SSH 总结

对于linux运维工作者而言，使用ssh远程远程服务器是再熟悉不过的了！对于ssh的一些严格设置也关系到服务器的安全维护，今天在此，就本人工作中使用ssh的经验而言，做一些总结记录来下。

-bash: ssh: command not found
解决办法："yum install －y openssh-server openssh-clinets"

1.  ssh登录时提示：Read from socket failed: Connection reset by peer.
尝试了很多解决方案均无效，无奈！卸载sshd，然后重新安装
# yum remove openssh*
# rm -rf /etc/ssh*
# yum install -y openssh*
# systemctl start sshd.service

2.  ssh远程登陆后的提示信息
我们经常会使用中控机ssh信任跳转到其他机器上，但是不知道有没有运维朋友注意到ssh跳转成功后的终端显示的提示信息？
这些提示信息，是为了方便我们在第一时间知道ssh跳转到哪台目标机上，也是为了避免长期频繁跳转后由于大意造成的误入机器操作的风险，我们通常会在ssh跳转到目标机器后显示一些提示信息，在一些国家, 登入给定系统前, 给出未经授权或者用户监视警告信息, 将会受到法律的保护.如下：
[root@bastion-IDC ~]# ssh -p22 192.168.1.15
Last login: Fri Jul 15 13:26:53 2016 from 124.65.197.154
===================================
|||||||||||||||||||||||||||||||||||
===================================
HOSTNAME: monit-server
IPADDRES: 192.168.1.15
===================================
IDC监控机
===================================

那么上面的提醒信息是在哪设置的呢？
做法一：其实很简单，这些信息是在目标机器的/etc/motd文件里自定义的
[root@monit-server ~]# cat /etc/motd
===================================
|||||||||||||||||||||||||||||||||||
===================================
HOSTNAME: monit-server
IPADDRES: 192.168.1.15
===================================
IDC监控机
===================================

做法二：在目标机器的/etc/ssh/sshd_config文件里定义，然后重启sshd服务即可。这两种做法是一致的效果！
Banner /etc/sshfile

[root@host-192-168-1-117 ~]# cat /etc/sshfile
this is 192.168.1.117

远程登陆：
[root@linux-node2 ~]# ssh 192.168.1.117
this is 192.168.1.117
[root@host-192-168-1-117 ~]#

3.  实现SSH无密码登录:使用ssh-keygen和ssh-copy-id
ssh-keygen 产生公钥与私钥对.
ssh-copy-id 将本机的公钥复制到远程机器的authorized_keys文件中，ssh-copy-id也能让你有到远程机器的/home/username/.ssh和~/.ssh/authorized_keys的权利.
操作记录：
1）第一步:在本地机器上使用ssh-keygen产生公钥私钥对
#ssh-keygen -t rsa //一路默认回车
这样就会在当前用户家目录下的.ssh目录里产生公钥和私钥文件：id_rsa.pub、id_rsa。可以将id_rsa.pub公钥文件复制成authorized_keys
2）第二步：可以手动将本机的id_rsa.pub公钥文件内容复制到远程目标机的.ssh/authorized_keys文件中，可以就可以实现ssh无密码登陆。
当然，也可以在本机直接使用ssh-copy-id将公钥复制到远程机器中
#ssh-copy-id -i /root/.ssh/id_rsa.pub user@ip ［把本机的公钥拷贝到远程机器上，比如B机器］
也可以不加公钥路径，会默认加上
#ssh-copy-id user@ip
注意:
ssh-copy-id 将key写到远程机器的 ~/ .ssh/authorized_key.文件（文件会自动创建）中

1 2	对于非22端口(比如22222)情况下的ssh-copy-id的使用，需要这样用： # ssh-copy-id -i  /root/.ssh/id_rsa.pub  '-p 22222 root@192.168.18.18'

3）这样，本机登录到上面远程机器（B机器）就不用输入密码
#ssh user@ip

4.  ssh登录失败,报错：Pseudo-terminal will not be allocated because stdin
现象：
需要登录线上的一台目标机器A,但是不能直接登录（没有登录权限），需要先登录B机器，然后从B机器跳转到A机器。
脚本如下：
localhost:~ root# cat IDC-7.sh
#!/bin/bash
ssh root@101.201.114.106 "ssh -p25791 root@103.10.86.7"

但是在执行脚本的时候报错如下：
Pseudo-terminal will not be allocated because stdin

原因：
伪终端将无法分配，因为标准输入不是终端。
解决办法：
需要增加-t -t参数来强制伪终端分配，即使标准输入不是终端。
在脚本里添加－t －t参数即可，如下：
localhost:~ root# cat IDC-7.sh
#!/bin/bash
ssh root@101.201.114.106 "ssh －t －t -p25791 root@103.10.86.7"

或者
localhost:~ root# cat IDC-7.sh
#!/bin/bash
ssh －t root@101.201.114.106 "ssh －t －t -p25791 root@103.10.86.7"

5.  ssh远程登陆缓慢问题
解决办法：
编译/etc/ssh/sshd_config配置文件：
UseDNS no
GSSAPIAuthentication no
然后重启sshd服务即可！

6.  ssh登录出现：permission denied（publickey.gssapi-with-mic）
解决方法：
修改/etc/ssh/sshd-config文件，将其中的：
PermitRootLogin no修改为yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys前面加上#屏蔽掉
PasswordAuthentication no修改为yes
最后重启sshd服务即可！

7.  ssh连接错误问题
1)  在使用ssh或scp或rsync远程连接的时候，出现如下报错：
Address **** maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
解决方法：
修改本机ssh_config文件
[root@kvmserver ~]# vim /etc/ssh/ssh_config
GSSAPIAuthentication no
[root@kvmserver ~]#/etc/init.d/sshd restart

问题迎刃而解～～

2)  本机scp、rsync命令都已具备，但是在使用scp或rsync远程同步的时候报错：
bash: scp: command not found
bash: rsync: command not found
原因：是由于远程机器上没有安装scp或rsync造成的！安装这两个命令即可～
yum install openssh-clients
yum install rsync

3）远程ssh连接时错误“ The X11 forwarding request was rejected!”
解决方法：
将sshd_config中 设置 X11Forwarding yes
重启sshd服务。

8.  ssh连接超时被踢出问题
当使用xshell，SecureCRT等客户端访问linux服务器，有时候会出现终端定期超时被踢出的情况。
下面介绍三种方法来防止超时被踢出的方法，后两种情况的设置方法以及通过设置shell变量来达到此目的的方法：

1、 配置服务器
# vim /etc/ssh/sshd_config
1）找到 ClientAliveInterval参数，如果没有就自己加一行
数值是秒，比如你设置为120 ，则是2分钟
ClientAliveInterval 120
2）ClientAliveCountMax
指如果发现客户端没有响应，则判断一次超时，这个参数设置允许超时的次数。如3 、5等自定义

修改两项参数后如下：
----------------------------
ClientAliveInterval 120
ClientAliveCountMax 3                      //0 不允许超时次数
修改/etc/ssh/sshd_config文件，将 ClientAliveInterval 0和ClientAliveCountMax 3的注释符号去掉,将ClientAliveInterval对应的0改成60，没有就自己输入。
ClientAliveInterval指定了服务器端向客户端请求消息的时间间隔, 默认是0，不发送.而ClientAliveInterval 60表示每分钟发送一次, 然后客户端响应, 这样就保持长连接了.ClientAliveCountMax, 使用默认值3即可.ClientAliveCountMax表示服务器发出请求后客户端没有响应的次数达到一定值, 就自动断开. 正常情况下, 客户端不会不响应.
重新加载sshd服务。退出客户端，再次登陆即可验证。
3）重启sshd service
# /etc/init.d/ssh restart

2、 配置客户端
#vim /etc/ssh/ssh_config
然后找到里面的
ServerAliveInterval
参数，如果没有你同样自己加一个就好了
参数意义相同，都是秒数，比如5分钟等
ServerAliveInterval 300

3、# echo export TMOUT=1000000 >> /root/.bash_profile; source .bash_profile
在Linux 终端的shell环境中通过设置环境变量TMOUT来阻止超时。如果显示空白,表示没有设置, 等于使用默认值0, 一般情况下应该是不超时. 如果大于0, 可以在如/etc/profile之类文件中设置它为0.

9.  ssh远程登陆，公钥授权不通过：Permission denied (publickey,gssapi-keyex,gssapi-with-mic)
公司IDC机房服务器，之前做了跳板机环境，其他机器只允许从跳板机ssh无密码信任过去，并且在信任关系做好后，禁用了其他机器的密码登陆功能（sshd_config文件里设置“PermitEmptyPasswords no”）

后来跳板机出现了问题，打算重装这台机器，重装前取消了其他机器里只允许跳板机ssh信任关系，并且恢复了密码登陆功能：
[root@bastion-IDC ssh]# vim /etc/ssh/sshd_config
PermitEmptyPasswords yes
[root@bastion-IDC ssh]# service sshd restart

修改后，当时在其他机器间是可以ssh相互登陆，当时没在意，以为一切ok了。
可是，到了第二天，再次ssh登陆时，尼玛，居然报错了~~
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

最后发现是selinux惹的祸！关闭它即可。
1）临时关闭selinux
[root@bastion-IDC ssh]# setenforce 0
[root@bastion-IDC ssh]# getenforce
Permissive
2）永久关闭
[root@bastion-IDC ssh]# vim /etc/