使用ssh對服務器進行登陸

1、什麼是SSH？

簡單說，SSH是一種網絡協議，用於計算機之間的加密登陸。

若是一個用戶從本地計算機，使用SSH協議登陸另外一臺遠程計算機，咱們就能夠認爲，這種登陸是安全的，即便被中途截獲，密碼也不會泄露。

最先的時候，互聯網通訊都是明文通訊，一旦被截獲，內容就暴露無疑。1995年，芬蘭學者Tatu Ylonen設計了SSH協議，將登陸信息所有加密，成爲互聯網安全的一個基本解決方案，迅速在全世界得到推廣，目前已經成爲Linux系統的標準配置。

須要指出的是，SSH只是一種協議，存在多種實現，既有商業實現，也有開源實現。本文針對的實現是OpenSSH，它是自由軟件，應用很是普遍。

此外，本文只討論SSH在Linux Shell中的用法。若是要在Windows系統中使用SSH，會用到另外一種軟件PuTTY，這須要另文介紹。

2、最基本的用法

SSH主要用於遠程登陸。假定你要以用戶名user，登陸遠程主機host，只要一條簡單命令就能夠了。

　　$ ssh user@host

若是本地用戶名與遠程用戶名一致，登陸時能夠省略用戶名。

　　$ ssh host

SSH的默認端口是22，也就是說，你的登陸請求會送進遠程主機的22端口。使用p參數，能夠修改這個端口。

　　$ ssh -p 2222 user@host

上面這條命令表示，ssh直接鏈接遠程主機的2222端口。

3、中間人攻擊

SSH之因此可以保證安全，緣由在於它採用了公鑰加密。

整個過程是這樣的：（1）遠程主機收到用戶的登陸請求，把本身的公鑰發給用戶。（2）用戶使用這個公鑰，將登陸密碼加密後，發送回來。（3）遠程主機用本身的私鑰，解密登陸密碼，若是密碼正確，就贊成用戶登陸。

這個過程自己是安全的，可是實施的時候存在一個風險：若是有人截獲了登陸請求，而後冒充遠程主機，將僞造的公鑰發給用戶，那麼用戶很難辨別真僞。由於不像https協議，SSH協議的公鑰是沒有證書中心（CA）公證的，也就是說，都是本身簽發的。

能夠設想，若是攻擊者插在用戶與遠程主機之間（好比在公共的wifi區域），用僞造的公鑰，獲取用戶的登陸密碼。再用這個密碼登陸遠程主機，那麼SSH的安全機制就蕩然無存了。這種風險就是著名的"中間人攻擊"（Man-in-the-middle attack）。

SSH協議是如何應對的呢？

4、口令登陸

若是你是第一次登陸對方主機，系統會出現下面的提示：

　　$ ssh user@host

　　The authenticity of host 'host (12.18.429.21)' can't be established.

　　RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.

　　Are you sure you want to continue connecting (yes/no)?

這段話的意思是，沒法確認host主機的真實性，只知道它的公鑰指紋，問你還想繼續鏈接嗎？

所謂"公鑰指紋"，是指公鑰長度較長（這裏採用RSA算法，長達1024位），很難比對，因此對其進行MD5計算，將它變成一個128位的指紋。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d，再進行比較，就容易多了。

很天然的一個問題就是，用戶怎麼知道遠程主機的公鑰指紋應該是多少？回答是沒有好辦法，遠程主機必須在本身的網站上貼出公鑰指紋，以便用戶自行覈對。

假定通過風險衡量之後，用戶決定接受這個遠程主機的公鑰。

　　Are you sure you want to continue connecting (yes/no)? yes

系統會出現一句提示，表示host主機已經獲得承認。

　　Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.

而後，會要求輸入密碼。

　　Password: (enter password)

若是密碼正確，就能夠登陸了。

當遠程主機的公鑰被接受之後，它就會被保存在文件$HOME/.ssh/known_hosts之中。下次再鏈接這臺主機，系統就會認出它的公鑰已經保存在本地了，從而跳過警告部分，直接提示輸入密碼。

每一個SSH用戶都有本身的known_hosts文件，此外系統也有一個這樣的文件，一般是/etc/ssh/ssh_known_hosts，保存一些對全部用戶均可信賴的遠程主機的公鑰。

5、公鑰登陸

使用密碼登陸，每次都必須輸入密碼，很是麻煩。好在SSH還提供了公鑰登陸，能夠省去輸入密碼的步驟。

所謂"公鑰登陸"，原理很簡單，就是用戶將本身的公鑰儲存在遠程主機上。登陸的時候，遠程主機會向用戶發送一段隨機字符串，用戶用本身的私鑰加密後，再發回來。遠程主機用事先儲存的公鑰進行解密，若是成功，就證實用戶是可信的，直接容許登陸shell，再也不要求密碼。

這種方法要求用戶必須提供本身的公鑰。若是沒有現成的，能夠直接用ssh-keygen生成一個：

　　$ ssh-keygen

運行上面的命令之後，系統會出現一系列提示，能夠一路回車。其中有一個問題是，要不要對私鑰設置口令（passphrase），若是擔憂私鑰的安全，這裏能夠設置一個。

運行結束之後，在$HOME/.ssh/目錄下，會新生成兩個文件：id_rsa.pub和id_rsa。前者是你的公鑰，後者是你的私鑰。

這時再輸入下面的命令，將公鑰傳送到遠程主機host上面：

　　$ ssh-copy-id user@host

好了，今後你再登陸，就不須要輸入密碼了。

若是仍是不行，就打開遠程主機的/etc/ssh/sshd_config這個文件，檢查下面幾行前面"#"註釋是否取掉。

　　RSAAuthentication yes
　　PubkeyAuthentication yes
　　AuthorizedKeysFile .ssh/authorized_keys

而後，重啓遠程主機的ssh服務。

　　// ubuntu系統
　　service ssh restart

 

　　// debian系統

　　/etc/init.d/ssh restart

 

若是想使用特定的用戶名郵箱來生成密鑰，可使用以下的方法：

 

$ ssh-keygen -t rsa -C 「user@example.com」 

ssh-keygen [-q] [-b bits] [-t dsa | ecdsa | ed25519 | rsa | rsa1] [-N new_passphrase] [-C comment] [-f output_keyfile]

其他方式跟如上的方式同樣。

6、authorized_keys文件

遠程主機將用戶的公鑰，保存在登陸後的用戶主目錄的$HOME/.ssh/authorized_keys文件中。公鑰就是一段字符串，只要把它追加在authorized_keys文件的末尾就好了。

這裏不使用上面的ssh-copy-id命令，改用下面的命令，解釋公鑰的保存過程：

　　$ ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub

這條命令由多個語句組成，依次分解開來看：（1）"$ ssh user@host"，表示登陸遠程主機；（2）單引號中的mkdir .ssh && cat >> .ssh/authorized_keys，表示登陸後在遠程shell上執行的命令：（3）"$ mkdir -p .ssh"的做用是，若是用戶主目錄中的.ssh目錄不存在，就建立一個；（4）'cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub的做用是，將本地的公鑰文件~/.ssh/id_rsa.pub，重定向追加到遠程文件authorized_keys的末尾。

 

寫入authorized_keys文件後，公鑰登陸的設置就完成了。

 

7、其餘高效使用方法

 

1. 鏈接中轉

 

     有時候你可能須要從一個服務器鏈接另一個服務器，好比在兩個服務器之間直接傳輸數據，而不用經過本地電腦中轉：

 

          www1 $ scp -pr templates www2:$PWD

 

     （順便說一下，當你須要在兩臺服務器間拷貝文件時，$PWD變量時很是有用的），由於即便你已經在兩臺服務器上添加了你本地電腦的公鑰，scp默認仍然會提示你輸入密碼：這是由於你用來做爲跳板的那     臺服務器上並無你的私鑰，因此，第二臺服務器會拒絕你的公鑰，可是必定不要經過將你的私鑰拷貝到中轉服務器上來解決這個問題，你可使用agent forwarding來解決這個問題，只要在你的.ssh/config文件中加入下面這行代碼就能夠了

          ForwardAgent yes

     2.  省略主機名

輸入服務器的完整主機名來創建一個新的SSH鏈接實在是太乏味無聊了，尤爲是當你有一組擁有相同域名可是子域名不一樣的服務器須要管理時，好比下面這樣：

* www1.example.com
* www2.example.com
* mail.example.com
* intranet.internal.example.com
* backup.internal.example.com
* dev.internal.example.com

或許你的網絡已經配置了能夠直接使用短域名，好比intranet，可是若是你的網絡不支持，實際上你能夠本身搞定這個問題，而不用求助網絡管理員。

解決辦法根據你用的操做系統而略有差別，下面是個人Ubuntu系統的配置：

prepend domain-search 「internal.example.com」, 「example.com」;

而後你須要重啓網絡:$ sudo restart network-manager

 

不一樣的系統，這兩條命令可能會略有差別。

 

3.  主機別名

你也能夠在你的SSH配置中直接定義主機別名，就像下面這樣：

Host dev
HostName dev.internal.example.com

你還可使用通配符來進行分組：

Host dev intranet backup
HostName %h.internal.example.com

Host www* mail
HostName %h.example.com

 

在Putty中你能夠爲每一個主機名保存單獨的session，而後雙擊創建鏈接（可是它可能沒辦法支持通配符）。

 

4.  省去用戶名

 

若是你在遠程服務器上的用戶名和你本地的用戶名不一樣，你一樣能夠在SSH配置中進行設置：

Host www* mail
HostName %h.example.com
User simon

如今就算個人本地用戶名是 smylers，我仍然能夠這樣鏈接個人服務器：

$ ssh www2

 

SSH會使用simon帳戶鏈接你的服務器，一樣，Putty能夠保存這個信息在你的session中。

 

5.  在服務器間跳轉

有些時候，你可能無法直接鏈接到某臺服務器，而須要使用一臺中間服務器進行中轉，這個過程也能夠自動化。首先確保你已經爲服務器配置了公鑰訪問，並開啓了agent forwarding，如今你就能夠經過2條命令來鏈接目標服務器，不會有任何提示輸入：

$ ssh gateway
gateway $ ssh db

而後在你的本地SSH配置中，添加下面這條配置：

Host db
HostName db.internal.example.com
ProxyCommand ssh gateway netcat -q 600 %h %p

如今你就能夠經過一條命令來直接鏈接目標服務器了:

$ ssh db

 

這裏你可能會須要等待長一點的時間，由於SSH須要進行兩次認證，，注意netcat也有可能被寫成nc或者ncat或者前面還須要加上g，你須要檢查你的中間服務器來肯定實際的參數。

 

6.  突破網絡封鎖

有些時候，你使用的網絡可能只開放了80端口，或者它們封鎖了SSH端口（默認的22端口），這種狀況下，你能夠經過配置SSH服務器在80或者443端口進行監聽來突破封鎖，只須要編輯你的服務器的/etc/ssh/sshd_config文件：

Port 443

而後重啓SSH服務器：

$ sudo reload ssh

 

固然這樣作的前提是你的服務器沒有使用HTTS服務，可是實際上你只須要設置一臺服務器使用https端口就夠了，你但你能夠訪問這臺服務器，你就可使用咱們前面提到的技術利用它做爲跳板來訪問其它服務器，可是記住，你須要提早配置好這臺服務器（如今怎麼樣？），這樣萬一當你身處一個只能訪問Web的網絡環境時，就能夠省掉打電話讓其餘人幫你配置中間服務器的麻煩了。

 

7.  穿越Web代理

有些時候，你所在的網絡不止封鎖SSH端口，它們有可能更進一步，只讓你經過Web代理來訪問網絡，幸運的是咱們有一個叫作Corkscrew的程序能夠經過Web代理在發送SSH數據。Corkscrew的使用很是簡單，通常我都是在須要時搜索，而後直接下載，跟隨網站上的指示，而後就搞定了，通常你須要這樣一條配置：

 

ProxyCommand corkscrew proxy.example.org 8080 %h %p

 

8.  本地操做遠程文件

讓遠程GUI程序顯示在本地的替代方案就是讓本地的GUI程序能夠直接操做遠程文件，你能夠經過SSHFS來實現，只須要建立一個空目錄，而後使用SSHFS將一個遠程目錄mount到這個目錄就能夠了：

$ mkdir gallery_src
$ sshfs dev:projects/gallery/src gallery_src
$ cd gallery_src
$ ls

如今你就可使用任何你喜歡的本地程序來便捷這個目錄中的文件了，它們看起來是在你的本地，但其實時遠程服務器上的文件，你可使用fusermount命令來unmount這些文件，不要擔憂記不住，它們就在sshfs手冊的頂上：

$ cd ..
$ fusermount -u gallery_src

 

SSHFS能夠在Linux和OSX上工做，Windows用戶我目前還沒找到什麼好辦法。

 

9.  經過Vim訪問遠程文件

Vim有一個內置的功能能夠直接編輯遠程文件，須要藉助SCP URL：

$ gvim scp://dev/projects/gallery/src/templates/search.html.tt

這中方式明顯不如SSHFS靈活，可是若是你只須要對遠程服務器的1，2個文件進行編輯時，這條命令就要更靈活一些了，而且能夠在Windows上你也能夠這樣作：

 

:help netrw-problems

 

10.  使用本地App鏈接遠程服務器

有時可能有些服務，好比數據庫或是Web服務器，它們運行在遠程服務器上，可是若是有用方式能夠直接從本地程序鏈接它們，那會很是有用，要作到這一點，你須要用到端口轉發(port forwarding)，舉個例子，若是你的服務器運行Postgres（而且只容許本地訪問），那麼你就能夠在你的SSH配置中加入：

Host db
LocalForward 5433 localhost:5432

如今當你鏈接你的SSH服務器時，它會在你本地電腦打開一個5433端口（我隨便挑的），並將全部發送到這個端口的數據轉發到服務器的5432端口（Postgres的默認端口），而後，只要你和服務器創建了鏈接，你就能夠經過5433端口來訪問服務器的Postgres了。

$ ssh db

如今打開另一個窗口，你就能夠經過下面這條命令在本地鏈接你的Postgres數據庫了：

$ psql -h localhost -p 5443 orders

若是你想要使用服務器不支持的圖形化Postgres客戶端時，這條命令會顯得尤爲有用：

$ pgadmin3 &

或者你有一個後臺的Web服務器，你不但願直接經過Internet訪問它，你也能夠經過端口轉發來訪問它：

Host api
LocalForward 8080 localhost:80

如今鏈接到服務器：

$ ssh api

而後將瀏覽器指向你選擇的端口號：

 

$ firefox http://localhost:8080/