SSH 用法进阶 —— 免密登录与端口转发

最新推荐文章于 2023-04-03 10:41:10 发布
最新推荐文章于 2023-04-03 10:41:10 发布
阅读量2.8w 收藏 9
点赞数 1
分类专栏: Linux 文章标签: ssh linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DAGU131/article/details/108129625
版权

ssh 是一个非常常用的工具,通常用来登录到远程主机上,不过 ssh 不仅仅只能用来登录,还能执行远程命令,或者进行多种的端口转发

基本使用

登录到远程主机
$ ssh <user>@<remote-ip>

ssh 默认连接的端口是 22,如果 ssh server 监听的其他端口的话
那么可以使用 -p <port>来指定端口

如果使用本地当前用户名登录的话,也可以省略 <user>@,只需要 <remote-ip>即可

如何查看 ssh server 监听的地址

# 远程主机上
$ netstat -tlnp | grep sshd
如何免密登录

使用 ssh 登录时,通常会需要输入密码,总会感觉不是很安全,比如让别人协助登录到主机上,就需要把密码告诉他
如果使用公钥认证的话,就只需要登录人提供一下公钥,而不需要告诉他密码了

查看 ssh server 是否支持公钥认证

# 远程主机中
$ cat /etc/ssh/sshd_config | grep Pub
#PubkeyAuthentication yes

默认为开启公钥认证,如果为 no 的话就需要修改为 yes,然后重启 ssh server

查看一下本地主机 ~/.ssh 目录下是否存在 rsa 秘钥(id_rsa.pubid_rsa
没有的话使用 ssh-keygen 生成秘钥,询问输入回车就行

[iceber@localhost ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/iceber/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/iceber/.ssh/id_rsa.
Your public key has been saved in /home/iceber/.ssh/id_rsa.pub.
The key fingerprint is:
e7:af:48:91:e7:61:c4:0b:c2:11:74:0d:1f:56:61:13 iceber@localhost.localdomain
The key's randomart image is:
+--[ RSA 2048]----+
|     .+.ooo.Eo   |
|     . o +.o .   |
|      o . +      |
|       . + .     |
|        S *      |
|         B .     |
|        . o      |
|       . . .     |
|        . ...    |
+-----------------+

使用 ssh-copy-id 将公钥记录到到远程主机上

$ ssh-copy-id <user>@<remote-ip>

一般主机中都会有 ssh-copy-id 命令,如果不存在的话,可以手动将公钥添加到远端主机中

$ ssh <user>@<remote-ip> 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub

需要注意 ~/.ssh 目录的权限必须是 700~/.ssh/authorized_keys 的权限必须是 600 或者 644 ,否则会出现异常

远程主机信任该公钥后,就不需要输入密码啦

使用其他秘钥

ssh 会默认使用 ~/.ssh/id_rsa~/.ssh/id_rsa.pub,如果想要使用其他的秘钥文件怎么呢

在执行 ssh-keygen 时,会要求选择秘钥的路径,输入新的秘钥路径

Enter file in which to save the key (/home/iceber/.ssh/id_rsa): /home/iceber/.ssh/custom_rsa

~/.ssh 中就会生成私钥custom_rsa 和公钥 custom_rsa.pub

ssh-copy-id -i <公钥路径> <user>@<remote-ip> 将指定的公钥发送给服务端
ssh 使用 -i <私钥路径> 来指定私钥

禁止密码登录

既然公钥可以登录了,有时为了安全考虑,也就不需要密码登陆了
修改 ssh server 配置 /etc/ssh/sshd_config

# /etc/ssh/sshd_config
PasswordAuthentication no # 关闭密码验证
配置远程主机,使用别名登录

虽然可以免密登录的,但是每次登录还是需要配置 userremote-ip,感觉好麻烦

~/.ssh/config 中可以配置远程主机的信息

# ~/.ssh/config
Host iceber
    HostName 10.10.10.100
    User iceber

可以直接使用 ssh iceber 登录了

Host * 相当于全局配置

还可以配置一些其他信息

  • Port <port> 远程主机的 ssh server port
  • ServerAliveInterval <seconds> client 会每隔多少秒向 server 发送一次请求,防止和服务器的连接断开
  • IdentityFile <path> 秘钥路径,rsa 的秘钥地址 (~/.ssh/id_rsa)

端口转发

ssh 不止能用来登录或者执行远程命令,还是用做端口转发
ssh 的端口转发分为三种 本地转发远程转发动态转发

在使用端口转发时,通常会使用到 -N-f 两个 flag

  • -N 表示不需要执行任何命令,用于端口转发
  • -f 表示在后台运行,不需要登录到远端主机上

本地转发

本地转发是指将发送到本地端口的请求发送到远端主机上

ssh -Nf -L <本地地址>:<本地端口>:<远程主机目标地址>:<远程主机目标端口> <user>@<remote-ip>

访问 <本地地址>:<本地端口>,数据会转发到 <remote-ip> 主机的<远程主机目标地址>:<远程主机目标端口>

<本地地址> 可以省略,默认为 127.0.0.1

场景

远端主机(10.10.10.100)中运行一个 http server,但是他只监听了 localhost:8080 地址,但是我想在本地访问这个地址,该怎么办

ssh -Nf -L 8000:127.0.0.1:8080 iceber@10.10.10.100

这时通过本地 127.0.0.1:8000 就可以访问到 10.10.10.100 机器中的本地服务了

有时 MySQL 会限制登录的 ip,这时就可以使用本地端口转发来访问了

远程转发

远程转发是指将发送到远端主机的请求转发到本地的目标端口

ssh -Nf -R <远程主机地址>:<远程主机端口>:<本地目标地址>:<本地目标端口> <user>@<remote-ip>

在本地执行 ssh 远程转发命令,访问 <远程主机地址>:<远程主机端口>时,请求会转发到本地<本地目标地址>:<本地目标端口>

<远程主机地址>: 可以省略,默认为 127.0.0.1,可以设置为 0.0.0.0 在所有网卡上建立转发
转发远程主机的非 localhost ip 时,需要修改 /etc/ssh/sshd_config

# /etc/ssh/sshd_config
GatewayPorts yes
场景

将局域网中的 ssh 通过远程主机暴露给外网
在局域网外,我们无法通过 ssh 连接到局域网中的主机,但是如果把局域网主机中将 ssh 端口和可以外网访问的远程主机端口建立远程转发,那么就可以通过远程主机访问局域网主机了

ssh -Nf R 10022:localhost:22 iceber@<remote-ip>

将远程主机的 localhost:10022 端口接收的请求转发到本地 localhost:22 中

这时在外网登录远程主机,然后 ssh -p 10022 @localhost 就可以登录到局域网中了

不建议局域网中 ssh 端口直接和远程主机的外部 ip 建立端口映射

动态转发

动态转发会在本地监听端口,所有发送到该端口的请求都转发到远程主机中,由远程主机来执行请求

ssh -Nf -D <本地地址>:<本地端口> <user>@<remote-ip>

可以用来做 SOCKS5 代理,如果远程主机可以访问外网,这样通过把浏览器的代理服务器设置为 socks5://127.0.0.1:10080 就可以让远程主机来执行请求,同样可以访问到外网了

$ ssh -Nf -D 10080 iceber@<remote-ip>

其他设置

登录日志可以通过 /var/log/secure 来查看

配置 SSH 登录提醒

# /etc/ssh/sshd_config
Banner <path>

可以在密码输入前会打印 <path> 中的内容

登录后同样会有一些提示内容,这些提示内容再 /etc/update-motd.d中(ubuntu)

ssh server 配置

ssh server 的配置文件时 /etc/ssh/sshd_config
常用的一些配置项:

  • Port <port> 设置ssh server 端口
  • ListenAddress 0.0.0.0 监听地址
  • PasswordAuthentication no 关闭密码验证
  • PubkeyAuthentication yes 可以使用公钥登录
  • RSAAuthentication yes 只允许RSA安全验证
  • PermitRootLogin yes 运行 root 登录
  • PermitEmptyPasswords no 不允许空密码登录
  • LoginGraceTime 2m 用户不能成功登录,2m 后断开连接
  • PrintLastLog yes 登录后打印上次登录信息
IceberGu
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4-3·SSH免密、秘钥验证端口转发
My
01-09 487
一·配置SSH服务器使用秘钥验证登录。为客户端创建私钥,为服务器创建公钥。 1)生成秘钥。 $ ssh-keygen -t rsa //生成,一路回车 $ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys //将生成的秘钥保存 $ chmod 600 ~/.ssh/authorized_keys
详解Java使用Jsch与sftp服务器实现ssh免密登录
10-16
主要介绍了详解Java使用Jsch与sftp服务器实现ssh免密登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SSH端口转发免密登录原理
09-21 360
1.SSH The Secure Shell (SSH) Transport Layer Protocol The Secure Shell (SSH) is a protocol for secure remote login and other secure network servic...
SSH -R 反向端口转发
热门推荐
Avalon
05-11 2万+
摘自:https://abcdabcd987.com/ssh/ 反向端口转发:例子1 相信很多人都会有这样的需求:我实验室的机器和宿舍的机器都处在局域网中,但我需要在宿舍访问实验室的机器,或者反过来。这个时候,你需要一台处在公网的机器,如果没有的话,可以考虑腾讯云或者阿里云的学生优惠。 假设现在你有一台处在公网的机器 jumpbox,这台机器是在任何地方都能访问到的;你在实验室也有一台机子 ...
Windows SSH配置及免密执行命令指南
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
05-07 976
Windows端SSH服务设置,OpenSSH配置 场景:首先解释一下为什么手动安装OpenSSH,因为是公司内网中的内网,无法访问微软商店。 SSH是什么 SSH原理及基本使用 下载OpenSSH-Win64.zip,是免安装的,建议解压到C:\Program Files,将C:\Program Files\OpenSSH64 添加至环境变量使得cmd或powerShell认识,做SSH服务启动...
如何配置ssh免密以及ssh免密的原理
qq_29248935的博客
07-18 93
ssh的原理 执行步骤 主机A用户名user_a,主机B用户名user_b 要求:你要user_a可以ssh到user_b 各自在A/B主机上执行以下的操作: mkdir ~/.ssh chmod 700 ~/.ssh ssh-keygen -t rsa -P ‘’ -f ~/.ssh/id_rsa 执行效果就是上面的2文件了 你要A连接B的话,你得有B的公钥,相当于B的门卡。 你就去user...
SSH远程登录和端口转发详解
09-15
总的来说,SSH远程登录和端口转发是安全、方便的网络通信方式。理解并正确配置公钥认证可以提高系统的安全性,减少依赖明文密码的登录方式,从而降低被攻击的风险。同时,端口转发功能允许用户安全地通过SSH隧道访问...
SSH端口转发,本地端口转发,远程端口转发,动态端口转发详解
01-10
第一部分 SSH端口转发概述 当你在咖啡馆享受免费 WiFi 的时候,有没有想到可能有人正在窃取你的密码及隐私信息?当你发现实验室的防火墙阻止了你的网络应用端口,是不是有苦难言?来看看 SSH端口转发功能能给...
Hadoop框架起步之图解SSH免密登录原理和实现方法
10-16
SSH由芬兰学者Tatu Ylonen在1995年设计,它的流行实现是OpenSSH,本文主要围绕OpenSSH来讲解SSH免密登录的原理和实现。 1. SSH的工作原理: SSH使用对称加密和非对称加密两种方式来确保通信安全。对称加密中,...
使用SSH实现服务器之间的免登陆
菜鸟frank59的学习笔记
04-15 143
假设我有两台服务器:服务器A 和 服务器B 我需要在服务器A上访问服务器B,但是每次ssh到服务器B上都要输入服务器B该用户的密码(root用户),比较麻烦 而且以后会写shell脚本把服务A的文件拷贝到服务器B上,不能通过脚本文件完成输入密码的交互 这样便可以使用ssh的免登陆。 ①需要在两台服务器上都安装ssh服务: 安装ssh服务 sudo apt-get install s...
linuxssh免密配置端口失败,linux免密登录ssh验证配置方法及常见错误解决
weixin_42139460的博客
05-07 962
目标:从服务器A免密登录服务器B【配置方法】1.在服务器A生成密钥文件,直接使用以下命令:ssh-keygen中间遇到输入内容一路回车即可,完成后会在 ~/.ssh 目录下生成两个文件:id_rsa(私钥文件)和id_rsa.pub(公钥文件,在服务器B要用到的)2.登录服务器B,编辑~/.ssh/authorized_keys文件,将服务器A里的~/.ssh/id_rsa.pub内容复制进去保...
设置ssh免密登录 非22端口
weixin_43557605的博客
09-07 1122
如下 需要做一个 3000端口的免密登录 还是传统的配方 还是原来的味道 但是报错了 不行 [username@localhost ~]$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/username/.ssh/id_rsa): /home/username/.ssh/id_rsa already exists. Overwrite (y/n)? [userna
服务器内网穿透以及ssh免密登录配置
WannaSeaU的博客
09-25 1258
内网穿透 在官方链接下载frp最新版本,服务器端(具有公网IP)与本地端(没有公网IP)都需要下载。 先进行服务器端配置: 解压源文件后,将文件夹中的frps和frps.ini分别拷贝到/opt/bin/frps以及/opt/etc/frps.ini。 服务器端一般不需要修改配置文件,只需启动服务: sudo vim /etc/systemd/system/frps.service 输入以下内容: [Unit] Description=Frp Server Service After=network.
关于ssh-copy-id username@hostname执行后出现权限问题
kerhac的博客
04-03 383
关于ssh-copy-id 上传证书失败,提示公钥,权限等问题,其中一类情况的处理
Windows下配置SSH实现免密访问和远程端口转发
向往的是:佛祖堂前的鱼,静静听禅。
03-16 1万+
最近想要配置自家的电脑用作服务器,方便自己远程访问。由于没有静态IP,最开始想使用DDNS,从花生壳注册了一个域名,然后在路由配置端口转发,配置完成后,发现家里网络是光猫拨号的,路由器自动获取ip,转发的依然是内网ip,局域网可以访问,但是外网仍然访问不了,后面改成路由器拨号,依然没有公网ip。后面就想着通过一个公网上的服务器做跳板,网上找了一圈,决定使用ssh技术进行转发连接,本路记录ssh实现过程中的一些问题。window下有自动OpenSSH工具可以实现ssh连接管理。
手把手教你通过端口映射,轻松搭建Windows远程桌面
米糊的头发箱(码代码掉的头发都在这里了)
10-07 9996
市面上有很多的远程桌面软件,如TeamViewer、向日葵等。但无一例外,它们提供的免费服务连接质量普遍不高,而付费服务价格又偏高,并不能使人满意。 但众所周知,微软自带的Windows远程桌面其实在连接质量和稳定性方面一点都不输给第三方软件,但可惜的是它并没有对外网开放,在没有公网IP的前提下,只能在内网访问。 本教程将教会你如何通过市面上主流的端口映射(FRP)服务,以较低的成本搭建一套稳定、好用的远程桌面! 一、市面上主流的FRP服务 经过比较和测试,笔者整理了下面几家内网穿透服务商供参考:
window下使用ssh以及配置免密登录
淋雨一直走啊
12-09 3481
因为最近的项目需要部署到多台服务器上,如果一台一台的去操作的话,显然太费时费力了,由于公司又没有一整套完整的发布部署平台,所以我就自己写了个批处理脚本来实现项目的部署以及日志的拉取,这其中遇到过不少问题,所以就整理了两篇博客记录一下。 我们知道在管理服务器的时候,Linux/Mac系统下,使用ssh服务非常方便,然而生活中还有很多windows平台的服务器,如果也想使用的话,需要一些配置了。网上有...
SSH实验——本地、远程、动态端口
李凯的博客
11-09 1020
实验一:本地转发 SSH端口转发   SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”(tunneling),这是因为SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP 这些 TCP 应用均...
详解SSH三种端口转发
evandeng2009
07-16 1万+
SSH端口转发的好处:     1. 利用SSH通道天然的加密特性     2. 通过具备访问权限的第三者,突破防火墙对自己的限制 角色定义:     A. 本地服务器,想通过中间服务器B间接访问目标服务器C     B. 中间服务器,类似于代理,A以B的名义去访问C     C. 目标服务器,C看到的都是中间服务器B在访问自己 1. 本地端口转发 命令:
ssh2实现sftp免密登录
最新发布
09-05
SSH2实现SFTP免密登录的过程如下: 1. 首先,需要确保服务器端已经安装了SSH2和SFTP服务,并已正确配置。 2. 在本地电脑上生成公钥和私钥对。可以通过命令 ssh-keygen 来生成。在生成的过程中,可以选择默认存储位置和采用空密码的私钥。 3. 将生成的公钥上传到服务器上。可以使用命令 scp 将公钥文件复制到服务器上的相应位置。例如,将公钥文件上传到 ~/.ssh/authorized_keys 文件中。 4. 在服务器上,通过修改 SSH2 配置文件来启用公钥身份验证。可以使用编辑器访问 /etc/ssh/sshd_config 文件,并确保以下行没有被注释掉: PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 这样,服务器就会接受公钥身份验证了。 5. 然后,重启 SSH2 服务,使配置生效。可以使用命令 sudo service ssh restart 或者 sudo systemctl restart ssh 来重启服务。 6. 接下来,就可以在本地电脑上使用 SSH2 客户端来连接服务器,进行无密码的 SFTP 登录了。可以使用命令 sftp username@server_ip 来建立连接。这时,SSH2 客户端会自动使用私钥进行身份验证,而无需输入密码。 通过以上步骤,就可以实现 SSH2 的 SFTP 免密登录。这样,每次连接服务器时,就不再需要输入密码,提高了安全性和便利性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值