摘要:在Linux系统管理和网络通信领域,SSH(Secure Shell)是一款关键工具,常用于安全远程登录、文件传输,深受系统管理员和开发者青睐。
在Linux系统管理和网络通信领域,SSH(Secure Shell)是一款关键工具,常用于安全远程登录、文件传输,深受系统管理员和开发者青睐。
下面将从基础概念、原理到实操,全方位剖析Linux下的SSH。
SSH专为替代Telnet这类不安全的远程连接协议而诞生。
Telnet以明文传输数据,用户名和密码极易被窃取、篡改。
SSH运用加密技术,保障数据传输的保密性、完整性和真实性,支持远程登录、命令执行、文件传输等操作,大幅提升远程管理的安全性和便捷性。
SSH融合非对称加密与对称加密技术。
建立连接时,客户端和服务器先进行密钥交换,服务器发送公钥给客户端,客户端生成随机会话密钥,用服务器公钥加密后回传,利用非对称加密确保会话密钥传输安全。
之后,双方采用会话密钥进行对称加密传输数据,对称加密速度快,适合大量数据加解密,保障传输效率。
同时,SSH采用消息认证码(MAC)保证数据完整性,防止传输中被篡改。
(一)客户端安装
多数Linux发行版默认安装SSH客户端,可通过以下命令检查是否安装:
ssh -V
若未安装,不同系统安装命令如下:
Debian或Ubuntu系统:
sudo apt updatesudo apt install openssh-clientCentOS或RHEL系统:
sudo yum updatesudo yum install openssh-clientArch Linux系统:
(二)服务端安装
不同Linux系统安装SSH服务端命令如下:
sudo apt updatesudo apt install openssh-serverCentOS或RHEL系统:
sudo yum updatesudo yum install openssh-serverArch Linux系统:
sudo pacman -S openssh安装完成后,启动并设置开机自启SSH服务,命令统一如下:
sudo systemctl start sshd # CentOS/RHEL/Archsudo systemctl start ssh # Debian/Ubuntusudo systemctl enable sshd # CentOS/RHEL/Archsudo systemctl enable ssh # Debian/Ubuntu为确保安装成功,使用以下命令检查SSH服务状态:
sudo systemctl status sshd # CentOS/RHEL/Archsudo systemctl status ssh # Debian/Ubuntu若服务未正常运行,根据提示信息排查问题。比如检查防火墙设置,开放SSH端口(默认为22):
CentOS或RHEL系统(使用firewalld):
sudo firewall - cmd --add - port = 22/tcp -- permanentsudo firewall - cmd -- reloadDebian或Ubuntu系统(使用ufw):
sudo ufw allow 22/tcp(一)远程登录
安装完成后,使用SSH远程登录,基本命令格式为:
ssh username@remote_host若远程主机使用非默认端口,如2222端口,需加上 -p 参数指定端口:
ssh -p 2222 username@remote_host首次登录时,系统提示是否继续连接并显示远程主机指纹信息,输入 yes,系统保存公钥到 ~/.ssh/known_hosts ,再输入密码即可登录。
若出现连接超时等问题,使用 ping 命令测试网络连通性:
ping remote_host(二)执行远程命令
在本地执行远程命令,命令格式为:
ssh username@remote_host "command"执行多条命令时,用分号分隔:
ssh username@remote_host "command1; command2; command3"若命令执行出现权限不足,根据提示在远程命令前添加 sudo 获取权限,如:
ssh username@remote_host "sudo command"若远程主机的 sudo 需要输入密码,可在本地配置 sshpass 工具(需提前安装),避免每次输入密码(Debian/Ubuntu安装 sshpass ):
sudo apt install sshpasssshpass -p 'your_password' ssh username@remote_host "sudo command"(一)修改默认端口
在 /etc/ssh/sshd_config 文件中,将 Port 22 改为其他未占用端口,如2222。修改后重启SSH服务:
sudo systemctl restart sshd # CentOS/RHEL/Archsudo systemctl restart ssh # Debian/Ubuntu修改端口后,在防火墙中开放新端口:
sudo firewall - cmd --add - port = 2222/tcp -- permanentsudo firewall - cmd -- reloadsudo ufw allow 2222/tcp(二)禁止root用户直接登录
在 /etc/ssh/sshd_config 文件中,将 PermitRootLogin yes 改为 PermitRootLogin no ,然后重启SSH服务(命令同上)。
之后若需以root权限执行操作,先普通用户登录,再用 sudo 命令提权。
(三)使用密钥认证
在客户端使用 ssh - keygen 命令生成密钥对,按提示操作生成公钥和私钥。
使用 ssh - copy - id 命令将公钥复制到远程主机的 ~/.ssh/authorized_keys 文件:
ssh - copy - id username@remote_host若远程主机不支持 ssh - copy - id 命令,手动将本地公钥(通常位于 ~/.ssh/id_rsa.pub )内容复制到远程主机的 ~/.ssh/authorized_keys 文件:
cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys"若密钥认证出现问题,检查 ~/.ssh 目录权限(通常目录权限应为700,文件权限应为600):
chmod 700 ~/.sshchmod 600 ~/.ssh/id_rsachmod 600 ~/.ssh/id_rsa.pub本地端口转发将本地端口映射到远程主机指定端口,命令格式为:
ssh -L local_port:remote_host:remote_port username@remote_hostssh -f -L local_port:remote_host:remote_port username@remote_hostsudo lsof -i :8080(二)SSH代理
在 ~/.ssh/config 文件中配置代理:
Host intermediate_hostHostName 192.168.1.100User testuserHost target_hostHostName 192.168.2.100User another_userProxyJump intermediate_host也可用 ProxyCommand 参数进行更灵活配置:
Host target_hostHostName 192.168.2.100User another_userProxyCommand ssh -W %h:%p intermediate_host若代理配置后无法正常访问,检查代理主机的网络连接和SSH配置,确保代理主机可正常访问目标主机,且代理主机的SSH服务配置允许代理连接。
SSH是Linux系统的必备工具,功能强大、应用广泛。
从基础远程登录到复杂安全配置、进阶应用,为用户提供高效、安全的远程管理和网络通信方案。
掌握SSH,对Linux系统管理员和开发者提升工作效率、保障系统安全至关重要。
来源:三戒逍遥
