SSH使用总结

原创 2013年12月03日 20:28:05

1.SSHSecure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定。SSH是应用层的一个协议。

SSH是client/server的架构,需要有server端才可以哦

比如ssh的服务端程序是sshd, 而对应的客户端就是ssh命令了嘛。


2.ssh相关的配置文件

(1)ssh服务端配置文件是/etc/ssh/sshd_config

(2)ssh客户端配置文件按读取先后顺序有:A)命令行上的选项和参数  B)$HOME/.ssh/config(用户的ssh客户端配置文件) C)/etc/ssh/ssh_config(全局的ssh客户端配置文件,使用于所有用户)

用法举例,我们在使用ssh登陆一台远程主机时,如果不在命令中写明以什么账号登陆远程主机,那么就以本主机上的当前账户来ssh登录远程主机。但是如果我们需要以指定的账号登录远程主机,但不是在ssh命令注明账号(ssh username@hostname),这时我们可以在$HOME/.ssh/config配置user参数来指明默认已什么账号来登录远程主机。如下例子即表示以jianzai账号登录到匹配*test-dev*的主机名的机器。

Host *test-dev*
User jianzai


3.SSH的工作原理

 

SSH的通信监理过程如下:

          a)客户端发送请求,希望连接到服务器

          b)服务器收到请求后,服务器将自己的公钥发送给客户端(这里采用公钥密码体制)

          c)客户端收到服务器的公钥后,在自己的机器上生成一个秘钥,并用服务器的公钥加密后发送给服务器

          d)服务器收到客户端的秘钥后,要求客户端发来用户名和密码

          e)客户端利用自己秘钥去加密自己的用户名和密码发送给服务端(采用的对称密钥密码体制)

           f)服务端收到客户端的用户名和密码后,经过权限体系检验后,确定接受或者拒绝客户端的连接请求

 

4.SSH的优势:

传统的网络服务程序,如ftppoptelnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。


5.ssh username@hostname与ssh hostname的区别

ssh username@hostname表示使用username的账户登录到机器hostname上。

ssh hostname时,先会去$HOME/.ssh/config和/etc/ssh/ssh_config配置文件中获取以什么账户登录到hostname上去,如果没有配置,那么尝试用本机的当前的账户登录到远程hostname机器


6. ~/.ssh/authorized_keys和~/.ssh/known_hosts的区别

二者虽然都记录的是其他主机主机的公钥,但是二者有着明显的不同作用。

当主机A想要B主机免密码登录A的话,那么就在A主机的 ~/.ssh/authorized_keys文件中加入B主机的公钥。那么当B主机登录A的时候,就不要输入密码了。也就是建立了B--》A的信任关系。

当主机A登录主机B的时候,A会在~/.ssh/known_hosts找到这个主机的公钥和这次传来的是否一样的。如果不一样,就拒绝登录。如果一样,那么提示输入密码(免密码和这个没有关系喽)。   如果主机B的公钥确实变了,解决方法就是在主机A中删除之前的公钥记录,然后重新登录时在记录到A的~/.ssh/known_hosts文件中。

备注:在使用信任关系登录到目标主机时,目标主机会判断用户HOME目录下的.ssh目录以及.ssh目录中的authorized_keys文件权限,需要满足后面的条件。authorized_keys文件的权限是644以下,最好是600,即防止其他用户修改此文件带来的安全问题。而.ssh目录的权限是755以下,最好是700,防止其他文件来修改.ssh目录中的内容。


7.日常使用ssh中,一些重要的选项

-f   当ssh登录动作,后面带有需要在远程主机上执行的命令时,如果加上-f选项,会将命令直接发到远程主机上执行然后退出远程连接,而不需要等待远程命令执行结束。如果不加-f选项,需要等待远程命令执行完毕后,才可以退出远程连接。

-n  同-f选项

-o  可以加上一些ssh的选项,其实就是ssh客户端配置文件($HOME/.ssh/config或/etc/ssh/ssh_config)中的一些信息。

               (1)-o StrictHostKeyChecking=yes|no|ask

                  StrictHostKeyChecking有两种功能,一是是否会自动地将远程主机的公钥记录到known_hosts中,二是当远程主机的公钥变化了,是否允许本地主机进行登录。当StrictHostKeyChecking=no时,表示在连接远程主机时,会主动把对方的公钥加到known_hosts中,而不会提示用户是否要记录这样的信息,且当远程主机的公钥变化了,仍然会连接上,不会出现因为公钥不对连接失败。例如,ssh -o StrictHostKeyChecking=no root@10.10.10.1

            (2)-o BatchMode=yes|no

             当BatchMode=yes时,表示将不会显示交互式口令输入,而是直接失败,从而避免批处理的时候卡住。当BatchMode=no时,将会提示用户输入密码。

            (3)-o ConnectTimeout=5

             表示ssh连接的超时时间,单位是秒。

-v 可以在屏幕上打印ssh客户端连接远程主机的过程,可用于debug ssh连接失败的原因。

-V 显示ssh的版本信息。


8.利用ssh工具在远程主机上执行命令

ssh hostname "command"
利用上面的命令,可以不需要登录到远程主机hostname的情况下,在远程主机hostname上执行command命令。


如下几个有意思的用法:

ssh hostname "bash "
通过上面的命令可以在本机上获取到远程主机的bash,然后可以输入一些command,与远程主机进行交互。

ssh hostname "bash -s " < scriptname
将本机上scriptname脚本文件内容通过标准输入重定向到远程主机上执行。这种用法实现了在远程主机上执行本地脚本文件。

9.使用ssh不需要交互式的输入密码的三种解决方案

使用ssh时,需要交互式的在文字界面上输入密码,但是有时我们不方便交互式的输入,例如用shell脚本中使用ssh的时候。为此有三种解决方案应对这样的操作场景,

(1)建立信任关系,ssh免密码登陆

(2)使用sshpass工具,可以从参数、环境变量、文件等获取密码,不需要再交互式的输入密码了,用法举例如下:

sshpass -p 123456 ssh root@remotehostname 'ls -l'   其中-p参数指定的是账户的密码

备注:sshpass工具是专门服务ssh的,让不用交互式的输入密码就可以登录机器的非常好用的工具。

(3)编写expect脚本

expect是一种能够按照脚本内容里面设定的方式与交互式程序进行“会话”的程序。根据脚本内容,expect可以知道程序会提示或反馈什么内容以及 什么是正确的应答。它是一种可以提供“分支和嵌套结构”来引导程序流程的解释型脚本语言。 shell脚本功能很强大,但是不能实现有交互功能的多机器之前的操作,例如ssh和ftp,而expect可以帮助我们来实现。

首先在机器上需要安装expect工具,然后编写expect的脚本script,例子如下:

#!/usr/bin/expect -f
 set ip [lindex $argv 0 ]     //接收第一个参数,并设置IP
 set password [lindex $argv 1 ]   //接收第二个参数,并设置密码
 set timeout 10                   //设置超时时间
 spawn ssh root@$ip       //发送ssh命令
 expect {                 //返回信息匹配
 "*yes/no" { send "yes\r"; exp_continue}  //如果上一条命令执行的结果中含有*yes/no的字符串,那么输入yes并继续
 "*password:" { send "$password\r" }      //如果上一条命令执行的结果中含有*password的字符串,那么发送password变量作为密码
 }
 interact          //交互模式,用户会停留在远程服务器上面.

备注,expect的脚本的亮点是可以再脚本中实现交互式的操作,所以的应用场景不只是ssh免密码这一个场景中

参考资料于:

http://blog.sina.com.cn/s/blog_4d3559c70101c0sv.html


10.其实,sftp和scp命令用的就是ssh的通道啦


11.ssh -t参数的含义?


版权声明:本文为博主原创文章,未经博主允许不得转载。 举报

相关文章推荐

ssh黄金参数

ssh -o ConnectTimeout=3 -o ConnectionAttempts=5 -o PasswordAuthentication=no -o StrictHostKeyCheckin...

ssh配置文件详解

配置“/etc/ssh/ssh_config”文件      “/etc/ssh/ssh_config” 文件是OpenSSH系统范围的配置文件,允许你通过设置不同的选项来改变客户端程序的运行方...

我是如何成为一名python大咖的?

人生苦短,都说必须python,那么我分享下我是如何从小白成为Python资深开发者的吧。2014年我大学刚毕业..

ssh 在linux下的用法详解

本文作者 速谷歌 一)客户端与服务端的通讯认证流程: 第一阶段: 双方协商SSH版本号和协议,协商过程数据不加密. SSH-.- 对映如下: SSH-2.0-OpenSSH_5.3...

SSH中Hibernate的使用总结

SSH中Hibernate的使用总结       SSH项目中,引入了hibernate3.jar包,用于对数据库的操作。Hibernate是对数据库操作的封装工具包。通过对Hibernate的使用...

Github使用总结(添加ssh-key,新建仓库,添加协作者)

今天为了把项目挂到Github上并且和组员协作好,研究了下Github的使用方法,现在做个总结记录下来。 1.添加ssh-key(该部分转自Github官网 https://help.github....

Java SSH 项目总结——Jquery LigerUI-表格的使用

LigerUI与EasyUI一样,都是一个基于jquery的集成了各种用户界面的框架,包括我们常用的表单、表格等常用的控件,使用它们都可以快速的创建风格统一的界面效果。LigerUI与EasyUI相比...

SSH使用总结(xml配置)

beans.xml xml version="1.0" encoding="UTF-8"?> beans xmlns="http://www.springframework.org/sche...

Maven学习总结(一)----解决使用Maven搭建的SSH框架下的用Tomcat断点调试项目

解决使用Maven搭建的SSH框架下的用Tomcat断点调试项目
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)