SSH是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。
最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。
1. 命令格式
ssh user@host_ip //以用户名user,登录远程主机
ssh host_ip //如果本地用户名与远程用户名一致,登录时可以省略用户名
ssh -p 2222 user@host_ip
//SSH的默认端口是22,使用p参数,可以修改这个端口。上面这条命令表示,ssh直接连接远程主机的2222端口
2. 命令功能
用于计算机之间的加密登录。
3. 命令参数
-D,绑定本地端口,一旦有数据传向那个端口,就自动把它转移到SSH连接上面,发往远程主机
-L,参数接受三个值,分别是”本地端口:目标主机:目标主机端口”
-R,参数接受三个值,分别是”远程主机端口:目标主机:目标主机端口”
-N,表示只连接远程主机,不打开远程shell
-T,表示不为这个连接分配TTY
-f,表示SSH连接成功后,会话转入后台运行。这样你就可以在不中断SSH连接的情况下,在本地shell中执行其他操作
4. 使用实例
例一:口令登录远程主机
$ ssh user@host_ip
The authenticity of host 'host (12.18.429.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f
:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
Password: (enter password)
说明:上文意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?所谓”公钥指纹”,是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。假定经过风险衡量以后,用户决定接受这个远程主机的公钥。系统会出现一句提示,表示host主机已经得到认可。然后,会要求输入密码。如果密码正确,就可以登录了。当远程主机的公钥被接受以后,它就会被保存在文件$HOME/.ssh/known_hosts
之中,下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。
例二:公钥登录远程主机
命令:
$ cd
$ ssh-keygen
// 在本地$HOME/.ssh/目录下,生成两个新文件:id_rsa.pub(公钥)和id_rsa(私钥)
$ ssh-copy-id user@host
//将本地用户的公钥id_rsa.pub(一段字符串),传送到远程主机$HOME/.ssh/下,只要把它追加在authorized_keys文件的末尾
$ ssh user@host_ip
//直接登陆远程主机,不用输入口令
如果还是不能远程登陆,则需要打开远程主机的/etc/ssh/sshd_config文件,检查下面几行前的“#”注释是否去掉,然后重启远程主机的ssh服务。
# more /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
# service ssh restart
//ubuntu系用,redhat系也可用systemctl restart sshd,debian系可用/etc/init.d/ssh restart
说明:运行ssh-copy-id user@host
以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,可以设置一个。
另外,如果不使用上面的ssh-copy-id
,而改用下面的命令,则可以解释公钥的保存过程:
$ ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub
这条命令由多个语句组成,依次分解开来看:
$ ssh user@host
表示登录远程主机mkdir -p .ssh && cat >> .ssh/authorized_keys
表示登录后,在远程shell上执行的命令。$ mkdir -p .ssh
表示如果用户主目录中的.ssh目录不存在,就创建一个;cat >> .ssh/authorized_keys < ~/.ssh/id_rsa.pub
的作用是,将本地的公钥文件~/.ssh/id_rsa.pub
,重定向追加到远程文件authorized_keys
的末尾。写入authorized_keys文件后,公钥登录的设置就完成了。
例三:在本地命令行,操作远程主机
命令:
$ cd && tar czv src | ssh user@host_ip 'tar xz'
//将$HOME/src/目录下的所有文件,先压缩成*.tar.gz文件,再复制并解压到远程主机的$HOME/src/下(默认与本地用户相同的主目录)
$ ssh user@host_ip 'tar cz src' | tar xzv
//将远程主机$HOME/src/目录下面的所有文件,先压缩成*.tar.gz文件,再复制并解压到本地用户的当前目录
$ ssh user@host_ip 'ps ax | grep httpd' //查看远程主机是否运行httpd进程
说明:SSH不仅可以登录远程主机,还可以在用户和远程主机之间,建立命令和数据的传输通道,在本地命令行操作远程主机。
例四:绑定本地端口
$ ssh -D 8080 user@host_ip //让本地8080端口的数据,通过SSH协议传向远程主机
说明:既然SSH可以传送数据,那么我们可以让那些不加密的网络连接,全部改走SSH连接,从而提高安全性。SSH会建立一个socket,监听本地的8080端口。一旦有数据传向那个端口,socket就自动把它转移到SSH连接上面,发往远程主机。这样,8080端口就从一个不加密端口变成一个加密端口。
例五:本地端口转发
场景:假定host1是本地主机,host2是远程主机,由于种种原因,两台主机之间无法连通。但是,还有一台host3可以同时连通前两台主机。但是,我们可以通过host3,将host1连上host2。
- 通过跳板机,实现多主机多协议的端口转发
$ ssh -L 2121:host2_ip:21 host3_ip
// 将本地主机的2121端口,通过host1与host3、host3与host2的ssh连接,转发到host2的21端口
$ ftp host1_ip:2121
// 连接host1的2121端口,就等于连上了host2的21端口。
- 在两台互通的主机之间,实现“本地端口转发”
$ ssh -L 5900:host3_ip:5900 host3_ip
// 将本地host1的5900端口,转发到远程主机host3的5900端口。"本地端口转发"使得host1和host3之间仿佛形成一个数据传输的秘密隧道,因此又被称为"SSH隧道"。
- 通过跳板机,在两台不互通的主机之间,建立“端口转发”
$ ssh -L 9001:host2_ip:22 host3_ip
// 将本地主机ssh端口9001通过host3的ssh端口,转发到host2的22端口(ssh协议)
$ ssh -p 9001 localhost_ip
// ssh登录本机的9001端口,就相当于登录host2的22端口
例六:远程端口转发
场景:host1是外网主机,host2、host3是内网主机,host1与host2之间不互通,必须借助host3转发。但是,特殊情况出现了,host3是一台内网主机,它可以连接外网host1,但是外网host1连不上内网host3。这时,”本地端口转发”就不能用了,需要使用”远程端口转发”(remote forwarding),即绑定远程端口的转发。在host3上执行:
$ ssh -R 2121:host2:21 host1_ip
// 让host1监听它自己的2121端口,然后把host1的数据经过host3与host1连接,host3与host2的连接,转发到host2的21端口
$ ftp localhost_ip:2121
//在host1上连接host2
“远程端口转发”的前提条件是,host1和host3两台主机都有sshd守护进程和ssh客户端。
例七:SSH连接只用来传数据,不执行远程操作
命令:
$ ssh -NT -D 8080 host_ip
//将本地8080端口绑定到ssh连接上,会话只用来传数据,不执行远程操作
$ ssh -f -D 8080 host_ip //用kill命令杀掉进程,关闭这个后台连接