SSH远程管理
SSH(Secure Shell)是一种应用层网络协议,用于加密地通过网络传输数据,以实现安全的数据通信。SSH 最常被用于远程登录和远程命令执行,它提供了比传统的 Telnet 协议更高的安全性,因为 SSH 通过加密用户认证信息和会话数据来保护这些数据的机密性和完整性。
SSH 协议通常用于:
- 远程登录:用户可以通过 SSH 客户端软件连接到远程服务器,并执行命令,就像直接在该服务器上操作一样。这允许管理员从任何位置安全地管理他们的服务器。
- 文件传输:虽然 SSH 主要用于加密的远程登录,但它也常被用于文件传输,特别是通过 SFTP(SSH 文件传输协议) 或 SCP(Secure Copy Protocol) 等工具。这些工具都利用了 SSH 加密和认证机制来安全地传输文件。
- 端口转发:SSH 还支持端口转发功能,允许用户将远程服务器上的端口转发到本地机器上,或者将本地机器上的端口转发到远程服务器上。这对于远程访问只能在内部网络中访问的服务特别有用。
- X11 转发:SSH 支持 X11 转发,允许用户将图形界面的应用程序从远程服务器转发到本地机器上运行,即使这些应用程序是图形界面的,用户也能在本地机器上看到它们的窗口和图形输出。
- 隧道和 VPN:SSH 也可以用于创建加密的隧道或 VPN(虚拟专用网络),以安全地穿越不可信的网络。
SSH 的安全性主要依赖于其加密方法和认证机制。SSH 使用了公钥和私钥进行认证,其中公钥被放置在服务器上,而私钥则保存在客户端。当客户端尝试连接到服务器时,服务器会向客户端发送一个挑战,客户端使用私钥来生成一个响应,并将该响应发送回服务器。服务器使用公钥来验证这个响应,如果验证成功,则允许客户端登录。
配置open ssh服务端
SSH 组件
- SSH 客户端:如 PuTTY、Xshell、SecureCRT 等,用于发起远程连接请求。
- SSH 服务端:OpenSSH 是实现 SSH 协议的开源软件,广泛应用于 UNIX 和 Linux 系统。
OpenSSH 服务端配置
常用配置文件
/etc/ssh/sshd_config:SSH 服务端的配置文件。
常用配置选项
Port 22:设置 SSH 服务监听的端口号。ListenAddress 0.0.0.0:设置 SSH 服务监听的 IP 地址,0.0.0.0表示监听所有地址。LoginGraceTime 2m:设置登录验证时间限制为 2 分钟。PermitRootLogin no:禁止 root 用户通过 SSH 登录。MaxAuthTries 6:设置最大密码验证尝试次数为 6 次。PermitEmptyPasswords no:禁止空密码用户登录。UseDNS no:禁用 DNS 反向解析,提高连接速度。AllowUsers和DenyUsers:分别设置允许和禁止登录的用户或用户@IP 地址组合。
验证方式
- 密码验证:基于用户名和密码的验证方式,安全性较低,容易被暴力破解。
- 密钥对验证:基于公钥和私钥的验证方式,安全性更高,可以实现免交互登录。
1. 密码验证(Password Authentication)
- 原理:当客户端尝试通过SSH连接到服务器时,服务器会要求客户端提供用户名和密码。服务器会检查用户名是否存在,并使用本地密码数据库(通常是
/etc/shadow或/etc/passwd文件)来验证提供的密码。 - 优点:配置简单,易于理解和使用,对于小型网络或临时访问场景足够方便。
- 缺点:容易受到暴力破解攻击,特别是当密码设置较弱时。此外,每次登录都需要手动输入密码,不够自动化。
- 配置:在
/etc/ssh/sshd_config文件中,通过设置PasswordAuthentication yes来启用密码验证。
2. 密钥对验证(Public Key Authentication)
- 原理:密钥对验证基于非对称加密技术。用户首先在客户端生成一对密钥:公钥(public key)和私钥(private key)。公钥可以公开,而私钥必须保密。用户将公钥添加到服务器上的
~/.ssh/authorized_keys文件中(或通过AuthorizedKeysFile配置项指定的其他位置)。当客户端尝试连接时,服务器会生成一个随机数,用公钥加密后发送给客户端。客户端使用私钥解密这个随机数,并发送回服务器。服务器验证解密后的随机数是否正确,从而确认客户端的身份。 - 优点:提供了更高的安全性,因为私钥是唯一的且不会在网络上传输。此外,密钥对验证支持免交互登录,提高了自动化和脚本执行的便利性。
- 缺点:首次设置相对复杂,需要生成密钥对并将公钥添加到服务器上。
- 配置:在
/etc/ssh/sshd_config文件中,通过设置PubkeyAuthentication yes来启用密钥对验证,并通过AuthorizedKeysFile指定公钥文件的存储位置(默认为~/.ssh/authorized_keys)。
优先级与配置建议
- 当
PasswordAuthentication和PubkeyAuthentication都启用时,SSHD服务将优先尝试密钥对验证。如果密钥对验证失败(例如,没有匹配的公钥或私钥),则服务器会回退到密码验证(如果启用)。
vim /etc/ssh/sshd_config
PasswordAuthentication yes#启用密码验证
PubkeyAuthentication yes#启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys#指定公钥库文件
- 安全建议:为了增强安全性,建议禁用密码验证(将
PasswordAuthentication设置为no),仅使用密钥对验证。这样,即使攻击者能够访问SSH服务,也无法通过暴力破解密码来入侵系统。 - 备份与保护私钥:私钥是密钥对验证中的关键部分,必须妥善保管。建议将私钥存储在安全的位置,并定期备份以防丢失。
- 密钥管理:对于需要频繁访问多个服务器的用户,可以使用密钥管理工具(如ssh-agent)来管理多个私钥,以提高便利性和安全性。
使用 SSH 客户端程序
1. SSH 远程登录
- 命令格式:
ssh [选项] 用户名@服务器地址 -p:指定非默认端口号。
2. SCP 远程复制
- 下行复制:
scp 用户名@服务器地址:/远程文件路径 /本地目标路径 - 上行复制:
scp -r /本地目录 用户名@服务器地址:/远程目标路径
3. SFTP 安全 FTP
由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但安全性更高。操作语法sftp与ftp几乎一样。
SFTP 特点:
- 安全性:SFTP通过SSH协议进行加密传输,保护数据免受窃听和篡改。
- 兼容性:SFTP的命令行界面与FTP类似,用户无需学习全新的命令集。
- 效率:虽然加密过程会增加一定的计算负担,但现代计算机的性能通常能够很好地处理这种开销。
- 集成性:SFTP可以与SSH客户端和服务器无缝集成,无需安装额外的软件。
示例:
- 连接到SFTP服务器
这里,sftp zhangsan@192.168.80.10zhangsan是用户名,192.168.80.10是SFTP服务器的IP地址。连接成功后,系统会提示你输入密码。 - 输入密码
在提示下输入用户的密码。注意,出于安全考虑,输入的密码在屏幕上不会显示。 - 列出远程目录内容
连接成功后,你会进入SFTP的命令行界面。输入ls命令以列出当前远程目录的内容:sftp> ls - 下载文件
使用get命令将远程文件下载到本地目录。如果未指定本地路径,文件将被下载到当前本地工作目录:
替换sftp> get 文件名文件名为你想要下载的文件名。 - 上传文件
使用put命令将本地文件上传到远程目录。如果未指定远程路径,文件将被上传到当前远程工作目录:sftp> put 文件名 - 退出SFTP
完成文件传输后,输入quit命令退出SFTP命令行界面:sftp> quit
配置密钥对验证以进行SSH登录
1. 在客户端创建密钥对
首先,确保您有一个用户账户在客户端系统上。这里以admin用户为例。
# 创建用户(如果尚未存在)
useradd admin
# 设置用户密码(出于安全考虑,不建议在生产环境中这样做)
echo "123123" | passwd --stdin admin
# 切换到admin用户
su - admin
# 使用ssh-keygen工具为当前用户(admin)创建密钥对
ssh-keygen -t ecdsa
# 在提示时,直接回车以使用默认位置(/home/admin/.ssh/id_ecdsa)和文件名
# 如果需要,可以设置私钥的密码(passphrase),但请注意,这会在每次使用密钥时都需要输入
# 查看生成的密钥文件
ls -l .ssh/id_ecdsa*
# id_ecdsa 是私钥文件,权限应为600
# id_ecdsa.pub 是公钥文件,用于添加到SSH服务器
2. 将公钥文件上传至服务器
有多种方法可以将公钥文件上传到服务器。这里推荐使用ssh-copy-id命令,因为它会自动处理.ssh目录的创建和authorized_keys文件的更新。
# 使用ssh-copy-id命令将公钥复制到服务器的zhangsan用户下
ssh-copy-id -i ~/.ssh/id_ecdsa.pub zhangsan@192.168.80.10
# 如果服务器上的~/.ssh/目录不存在,ssh-copy-id会自动创建它
# 如果authorized_keys文件不存在,ssh-copy-id也会创建它,并将公钥追加到文件中
# 注意:确保zhangsan用户有权访问其~/.ssh/目录,并且该目录的权限设置为700
# 同时,authorized_keys文件的权限应设置为600
3. 在服务器中验证公钥导入
通常,使用ssh-copy-id后不需要手动操作。但如果您想验证公钥是否已正确导入,可以执行以下命令:
# 登录到服务器(如果尚未登录)
ssh zhangsan@192.168.80.10
# 在服务器上,检查authorized_keys文件
cat ~/.ssh/authorized_keys
# 确保您的公钥(从id_ecdsa.pub文件复制的内容)已包含在内
4. 在客户端使用密钥对验证进行SSH登录
现在,您应该能够使用密钥对而不是密码来登录到SSH服务器了。
# 尝试使用密钥对登录
ssh zhangsan@192.168.80.10
# 如果设置了私钥密码(passphrase),则系统会提示您输入它
# 否则,您应该能够直接登录而无需输入密码
# 注意:如果看到提示“lisi@192.168.80.10's password:”,这通常意味着您尝试以错误的用户名登录
# 确保您使用的是正确的用户名(在本例中为zhangsan)
5. 在客户端设置ssh代理功能,实现免交互登录
为了避免每次登录时都输入私钥密码,您可以使用ssh代理(如ssh-agent)来缓存私钥密码。
# 启动ssh代理(如果尚未运行)
eval "$(ssh-agent -s)"
# 将私钥添加到ssh代理中
ssh-add ~/.ssh/id_ecdsa
# 输入私钥密码(如果设置了的话)
# 现在,您应该能够免交互地登录到SSH服务器了
ssh zhangsan@192.168.80.10
请注意,ssh-agent和ssh-add命令通常只在当前会话中有效。如果您希望每次登录时都自动启动ssh代理并添加私钥,您可能需要将相关命令添加到您的shell配置文件中(如.bashrc或.bash_profile)。但是,请注意,这样做可能会带来安全风险,因为私钥密码(如果设置了的话)将被存储在内存中,直到您关闭ssh代理或注销会话为止。
增强SSH安全性措施
1. 禁用密码认证
在/etc/ssh/sshd_config文件中,将PasswordAuthentication设置为no,然后重启SSH服务。这样,SSH登录将仅允许使用密钥对认证。
2. 更改默认端口
将SSH服务的默认端口(22)更改为其他不常用的端口号,以减少被恶意扫描和攻击的风险。在/etc/ssh/sshd_config文件中修改Port行,然后重启SSH服务。
3. 禁止root用户登录
在/etc/ssh/sshd_config文件中,将PermitRootLogin设置为no,然后重启SSH服务。这可以防止攻击者直接以root用户身份登录服务器。
ssh相关概念补充
对称密钥和非对称密钥是密码学中的两种基本密钥类型,它们在加密和解密过程中有着不同的特点和用途。
对称密钥(Symmetric Key)
定义:
- 对称密钥加密,又称私钥加密或共享密钥加密,是指信息的发送方和接收方使用同一个密钥(或能够从加密密钥很容易推出解密密钥)对明文进行加密和解密运算。
特点:
- 加密解密使用同一密钥:发送和接收数据的双方使用相同的密钥对明文进行加密和解密。
- 加密处理简单:由于加密算法通常比较简便高效,密钥也相对简短,因此加密处理过程相对简单。
- 加解密速度快:适用于对大数据量进行加密,能够快速完成加密和解密操作。
- 密钥管理困难:由于双方都需要知道密钥,因此在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。若密钥泄露,加密数据将受到威胁。
常用算法:
- DES(数据加密标准):是最常用的对称加密算法之一,密匙长度为56位,分组长度为64位。为了提高加密强度,后来又发展出三重DES(3DES)加密。
- 其他算法还包括IDEA、RC5、RC6等。
非对称密钥(Asymmetric Key)
定义:
- 非对称密钥加密,又称公钥密钥加密,是指使用一对密钥(公钥和私钥)来分别完成加密和解密操作。公钥公开发布,私钥由用户自己秘密保存。
特点:
- 加密解密使用不同密钥:用公钥加密的数据只能用私钥解密,用私钥加密的数据也只能用公钥解密。
- 算法复杂:非对称密钥加密算法通常基于复杂的数学问题,如大数因子分解或离散对数问题等,使得加密和解密过程相对复杂。
- 加解密速度慢:相比于对称密钥加密,非对称密钥加密的加解密速度较慢,适用于对少量数据进行加密或对加密密钥进行加密保护。
- 密钥管理方便:公钥可以公开发布,无需保密,而私钥由用户自己保管,大大降低了密钥管理的难度。
典型算法:
- RSA:是最著名的非对称密钥加密算法之一,由三位发明人的姓氏首字母命名。它的安全性基于数论中的大整数因子分解问题。
- 其他算法还包括Cramer-Shoup、Elgamal、以及椭圆曲线密码学等。
对称密钥与非对称密钥的区别
| 对称密钥 | 非对称密钥 | |
|---|---|---|
| 密钥类型 | 单一密钥(或可从加密密钥推出解密密钥) | 一对密钥(公钥和私钥) |
| 加密解密过程 | 使用同一密钥进行加密和解密 | 公钥加密,私钥解密(或私钥加密,公钥解密) |
| 算法复杂度 | 相对简单 | 复杂,基于复杂的数学问题 |
| 加解密速度 | 快 | 慢 |
| 密钥管理 | 困难,需要安全传送和保管 | 方便,公钥可公开,私钥个人保管 |
| 应用场景 | 适用于大数据量加密 | 适用于少量数据加密或对加密密钥的保护 |
有端联想:HTTP和HTTPS的区别
HTTP(HyperText Transfer Protocol,超文本传输协议)和HTTPS(HyperText Transfer Protocol Secure,安全超文本传输协议)之间的主要联系在于它们都是用于在Web上传输数据的协议,但HTTPS在HTTP的基础上增加了安全层,提供了加密、认证和完整性保护
| 特性 | HTTP | HTTPS |
|---|---|---|
| 基础协议 | 超文本传输协议 | 安全超文本传输协议(HTTP + SSL/TLS) |
| 端口号 | 默认80 | 默认443 |
| 数据传输方式 | 明文传输,无加密 | 加密传输,使用SSL/TLS协议 |
| 加密方式 | 不进行加密 | 混合加密(非对称加密+对称加密) |
| 证书和认证 | 不进行身份认证 | 使用数字证书进行服务器身份认证 |
| 完整性保护 | 不提供 | 提供,通过消息认证码(MAC)等机制 |
| 性能 | 通常优于HTTPS | 可能低于HTTP,因加密和解密增加处理负担 |
| 安全性 | 低,存在被窃听、篡改的风险 | 高,提供加密、认证和完整性保护 |
使用RSA密钥对通过SSH登录服务器的实例:
1. 生成RSA密钥对
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
-t rsa指定生成RSA密钥对。-b 4096指定密钥长度为4096位(可选,默认为2048位)。-C "your_email@example.com"添加一个注释,以便识别密钥。
按提示操作,可以选择密钥文件的保存位置和设置密码(可选)。
2. 将公钥添加到服务器
将公钥复制到服务器:
ssh-copy-id user@server_ip_or_hostname
user是服务器上的用户名。server_ip_or_hostname是服务器的IP地址或主机名。
输入服务器密码后,公钥将被添加到服务器的~/.ssh/authorized_keys文件中。
3. 使用私钥登录服务器
ssh user@server_ip_or_hostname
如果设置了私钥密码,系统会提示你输入密码。
4. 验证登录
成功登录后,你应该能够在服务器上执行命令,而无需再次输入密码。
注意
- 确保服务器上的
~/.ssh目录和~/.ssh/authorized_keys文件的权限正确。通常,~/.ssh目录的权限应为700,~/.ssh/authorized_keys文件的权限应为600。 - 如果遇到权限问题,可以使用以下命令设置正确的权限:
chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys - 确保防火墙和SELinux(如果有)配置允许SSH连接。
TCP Wrappers访问控制
TCP wrappers 概述
TCP Wrappers(全称Transmission Control Protocol Wrappers)是一种在传输层提供安全控制的工具,主要通过libwrap.so库来控制服务连接,从而增强服务器的安全性。针对访问服务的客户端地址进行访问控制。
一、定义与功能
- 定义:TCP Wrappers为由inetd生成的服务提供了增强的安全性,是一种对使用/etc/inetd.sec的替换方法。
- 功能:TCP Wrappers的主要功能是控制谁可以访问服务器的特定服务,如rpcbind、vsftpd、sshd、telnet等。它通过拦截进入服务器的TCP连接请求,并根据预设的访问控制规则来决定是否允许这些连接。
二、工作原理
- TCP Wrappers有一个守护进程叫作tcpd,它负责拦截所有的TCP连接请求。
- 当有连接请求到达时,tcpd会读取系统管理员设置的访问控制文件(/etc/hosts.allow和/etc/hosts.deny),以决定是否允许该连接。
- 如果连接符合/etc/hosts.allow文件中的规则,则允许该连接通过;如果不符合且同时被/etc/hosts.deny文件中的规则所拒绝,则中断连接请求。
三、配置文件
- hosts.allow:该文件用于设置允许访问的规则。系统会首先检查这个文件,如果找到匹配的规则,则允许连接。
- hosts.deny:该文件用于设置拒绝访问的规则。如果/etc/hosts.allow中没有找到匹配的规则,并且/etc/hosts.deny中有匹配的规则,则拒绝连接。
这两个文件中的规则遵循特定的格式,如“daemon_list client_list [command]”,其中daemon_list是服务器daemon程序的列表,client_list是客户端的列表,command是可选的,表示当连接被允许或拒绝时执行的命令。
四、特点与优势
- 灵活性:TCP Wrappers允许系统管理员根据需要对不同的服务和客户端设置不同的访问控制规则。
- 安全性:通过提供防止主机名和主机地址欺骗的保护,TCP Wrappers增强了服务器的安全性。
- 易用性:TCP Wrappers的配置相对简单,管理员可以轻松地添加、修改或删除访问控制规则。
五、应用场景
TCP Wrappers广泛应用于需要增强服务器安全性的场景,如限制对SSH、FTP等服务的访问,防止未经授权的访问和攻击。
六、注意
- 在配置TCP Wrappers时,需要确保/etc/hosts.allow和/etc/hosts.deny文件的权限设置正确,以防止未授权修改。
- TCP Wrappers的安全性依赖于访问控制规则的正确设置,因此管理员需要定期审查和更新这些规则。
- 某些服务可能不支持TCP Wrappers的安全控制,因此在应用TCP Wrappers之前,需要确认服务是否已包含libwrap.so库。
TCP warppers 访问策略
一、策略文件
TCP Wrappers的访问策略主要通过两个文件来配置:/etc/hosts.allow和/etc/hosts.deny。(允许一个,拒绝所有。/允许所有,拒绝个别)
/etc/hosts.allow:该文件用于设置允许访问的规则。当TCP Wrappers接收到一个连接请求时,它会首先检查这个文件,如果找到匹配的规则,则允许连接。/etc/hosts.deny:该文件用于设置拒绝访问的规则。如果/etc/hosts.allow中没有找到匹配的规则,TCP Wrappers会继续检查这个文件,如果找到匹配的规则,则拒绝连接。
二、配置格式
这两个文件的配置记录格式相同,遵循<服务程序列表>:<客户端地址列表>的格式。
- 服务程序列表:可以是一个或多个服务程序的名称,用逗号分隔。特殊值
ALL代表所有服务。 - 客户端地址列表:可以是一个或多个客户端地址,同样用逗号分隔。地址可以是IP地址、网络段、域名等。特殊值
ALL代表任何客户端地址,LOCAL代表本机地址。此外,还可以使用通配符*和?,前者代表任意长度字符,后者仅代表一个字符。
三、访问控制原则
TCP Wrappers的访问控制遵循以下原则:
- 先检查
/etc/hosts.allow:如果找到匹配的策略,则允许访问。 - 再检查
/etc/hosts.deny:如果/etc/hosts.allow中没有找到匹配的策略,则继续检查/etc/hosts.deny。如果找到匹配的策略,则拒绝访问。 - 默认允许:如果上述两个文件都没有找到匹配的策略,则默认允许访问。
四、配置示例
假设只希望从IP地址为192.168.10.1的主机或者位于172.16.16.0/24网段的主机访问sshd服务,其他地址被拒绝,可以按照以下方式配置:
- 在
/etc/hosts.allow文件中添加:
以sshd:192.168.10.1,172.16.16..结尾表示匹配整个网段。 - 在
/etc/hosts.deny文件中添加:
这表示除了sshd:ALL/etc/hosts.allow中明确允许的地址外,其他所有地址都被拒绝访问sshd服务。
五、注意
- 在配置TCP Wrappers时,需要确保文件的权限设置正确,以防止未授权修改。
- 定期检查并更新访问控制规则,以确保系统的安全性。
- 注意区分IP地址、网络段和域名的表示方法,以及通配符的使用规则。
补充
数据流向
数据流向是数据在系统中流动和处理的过程,它反映了数据从产生、传输、处理到存储的整个路径。
概述
数据流向是指数据在信息系统中的流动路径和方向,它描述了数据如何在不同组件、系统或应用之间传递和处理。数据流向分析是理解系统数据处理逻辑和业务流程的重要手段。
组成部分
- 数据源:数据的起点,可以是数据库、文件、用户输入等。
- 数据传输:数据从数据源到目的地之间的移动过程,包括网络传输、文件传输等。
- 数据处理:对传输过来的数据进行加工、转换、计算等操作,以满足业务需求。
- 数据存储:将处理后的数据存储到数据库、文件系统等存储介质中,供后续使用。
分析方法
- 数据流图(DFD):数据流图是结构化分析方法中使用的工具,它以图形的方式描绘数据在系统中流动和处理的过程。数据流图包括数据源点、数据处理、数据存储和数据流等元素。
- 数据流向图:比数据流图更微观、更具体,用于表示业务数据方向,通过顺序方向体现数据中数据值的变化、方向、关系、层级等。数据流向图常被用于数据分析过程中,以图形方式展示数据的逻辑流向。
应用场景
- 数据仓库:在数据仓库的建设中,数据流向是关键的一环。数据从数据源经过清洗、转换后加载到数据仓库中,供后续的数据分析和决策支持使用。
- 业务流程分析:通过分析数据流向,可以了解业务流程中的关键节点和瓶颈,从而优化业务流程,提高业务效率。
- 系统架构设计:在系统设计阶段,明确数据流向有助于设计出合理、高效的系统架构,确保系统能够顺畅地处理数据。
注意
- 数据一致性:在数据传输和处理过程中,需要确保数据的一致性和准确性,避免数据丢失或错误。
- 安全性:数据在流动过程中可能面临安全威胁,如数据泄露、篡改等。因此,需要采取相应的安全措施来保护数据的安全。
- 性能优化:数据流向的设计应考虑到系统的性能需求,避免数据拥堵和延迟等问题。
ssh相关的基础命令
| 选项 | 描述 | 命令示例 |
|---|---|---|
-p | 指定远程服务器的端口号(默认是22) | ssh -p 2222 username@hostname |
-l | 指定登录用户名(也可以使用username@hostname的形式) | ssh -l username hostname 或 ssh username@hostname |
-i | 指定私钥文件用于认证 | ssh -i /path/to/private_key username@hostname |
-C | 请求压缩所有数据(在低速网络环境下有用) | ssh -C username@hostname |
-v | 详细模式,显示调试信息 | ssh -v username@hostname |
-q | 静默模式,减少输出信息 | ssh -q username@hostname |
-X | 启用X11转发(允许在远程会话中运行图形界面程序) | ssh -X username@hostname |
-x | 禁用X11转发 | ssh -x username@hostname |
-f | 后台执行ssh命令(常用于启动远程命令并立即返回本地) | ssh -f username@hostname 'command' |
-N | 不执行远程命令,通常与端口转发一起使用 | ssh -N -f -L localport:remotehost:remoteport username@hostname |
-L | 本地端口转发,将本地端口转发到远程主机的端口 | ssh -L 9000:localhost:80 username@hostname |
-R | 远程端口转发,将远程主机的端口转发到本地端口(需要远程主机的ssh服务器支持) | ssh -R 9000:localhost:80 username@hostname |
-b | 指定源IP地址用于连接 | ssh -b 192.168.1.100 username@hostname |
-o | 指定配置选项,可以覆盖配置文件中的设置 | ssh -o StrictHostKeyChecking=no username@hostname |
命令示例(命令行)
- 指定端口登录
ssh -p 2222 username@hostname - 使用私钥文件登录
ssh -i /path/to/private_key username@hostname - 启用X11转发
ssh -X username@hostname - 后台执行远程命令
ssh -f username@hostname 'long_running_command' - 本地端口转发
这个命令会在本地机器上监听9000端口,并将所有到该端口的连接转发到远程主机的80端口。ssh -N -f -L 9000:localhost:80 username@hostname - 远程端口转发
这个命令需要在远程主机上执行,它将远程主机的9000端口转发到本地机器的80端口(注意,这通常需要远程主机的ssh服务器支持远程端口转发)。ssh -R 9000:localhost:80 username@hostname - 指定源IP地址
如果本地机器有多个IP地址,可以使用这个选项指定用于SSH连接的源IP地址。ssh -b 192.168.1.100 username@hostname - 覆盖配置文件中的设置
这个命令会忽略对远程主机密钥的校验,通常用于自动化脚本中,但请注意这样做会降低安全性。ssh -o StrictHostKeyChecking=no username@hostname
scp命令
在SSH相关的常用命令中,确实scp(Secure Copy Protocol)是一个非常重要的工具,用于在本地和远程之间安全地传输文件。虽然scp不是SSH命令的直接选项,但它确实依赖于SSH协议来提供加密的文件传输功能。
scp的常用选项
| 选项 | 描述 |
|---|---|
-P | 指定远程服务器的端口号(注意是大写的P,与ssh的-p选项不同) |
-r | 递归复制整个目录 |
-p | 保留原文件的修改时间、访问时间和访问权限 |
-q | 静默模式,不显示传输过程中的信息 |
-v | 详细模式,显示传输过程中的详细信息 |
-i | 指定私钥文件用于认证 |
scp命令示例
- 复制文件到远程服务器
这个命令会将本地的文件复制到远程服务器的指定目录下。scp /path/to/local/file username@hostname:/path/to/remote/directory - 从远程服务器复制文件到本地
这个命令会从远程服务器的指定路径复制文件到本地的指定目录下。scp username@hostname:/path/to/remote/file /path/to/local/directory - 递归复制目录
使用scp -r /path/to/local/directory username@hostname:/path/to/remote/directory-r选项可以递归地复制整个目录及其内容。 - 指定端口号和私钥文件
这个命令指定了远程服务器的端口号和私钥文件,用于加密的文件传输。scp -P 2222 -i /path/to/private_key /path/to/local/file username@hostname:/path/to/remote/directory
注意
- 在使用
scp时,确保远程服务器的SSH服务已经开启,并且你有足够的权限来访问目标目录。 - 如果你的私钥文件设置了密码(passphrase),
scp命令在执行时会要求你输入密码。为了自动化脚本,你可以考虑使用ssh-agent来管理私钥密码,或者使用sshpass等工具来自动输入密码(但请注意,这可能会降低安全性)。 scp命令在传输过程中会加密数据,因此它是安全的。然而,它不支持断点续传,如果传输过程中断,你需要重新开始传输。如果需要断点续传功能,可以考虑使用rsync命令(通过SSH)或其他支持断点续传的文件传输工具。
504
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
