing

  21. lumask umask Set local umask to 'umask'

  22. mkdir path Create remote directory

  23. progress Toggle display of progress meter

  24. put [-afPpRr] local [remote] Upload file

  25. pwd Display remote working directory

  26. quit Quit sftp

  27. rename oldpath newpath Rename remote file

  28. rm path Delete remote file

  29. rmdir path Remove remote directory

  30. symlink oldpath newpath Symlink remote file

  31. version Show SFTP version

  32. !command Execute 'command' in local shell

  33. ! Escape to local shell

  34. ? Synonym for help

执行本地命令

如果我们想在进入sftp会话环境下执行本地命令怎么办?只需要在本地命令之前加叹号!即可,示例如下:

  1. !ls

退出会话

无论是在 ssh 还是 sftp,都可以使用 exit 退出当前会话,sftp 还可以使用 quit 命令退出。

11.结语

相信本文足以可以让你解决使用终端过程中碰到的绝大多数问题了。


】【打印关闭】 【返回顶部
上一篇选择跨境电商服务器的时候应该重.. 下一篇高防IP是如何防御DDoS攻击的呢?