概述
ssh
(Secure Shell)是一个在 Linux 和 Unix 系统中广泛使用的网络协议,用于安全地访问和管理远程服务器。通过 ssh
,用户可以加密地执行命令、传输文件、并远程操作计算机,保证通信的安全性和隐私。
Linux在线手册
主要功能
- 安全远程访问: 允许用户通过加密连接安全地登录到远程服务器。
- 命令执行: 在远程服务器上执行命令,结果返回到本地机器。
- 文件传输: 使用与
ssh
相关的scp
(安全拷贝命令)和sftp
(安全文件传输协议)进行文件传输。 - 端口转发: 支持通过安全隧道转发本地和远程端口,用于运行安全的网络服务。
- 密钥管理: 支持使用密钥对代替密码进行认证,增加安全性。
语法
usage: ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-E log_file] [-e escape_char]
[-F configfile] [-I pkcs11] [-i identity_file]
[-J [user@]host[:port]] [-L [bind_address:]port:host:hostport]
[-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option]
[-p port] [-Q query_option] [-R [bind_address:]port:host:hostport]
[-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]]
[user@]hostname [command]
选项:
-1 强制使用1版本的SSH通信协议,有安全漏洞不建议使用
-2 强制使用2版本的SSH通信协议,一般使用该版本。
-4 强制ssh只支持IPv4。
-6 强制ssh只支持IPv6。
-A 允许转发代理认证。
-a 不允许转发代理认证。
-b <绑定的IP地址> 绑定IP地址作为ssh的源地址,只有在多地址的系统中才有用。
-l <账号> 以指定的账号登录到远程主机,默认以当前使用的账号登录到远程主机。
-p <端口> 指定登录远程主机的端口号,SSH端口号为22。
-C 将数据压缩传输。
-f <命令> 在远程主机执行命令,并将命令执行结果返回在本机显示。
-v 开启冗余模式,能尽可能多的打印出SSH信息,一般用来调试。
-D 动态端口转发
-R 远程端口转发
-L 本地端口转发
实例
命令 | 描述 | 例子 |
---|---|---|
ssh user@host | 登录到远程主机作为指定的用户 | ssh user@example.com |
ssh -p 端口 user@host | 使用指定端口连接到远程主机 | ssh -p 2222 user@example.com |
ssh -i 私钥文件 user@host | 使用指定的私钥文件进行连接 | ssh -i ~/.ssh/id_rsa user@example.com |
ssh -L 本地端口:远程主机:远程端口 user@host | 设置本地端口转发到远程端口 | ssh -L 8080:localhost:80 user@example.com |
ssh -R 远程端口:本地主机:本地端口 user@host | 设置远程端口转发到本地端口 | ssh -R 9090:localhost:9000 user@example.com |
ssh -X user@host | 启用 X11 转发,允许远程应用程序的图形界面显示在本地机器上 | ssh -X user@example.com |
ssh -v user@host | 开启详细模式,显示连接过程中的详细调试信息 | ssh -v user@example.com |
ssh 使用公钥登录
SSH 公钥登录是一种安全的方法,用于通过 SSH 协议远程登录到服务器,无需每次都输入密码。这种方法使用一对密钥(一个公钥和一个私钥)来实现安全认证。下面是设置和使用 SSH 公钥登录的步骤:
步骤 1: 生成密钥对
如果你还没有 SSH 密钥对(通常是 RSA 或者现在推荐的更安全的 ED25519 密钥),你可以在本地计算机上生成它们。打开终端并输入以下命令:
ssh-keygen -t ed25519 -C "your_email@example.com"
-t ed25519
指定生成 ED25519 类型的密钥。-C
后面跟的是一个注释,通常是你的邮箱地址,用于帮助你识别这把密钥。
按提示操作,你可以设置一个密钥的密码(passphrase),这是一个可选的安全层。输入命令后,密钥将被保存在 ~/.ssh/
目录下,通常是 id_ed25519
和 id_ed25519.pub
(公钥)。
步骤 2: 将公钥复制到服务器
将你的公钥复制到服务器的 ~/.ssh/authorized_keys
文件中。你可以手动做这件事,或者使用 ssh-copy-id
工具:
ssh-copy-id -i ~/.ssh/id_ed25519.pub username@server_address
这个命令会要求你输入用户的密码,以便首次登录并复制密钥。
步骤 3: SSH 使用密钥登录
一旦公钥被添加到服务器的 authorized_keys
文件中,你就可以开始使用密钥来进行 SSH 登录了,而不需要密码:
ssh -i ~/.ssh/id_ed25519 username@server_address
如果你的私钥不在默认位置,或者你想要指定使用某个特定的密钥,可以使用 -i
选项来指定私钥文件的路径。
步骤 4: 确保服务器配置允许公钥认证
确保你的 SSH 服务器配置(通常在 /etc/ssh/sshd_config
文件中)支持公钥认证:
PubkeyAuthentication yes
同时确认没有禁用这种认证方法,并且服务器的 SSH 服务需要重启来应用这些更改:
sudo systemctl restart ssh
通过以上步骤,你可以设置并使用 SSH 公钥进行登录,这种方式比使用密码更为安全和方便。
注意事项
- 安全性: 使用
ssh
时应确保使用强密码或密钥认证,并定期更新。 - 配置文件:
ssh
的配置通常保存在/etc/ssh/sshd_config
(服务器)和~/.ssh/config
(客户端)。 - 公私密钥管理: 使用密钥对进行身份验证时,务必保护好私钥,不要泄露给其他人。