接着前一次的文章,继续介绍SSH的用法。
=======================================
SSH原理与运用(二):远程操作与端口转发
作者:阮一峰
(Image credit: Tony Narlock)
七、远程操作
SSH不仅可以用于远程主机登录,还可以直接在远程主机上执行操作。
上一节的操作,就是一个例子:
$ ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub
单引号中间的部分,表示在远程主机上执行的操作;后面的输入重定向,表示数据通过SSH传向远程主机。
这就是说,SSH可以在用户和远程主机之间,建立命令和数据的传输通道,因此很多事情都可以通过SSH来完成。
下面看几个例子。
【例1】
将$HOME/src/目录下面的所有文件,复制到远程主机的$HOME/src/目录。
$ cd && tar czv src | ssh user@host 'tar xz'
【例2】
将远程主机$HOME/src/目录下面的所有文件,复制到用户的当前目录。
$ ssh user@host 'tar cz src' | tar xzv
【例3】
查看远程主机是否运行进程httpd。
$ ssh user@host 'ps ax | grep [h]ttpd'
八、绑定本地端口
既然SSH可以传送数据,那么我们可以让那些不加密的网络连接,全部改走SSH连接,从而提高安全性。
假定我们要让8080端口的数据,都通过SSH传向远程主机,命令就这样写:
$ ssh -D 8080 user@host
SSH会建立一个socket,去监听本地的8080端口。一旦有数据传向那个端口,就自动把它转移到SSH连接上面,发往远程主机。可以想象,如果8080端口原来是一个不加密端口,现在将变成一个加密端口。
九、本地端口转发
有时,绑定本地端口还不够,还必须指定数据传送的目标主机,从而形成点对点的"端口转发"。为了区别后文的"远程端口转发",我们把这种情况称为"本地端口转发"(Local forwarding)。
假定host1是本地主机,host2是远程主机。由于种种原因,这两台主机之间无法连通。但是,另外还有一台host3,可以同时连通前面两台主机。因此,很自然的想法就是,通过host3,将host1连上host2。
我们在host1执行下面的命令:
$ ssh -L 2121:host2:21 host3
命令中的L参数一共接受三个值,分别是"本地端口:目标主机:目标主机端口",它们之间用冒号分隔。这条命令的意思,就是指定SSH绑定本地端口2121,然后指定host3将所有的数据,转发到目标主机host2的21端口(假定host2运行FTP,默认端口为21)。
这样一来,我们只要连接host1的2121端口,就等于连上了host2的21端口。
$ ftp localhost:2121
"本地端口转发"使得host1和host3之间仿佛形成一个数据传输的秘密隧道,因此又被称为"SSH隧道"。
下面是一个比较有趣的例子。
$ ssh -L 5900:localhost:5900 host3
它表示将本机的5900端口绑定host3的5900端口(这里的localhost指的是host3,因为目标主机是相对host3而言的)。
另一个例子是通过host3的端口转发,ssh登录host2。
$ ssh -L 9001:host2:22 host3
这时,只要ssh登录本机的9001端口,就相当于登录host2了。
$ ssh -p 9001 localhost
上面的-p参数表示指定登录端口。
十、远程端口转发
既然"本地端口转发"是指绑定本地端口的转发,那么"远程端口转发"(remote forwarding)当然是指绑定远程端口的转发。
还是接着看上面那个例子,host1与host2之间无法连通,必须借助host3转发。但是,特殊情况出现了,host3是一台内网机器,它可以连接外网的host1,但是反过来就不行,外网的host1连不上内网的host3。这时,"本地端口转发"就不能用了,怎么办?
解决办法是,既然host3可以连host1,那么就从host3上建立与host1的SSH连接,然后在host1上使用这条连接就可以了。
我们在host3执行下面的命令:
$ ssh -R 2121:host2:21 host1
R参数也是接受三个值,分别是"远程主机端口:目标主机:目标主机端口"。这条命令的意思,就是让host1监听它自己的2121端口,然后将所有数据经由host3,转发到host2的21端口。由于对于host3来说,host1是远程主机,所以这种情况就被称为"远程端口绑定"。
绑定之后,我们在host1就可以连接host2了:
$ ftp localhost:2121
这里必须指出,"远程端口转发"的前提条件是,host1和host3两台主机都有sshD和ssh客户端。
十一、SSH的其他参数
SSH还有一些别的参数,也值得介绍。
N参数,表示只连接远程主机,不打开远程shell;T参数,表示不为这个连接分配TTY。这个两个参数可以放在一起用,代表这个SSH连接只用来传数据,不执行远程操作。
$ ssh -NT -D 8080 host
f参数,表示SSH连接成功后,转入后台运行。这样一来,你就可以在不中断SSH连接的情况下,在本地shell中执行其他操作。
$ ssh -f -D 8080 host
要关闭这个后台连接,就只有用kill命令去杀掉进程。
十二、参考文献
* SSH, The Secure Shell: The Definitive Guide: 2.4. Authentication by Cryptographic Key, O'reilly
* SSH, The Secure Shell: The Definitive Guide: 9.2. Port Forwarding, O'reilly
* Shebang: Tips for Remote Unix Work (SSH, screen, and VNC)
* brihatch: SSH Host Key Protection
* brihatch: SSH User Identities
* IBM developerWorks: 实战 SSH 端口转发
* Jianing YANG:ssh隧道技术简介
* WikiBooks: Internet Technologies/SSH
* Buddhika Chamith: SSH Tunneling Explained
(完)
扫一扫
375
到【灌水乐园】发言
Time 说:
讲解的非常清晰!
2011年12月23日 21:40 | 档案 | 引用
autoxbc 说:
"远程端口转发"的前提条件是,host1和host3两台主机都有sshD和ssh客户端。
----------------
这一句不理解,我的理解是本地转发和远端转发仅仅是建立 ssh 的方向不一样,都是只建立一重 ssh 连接,远端转发并不需要多一次 ssh。
2011年12月23日 23:15 | 档案 | 引用
monos 说:
当然,ssh还有一个非常重要的用处,就是X11转发。有了它,先终端登录上去,ssh -X user@host,然后就可以在本地执行host上的GUI程序,最为关键的是这些是处于本地窗口管理器(Window Manager)管理。这一场景对于经常在内网登录工作站进行CAD的用户而言,相当常见。
2011年12月24日 10:51 | 档案 | 引用
cynic 说:
嗯,远程端口转发只需要host1有sshd服务端就好了,host3不需要
2011年12月24日 14:51 | 档案 | 引用
Zind 说:
2011年12月24日 18:44 | 档案 | 引用
陈少举 说:
Hi:关于SSH,我还有一个问题,我注意到在网路拥堵或者访问目标主机繁忙或无响应的时候,本地的 SOCKS Proxy Forwarding 服务会出现阻塞的情况,必须耐心等待或者直接断开SSH连接并重新连接。
我尝试设置过Linux服务器上的sshd_config文件的 MaxSessions 参数为更大的数值(比如128),但是在拥堵的情况下仍然会出现阻塞,不知道有没有什么参数可以调整一下?
2011年12月25日 11:10 | 档案 | 引用
阮一峰 说:
@陈少举:
这个我也不太懂,猜想是不是某个网页发出了太多TCP连接,关掉浏览器重启可能会好一点?
2011年12月25日 12:09 | 档案 | 引用
autoxbc 说:
X11 的劣势似乎是远程用户和本地用户不能共享同一个 sessions,即 X11 登录会启动一个新的 session,而不是接管当前用户正在用的那个,所以不能同时操作,甚至看不到对方的操作;RDP 登录使用的是同一个 session,尽管看不到对方的操作;VNC 使用的是同一个,并且远程和本地可以同时操作。
2011年12月25日 18:16 | 档案 | 引用
Ki 说:
不过,x11a速度很慢。
2011年12月25日 21:09 | 档案 | 引用
陈沙克 说:
不好意思,下面这段话没读懂
还是接着看上面那个例子,host1与host2之间无法连通,必须借助host3转发。但是,特殊情况出现了,host3是一台内网机器,它可以连接外网的host1,但是反过来就不行,外网的host1连不上内网的host3。这时,"本地端口转发"就不能用了,怎么办?
我的理解是这样的
host1 公司的台式机,在内网,
host2,家里笔记本,在内网
host3,公网vps,公网IP
现在host2,需要访问host1,需要通过host3来中转。
2011年12月26日 00:04 | 档案 | 引用
阮一峰 说:
@陈沙克:
我的原意如下,没表达清楚:
host1 是家用电脑,在公网
host2 是公司主机(比如内部数据库), 在内网
host3 是公司办公电脑,在内网
现在,host1连不上host2,也连不上host3。但是,host3可以同时连上host1和host2,所以要通过它中转。
2011年12月26日 23:30 | 档案 | 引用
冯镇 说:
请您抽空讲解一下hash文件,好像类似于数据库可以存储数据
2011年12月28日 06:27 | 档案 | 引用
basilwang 说:
本地端口转发没大看明白
2011年12月28日 07:35 | 档案 | 引用
Matthew 说:
如何通过SHH实现DNS请求的远程解析呢?希望可以让所有需要DNS解析的程序都能通过SSH远程解析得到结果。原因您懂得!
2012年1月 1日 21:24 | 档案 | 引用
Brooklyn 说:
不动声色的介绍了ssh隧道fanqiang的原理。
我的工作每天就是在各个服务器之间跳转,虽然很多命令已经熟悉,但是还是大有收获。
2012年1月15日 13:52 | 档案 | 引用
msmouse 说:
-D的原理和用法仿佛并没有说清楚~
2012年1月19日 20:52 | 档案 | 引用
金晨 说:
不错的文章,对于理解SSH很有帮助,待会转载到我博客去。
2012年4月 1日 13:33 | 档案 | 引用
小强 说:
ssh针对ftp的端口转发貌似比较复杂,SSH The Secure Shell: The definitive guide用了整整一章节来解决各种各样的相关问题。(详见2nd, chapter 11, ftp and ssh)主要原因是ftp用21端口发控制命令,对数据传输则用其他的端口进行。建议楼主换个例子,或针对ftp的转发再做下详细的说明。
2012年6月18日 17:10 | 档案 | 引用
Evan 说:
"这条命令的意思,就是让host1监听它自己的2121端口"
这里应该是 "让 host3 监听它自己的 2121 端口" 吧?
另外想请教一下, SSH 隧道是否能保证远端主机转发出去的数据也能加密呢? 如例子中 host3 转发到 host2 的数据.
2013年1月22日 13:57 | 档案 | 引用
Evan 说:
不好意思, 第一个问题我理解了, 原文无误.
第二个问题, 还是要请教 :-)
2013年1月22日 14:04 | 档案 | 引用
指尖上的奋斗 说:
写的是很用心,表示我直接看糊涂了,其实这种如果不说host1,host2,host3,举例子说内网,外网应该好理解.b不过还是这么用心的写文章!
2013年5月 6日 20:13 | 档案 | 引用
hxg 说:
请问有人知道如何取消端口映射吗?
2013年5月28日 17:23 | 档案 | 引用
kangzj 说:
SSH Agent也非常有意思,可以提升不少的工作效率,阮大可以讲讲
2013年10月 8日 17:15 | 档案 | 引用
kangzj 说:
SSH Agent也非常有意思,可以提升不少的工作效率,阮大可以讲讲
2013年10月 8日 17:18 | 档案 | 引用
lili 说:
SSH 权威指南上对端口转发的讲解很透彻,还不太懂的同学,可以去看看
2013年11月23日 09:14 | 档案 | 引用
lp 说:
关于ssh我还有个问题:通过ssh可以确认通信双方的身份,可以建立一个可信的会话,但对于后面的正式会话,数据传输的安全性是如何保障的?
2014年12月20日 01:16 | 档案 | 引用
kxcf 说:
应该跟Https类似,初始连接时通过非对称加密技术完成双方的身份认证和分配一个双方共享的对称密钥,这个会话密钥用于后续正式会话的加密保护。