使用SSH+SFTP操做終端全解析，告別XShell

時間 2019-11-12

標籤使用 ssh+sftp ssh sftp 終端解析告別 xshell 欄目 FTP 简体版

原文原文鏈接

1.前言

在Windows系統下操做遠程服務器的方式不少，好比XShell+XFTP組合，亦或是PuTTY+WinSCP組合，但在Mac系統下登錄遠程服務器，並無這些工具供咱們使用。相比較而言，在Mac下更多的是依賴終端輸入SSH命令登錄遠程服務器。html

使用SSH命令行的好處就是能夠近距離接觸底層，用的越多，用的越溜，對SSH的原理就越瞭解。相反，使用現成的SSH工具（PuTTY、XShell），咱們其實並不會有涉及使用ssh命令的機會，對大多數人而言，怕是隻知道最基本的ssh root@ip。算法

本文將帶你們瞭解ssh的原理與使用技巧，幫助更多終端愛好者更方便更爲所欲爲的使用終端。shell

2.SSH是什麼

SSH服務實際上是一個守護進程(demon)，系統後臺會監聽客戶端的鏈接，ssh服務端的進程名爲sshd，負責實時監聽客戶端的請求(IP 22端口)，包括公共祕鑰等交換等信息。SSH服務端由2部分組成： openssh(提供ssh服務)、openssl(提供加密的程序)。編程

3.對稱加密和非對稱加密

在學習SSH的工做機制以前，咱們須要瞭解對稱加密和非對稱加密的原理。緩存

對稱加密安全

所謂對稱加密，是採用對稱密碼編碼技術的加密措施，它的特色是文件加密和解密都是使用相同的密鑰。服務器

這種方法在密碼學中叫作對稱加密算法，對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數據加密標準（DES），另外一個對稱密鑰加密系統是國際數據加密算法（IDEA），它比DES的加密性好，並且對計算機功能要求也沒有那麼高。cookie

非對稱加密網絡

與對稱加密算法不一樣，非對稱加密算法須要兩個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。session

公開密鑰與私有密鑰是一對，若是用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；若是用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。

由於加密和解密使用的是兩個不一樣的密鑰，因此這種算法叫做非對稱加密算法。

3.SSH如何工做

瞭解了對稱加密和非對稱加密是什麼以後，再來了解SSH如何使用非對稱加密技術，大體流程以下：

在服務器啓動的時候會產生一個密鑰(也就是768bit公鑰)，本地的ssh客戶端發送鏈接請求到ssh服務器，服務器檢查鏈接點客戶端發送的數據和IP地址，確認合法後發送密鑰(768bits公鑰)給客戶端，此時客戶端將本地私鑰(256bit)和服務器的公鑰(768bit)結合成密鑰對key(1024bit)，發回給服務器端，服務端利用本身的私鑰解密，讀取出客戶端的本地私鑰，創建鏈接經過key-pair數據傳輸，在此以後，服務端與客戶端就愉快的使用客戶端私鑰進行溝通。

3.SSH命令詳解

SSH命令最簡單的用法只須要指定用戶名和主機名參數便可，主機名能夠是 IP 地址或者域名。

ssh root@192.168.0.1

指定端口號

SSH 默認鏈接到目標主機的 22 端口上，咱們可使用 -p 選項指定端口號。

ssh -p 22 root@192.168.0.1

追加命令

使用 SSH 在遠程主機執行一條命令並顯示到本地，而後繼續本地工做，只須要直接鏈接並在後面加上要執行的命令。

ssh -p 22 root@192.168.0.1 ls -l

圖形界面

在遠程主機運行一個圖形界面的程序，只需使用SSH的-X選項，而後主機就會開啓 X11轉發功能。

ssh -X 22 root@192.168.0.1

綁定源地址

若是你的客戶端有多於兩個以上的 IP 地址，你就不可能分得清楚在使用哪個 IP 鏈接到 SSH 服務器。爲了解決這種狀況，咱們可使用 -b 選項來指定一個IP 地址。這個 IP 將會被使用作創建鏈接的源地址。

ssh -b 192.168.0.200 root@192.168.0.103

對全部數據請求壓縮

使用 -C 選項，全部經過 SSH 發送或接收的數據將會被壓縮，而且仍然是加密的。

ssh -C root@192.168.0.103

打開調試模式

由於某些緣由，咱們想要追蹤調試咱們創建的 SSH 鏈接狀況。SSH 提供的 -v 選項參數正是爲此而設的。其能夠看到在哪一個環節出了問題。

ssh -v root@192.168.0.103

4.SSH免密登錄

經過SSH命令登錄遠程服務器須要手動的每次輸入密碼，解決這個問題其實很是簡單，經過 ssh-keygen 生成本地公鑰和私鑰，將公鑰Copy到遠程服務器就能夠。

1.構建 SSH 密鑰對

使用 ssh-keygen -t +算法名，如今大多數都使用 RSA 或者 DSA 算法。

若是你在安裝Git時已經作過此步驟，那麼忽略這一步便可。

ssh-keygen -t rsa

2.拷貝本地公鑰給遠程服務器

ssh-copy-id root@192.168.25.110

你能夠經過參數 -i 指定公鑰文件

ssh-copy-id -i id_dsa.pub omd@192.168.25.110

3.查看是否已經添加了對應主機的密鑰

使用 -F 選項

ssh-keygen -F 192.168.0.1

4.刪除主機密鑰

使用-R選項，也能夠在 ~/.ssh/known_hosts 文件中手動刪除

ssh-keygen -R 192.168.0.1

5.如何配置 SSH

SSH 的配置文件在 /etc/ssh/sshd_config 中，你能夠看到端口號，空閒超時時間等配置項。

cat /etc/ssh/sshd_config

/etc/ssh/sshd_config 配置文件詳細說明

#############1. 關於 SSH Server 的總體設定##############
#Port 22    
##port用來設置sshd監聽的端口，爲了安全起見，建議更改默認的22端口爲5位以上陌生端口
#Protocol 2,1
Protocol 2
##設置協議版本爲SSH1或SSH2，SSH1存在漏洞與缺陷，選擇SSH2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress用來設置sshd服務器綁定的IP地址
##監聽的主機適配卡，舉個例子來講，若是您有兩個 IP， 分別是 192.168.0.11 及 192.168.2.20 ，那麼只想要
###開放 192.168.0.11 時，就能夠設置爲：ListenAddress 192.168.0.11
####表示只監聽來自 192.168.0.11 這個 IP 的SSH聯機。若是不使用設定的話，則預設全部接口均接受 SSH

#############2. 說明主機的 Private Key 放置的檔案##########　　　　　　　　　　　　　　　　　
#ListenAddress ::
##HostKey用來設置服務器祕鑰文件的路徑
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
##設置SSH version 1 使用的私鑰

# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
##設置SSH version 2 使用的 RSA 私鑰

#HostKey /etc/ssh/ssh_host_dsa_key
##設置SSH version 2 使用的 DSA 私鑰


#Compression yes　　　　　　
##設置是否可使用壓縮指令

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
##KeyRegenerationInterval用來設置多長時間後系統自動從新生成服務器的祕鑰，
###（若是使用密鑰）。從新生成祕鑰是爲了防止利用盜用的密鑰解密被截獲的信息。

#ServerKeyBits 768
##ServerKeyBits用來定義服務器密鑰的長度
###指定臨時服務器密鑰的長度。僅用於SSH-1。默認值是 768(位)。最小值是 512 。


# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
##SyslogFacility用來設定在記錄來自sshd的消息的時候，是否給出「facility code」

#LogLevel INFO
##LogLevel用來設定sshd日誌消息的級別


#################3.安全認證方面的設定################
#############3.一、有關安全登陸的設定###############
# Authentication:
##限制用戶必須在指定的時限內認證成功，0 表示無限制。默認值是 120 秒。

#LoginGraceTime 2m
##LoginGraceTime用來設定若是用戶登陸失敗，在切斷鏈接前服務器須要等待的時間，單位爲妙

#PermitRootLogin yes
##PermitRootLogin用來設置能不能直接以超級用戶ssh登陸，root遠程登陸Linux很危險，建議註銷或設置爲no

#StrictModes yes
##StrictModes用來設置ssh在接收登陸請求以前是否檢查用戶根目錄和rhosts文件的權限和全部權，建議開啓
###建議使用默認值"yes"來預防可能出現的低級錯誤。

#RSAAuthentication yes
##RSAAuthentication用來設置是否開啓RSA密鑰驗證，只針對SSH1

#PubkeyAuthentication yes
##PubkeyAuthentication用來設置是否開啓公鑰驗證，若是使用公鑰驗證的方式登陸時，則設置爲yes

#AuthorizedKeysFile     .ssh/authorized_keys
##AuthorizedKeysFile用來設置公鑰驗證文件的路徑，與PubkeyAuthentication配合使用,默認值是".ssh/authorized_keys"。
###該指令中可使用下列根據鏈接時的實際狀況進行展開的符號： %% 表示'%'、%h 表示用戶的主目錄、%u 表示該用戶的用戶名
####通過擴展以後的值必需要麼是絕對路徑，要麼是相對於用戶主目錄的相對路徑。

 
#############3.二、安全驗證的設定###############
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
##是否使用強可信主機認證(經過檢查遠程主機名和關聯的用戶名進行認證)。僅用於SSH-1。
###這是經過在RSA認證成功後再檢查 ~/.rhosts 或 /etc/hosts.equiv 進行認證的。出於安全考慮，建議使用默認值"no"。

# similar for protocol version 2
#HostbasedAuthentication no
##這個指令與 RhostsRSAAuthentication 相似，可是僅能夠用於SSH-2。

# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no
##IgnoreUserKnownHosts用來設置ssh在進行RhostsRSAAuthentication安全驗證時是否忽略用戶的「/$HOME/.ssh/known_hosts」文件
# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes
##IgnoreRhosts用來設置驗證的時候是否使用「~/.rhosts」和「~/.shosts」文件

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
##PasswordAuthentication用來設置是否開啓密碼驗證機制，若是用密碼登陸系統，則設置yes

#PermitEmptyPasswords no
#PermitEmptyPasswords用來設置是否容許用口令爲空的帳號登陸系統，設置no

#PasswordAuthentication yes
##是否容許使用基於密碼的認證。默認爲"yes"。
PasswordAuthentication yes

# Change to no to disable s/key passwords
##設置禁用s/key密碼
#ChallengeResponseAuthentication yes
##ChallengeResponseAuthentication 是否容許質疑-應答(challenge-response)認證
ChallengeResponseAuthentication no


########3.三、與 Kerberos 有關的參數設定，指定是否容許基於Kerberos的用戶認證########
#Kerberos options
#KerberosAuthentication no
##是否要求用戶爲PasswdAuthentication提供的密碼必須經過Kerberos KDC認證，要使用Kerberos認證，
###服務器必須提供一個能夠校驗KDC identity的Kerberos servtab。默認值爲no

#KerberosOrLocalPasswd yes
##若是Kerberos密碼認證失敗，那麼該密碼還將要經過其餘的的認證機制，如/etc/passwd
###在啓用此項後，若是沒法經過Kerberos驗證，則密碼的正確性將由本地的機制來決定，如/etc/passwd，默認爲yes

#KerberosTicketCleanup yes
##設置是否在用戶退出登陸是自動銷燬用戶的ticket

#KerberosGetAFSToken no
##若是使用AFS而且該用戶有一個Kerberos 5 TGT,那麼開啓該指令後，
###將會在訪問用戶的家目錄前嘗試獲取一個AFS token,並嘗試傳送 AFS token 給 Server 端，默認爲no

 

####3.四、與 GSSAPI 有關的參數設定，指定是否容許基於GSSAPI的用戶認證，僅適用於SSH2####
##GSSAPI 是一套相似 Kerberos 5 的通用網絡安全系統接口。
###若是你擁有一套 GSSAPI庫，就能夠經過 tcp 鏈接直接創建 cvs 鏈接，由 GSSAPI 進行安全鑑別。

# GSSAPI options
#GSSAPIAuthentication no
##GSSAPIAuthentication 指定是否容許基於GSSAPI的用戶認證，默認爲no

GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
##GSSAPICleanupCredentials 設置是否在用戶退出登陸是自動銷燬用戶的憑證緩存
GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
##設置是否經過PAM驗證
UsePAM yes

# Accept locale-related environment variables
##AcceptEnv 指定客戶端發送的哪些環境變量將會被傳遞到會話環境中。
###[注意]只有SSH-2協議支持環境變量的傳遞。指令的值是空格分隔的變量名列表(其中可使用'*'和'?'做爲通配符)。
####也可使用多個 AcceptEnv 達到一樣的目的。須要注意的是，有些環境變量可能會被用於繞過禁止用戶使用的環境變量。
#####因爲這個緣由，該指令應當當心使用。默認是不傳遞任何環境變量。

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
AllowTcpForwarding yes

##AllowTcpForwarding設置是否容許容許tcp端口轉發，保護其餘的tcp鏈接

#GatewayPorts no
##GatewayPorts 設置是否容許遠程客戶端使用本地主機的端口轉發功能，出於安全考慮，建議禁止

 
#############3.五、X-Window下使用的相關設定###############

#X11Forwarding no
##X11Forwarding 用來設置是否容許X11轉發
X11Forwarding yes

#X11DisplayOffset 10
##指定X11 轉發的第一個可用的顯示區(display)數字。默認值是 10 。
###能夠用於防止 sshd 佔用了真實的 X11 服務器顯示區，從而發生混淆。
X11DisplayOffset 10

#X11UseLocalhost yes

 

#################3.六、登入後的相關設定#################

#PrintMotd yes
##PrintMotd用來設置sshd是否在用戶登陸時顯示「/etc/motd」中的信息，能夠選在在「/etc/motd」中加入警告的信息

#PrintLastLog yes
#PrintLastLog 是否顯示上次登陸信息

#TCPKeepAlive yes
##TCPKeepAlive 是否持續鏈接，設置yes能夠防止死鏈接
###通常而言，若是設定這項目的話，那麼 SSH Server 會傳送 KeepAlive 的訊息給 Client 端，以確保二者的聯機正常！
####這種消息能夠檢測到死鏈接、鏈接不當關閉、客戶端崩潰等異常。在這個狀況下，任何一端死掉後， SSH 能夠馬上知道，而不會有殭屍程序的發生！

#UseLogin no
##UseLogin 設置是否在交互式會話的登陸過程當中使用。默認值是"no"。
###若是開啓此指令，那麼X11Forwarding 將會被禁止，由於login不知道如何處理 xauth cookies 。
####須要注意的是，在SSH底下原本就不接受 login 這個程序的登入，若是指UsePrivilegeSeparation ，那麼它將在認證完成後被禁用。
UserLogin no　　　　　　　

#UsePrivilegeSeparation yes
##UsePrivilegeSeparation 設置使用者的權限
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no

#UseDNS yes
##UseDNS是否使用dns反向解析

#PidFile /var/run/sshd.pid

#MaxStartups 10
##MaxStartups 設置同時容許幾個還沒有登入的聯機，當用戶連上ssh但並未輸入密碼即爲所謂的聯機，
###在這個聯機中，爲了保護主機，因此須要設置最大值，預設爲10個，而已經創建聯機的不計算入內，
####因此通常5個便可，這個設置能夠防止惡意對服務器進行鏈接

#MaxAuthTries 6
##MaxAuthTries 用來設置最大失敗嘗試登錄次數爲6，合理設置辭職，能夠防止攻擊者窮舉登陸服務器
#PermitTunnel no

 

############3.七、開放禁止用戶設定############

#AllowUsers<用戶名1> <用戶名2> <用戶名3> ...
##指定容許經過遠程訪問的用戶，多個用戶以空格隔開

#AllowGroups<組名1> <組名2> <組名3> ...
##指定容許經過遠程訪問的組，多個組以空格隔開。當多個用戶須要經過ssh登陸系統時，可將全部用戶加入一個組中。

#DenyUsers<用戶名1> <用戶名2> <用戶名3> ...
##指定禁止經過遠程訪問的用戶，多個用戶以空格隔開

#DenyGroups<組名1> <組名2> <組名3> ...
##指定禁止經過遠程訪問的組，多個組以空格隔開。

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server
ClientAliveInterval 3600
ClientAliveCountMax 0

6.SFTP是什麼

SFTP是Secure FileTransferProtocol的縮寫，安全文件傳送協議。

SFTP和FTP是兩種協議，它們是不一樣的，sftp是ssh內含的協議，只要sshd服務器啓動了，它就可用，它自己沒有單獨的守護進程，更不須要ftp服務器啓動。

SFTP一樣是使用加密傳輸認證信息和傳輸的數據，因此，使用SFTP是很是安全的。可是，因爲這種傳輸方式使用了加密/解密技術，因此傳輸效率比普通的FTP要低得多，若是您對網絡安全性要求更高時，可使用SFTP代替FTP。

7.SFTP登錄

使用sftp登錄遠程服務器，能夠

sftp root@192.168.0.1

也能夠指定端口號

sftp -oPort=22 root@192.168.0.1

8.使用SFTP進行文件上傳下載

下載

語法（[]爲可選參數）

get [-afPpRr] remote [local]

下載遠程文件到本地目錄

get /tmp/test.c ~/

下載遠程文件夾到本地目錄

get -r /tmp/test.c ~/

上傳

語法（[]爲可選參數）

put [-afPpRr] local [remote]

上傳本地文件到遠程文件夾

put ~/test.c /tmp/

上傳本地文件夾到遠程目錄（會上傳本地文件夾下的全部文件）

put -r ~/test /tmp/

9.更多SFTP命令

輸入 help 或 ? 命令能夠查看sftp支持的命令操做：

sftp> help
Available commands:
bye                                退出sftp
exit                               退出sftp
quit                               退出sftp
cd path                            將遠程目錄更改成'path'
chgrp grp path                     將文件'path'的組更改成'grp'
chmod mode path                    將文件'path'的權限更改成'mode'
chown own path                     將文件'path'的全部者更改成'own'
df [-hi] [path]                    顯示當前目錄的統計信息或包含'path'的文件系統
get [-afPpRr] remote [local]       下載文件
reget [-fPpRr] remote [local]      恢復下載文件
reput [-fPpRr] [local] remote      恢復上傳文件
help                               顯示此幫助文本
lcd path                           將本地目錄更改成'path'
lls [ls-options [path]]            顯示本地目錄列表
lmkdir path                        建立本地目錄
ln [-s] oldpath newpath            連接遠程文件（-s用於符號連接）
lpwd                               打印本地工做目錄
ls [-1afhlnrSt] [path]             顯示遠程目錄列表
lumask umask                       將本地umask設置爲'umask'
mkdir path                         建立遠程目錄
progress                           切換進度表的顯示
put [-afPpRr] local [remote]       上傳文件
pwd                                顯示遠程工做目錄
rename oldpath newpath             重命名遠程文件
rm path                            刪除遠程文件
rmdir path                         刪除遠程目錄
symlink oldpath newpath            符號連接遠程文件
version                            顯示SFTP版本
!command                           在本地shell中執行'command'
!                                  轉到本地shell，輸入exit可退出並返回到sftp
?                                  顯示此幫助文本

執行本地命令

若是咱們想在進入sftp會話環境下執行本地命令怎麼辦？只須要在本地命令以前加歎號!便可，示例以下：