注意:此处的操作都是在CentOS(Redhat)下完成的,其他linux系统下的配置可能略有不同。

几个名词

ssh

Security SHell的简写。他主要是用于解决telnet的明文认证过程。
ssh有两个版本,下文用v1和v2表示这两个版本。

OpenSSH

ssh的开源实现版本

ssh客户端

  • linux
    • ssh
  • windows
    • putty
    • SecureCRT
    • x-manager
    • sshSecureShellClient

ssh服务端

一般而言,ssh的服务端都是linux下的,windows下的服务端并未听说。
此处指的也是linux下的ssh服务端–

1
2
3
4
5
6
7
8
9
默认的sshd都是运行在后台,监听于 22号 端口
```shell
[root@c2 ~]# netstat -tnlp | grep ssh
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      2581/sshd           
tcp        0      0 127.0.0.1:6010              0.0.0.0:*                   LISTEN      3124/sshd           
tcp        0      0 :::22                       :::*                        LISTEN      2581/sshd           
tcp        0      0 ::1:6010                    :::*                        LISTEN      3124/sshd

1
2
[root@c2 ~]# service sshd status
openssh-daemon (pid  2581) is running...

ssh认证方式

基于口令

在这种比较传统的方式下,无论是明文口令还是相当复杂的加密之后的口令,最终都会在网络上传输给远程主机以验证登陆者的身份。当然,这种方式不是ssh认证的推荐方式,在此也不讨论该种方式,重点在基于秘钥的认证。也不重点讨论基于秘钥的认证过程原理,重点讨论如何配置(OpenSSH)基于秘钥的认证。

基于秘钥

简言之,这种方式就是服务端和客户端“对暗号”,而不再是传输口令。至于具体的原理请搜索对称加密算法,比如rsa、dsa。

基本方式就是:发送方用自己的私钥加密数据,接收方用公钥解密数据。

一般情况下,ssh是禁止root用户直接进行远程登录的,都是先用普通用户登录到系统,之后在su到root用户。比如,ubuntu系统默认是禁止root远程登录的。

ssh配置文件

一般在CentOS/RedHat下,ssh服务端和客户端的配置文件都在/etc/ssh/目录下,修改配置之后一般需要重启或重新加载sshd服务的配置。

脚本位置:/etc/init.d/sshd

具体用法:

1
sshd {start|stop|restart|reload|force-reload|condrestart|try-restart|status}
1
2
3
4
5
6
7
8
9
10
11
[root@c2 ~]# tree /etc/ssh/
/etc/ssh/
├── moduli
├── ssh_config # 服务端配置文件
├── sshd_config # 客户端配置文件
├── ssh_host_dsa_key # v2-基于dsa的主机秘钥
├── ssh_host_dsa_key.pub # v2-基于dsa的主机秘钥
├── ssh_host_key # v1
├── ssh_host_key.pub # v1
├── ssh_host_rsa_key # v2-基于rsa的主机秘钥
└── ssh_host_rsa_key.pub# # v2-基于rsa的主机秘钥

sshd_config

以下是部分常用配置
其他具体配置请使用 man sshd_config

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
# ………………
Port 22 #端口
Protocol 2 #sshd启用的协议版本
AddressFamily any # 支持的ip协议版本,any表示同时支持ipv4h和ipv6
# v1对应的主机秘钥
#HostKey /etc/ssh/ssh_host_key
# v2对应的主机秘钥
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# 秘钥重新生成的时间间隔,每一小时更换一次“暗号”
KeyRegenerationInterval 1h
# 服务器端秘钥长度
ServerKeyBits 1024
# 登录认证宽限期:2分钟
LoginGraceTime 2m
# 禁用root通过远程登录
PermitRootLogin no
# 是否使用严格模式
StrictModes yes
# 认证失败时允许重试的次数
MaxAuthTries 6
#是否支持基于rsa的秘钥认证
RSAAuthentication yes
#是否支持基于秘钥的认证
PubkeyAuthentication yes
#认证秘钥的存放位置
AuthorizedKeysFile	.ssh/authorized_keys
#是否启用基于口令的认证
PasswordAuthentication yes
#是否允许空口令
PermitEmptyPasswords no
# ………………
# ssh远程登录成功后的欢迎语所在文件的路径
#Banner /path/to/some/file
# 是否打印 /etc/motd文件内容
PrintMotd yes
# 是否打印上次登录日志
PrintLastLog yes
# override default of no subsystems
Subsystem	sftp	/usr/libexec/openssh/sftp-server
#PidFile /var/run/sshd.pid

用户家目录下的配置文件

一般情况下,只要你使用过ssh服务,用户家目录下会生成一个名为 .ssh的目录。

1
drwx------.  2 root root  4096 Sep 17 15:32 .ssh

并且该目录的权限为700,若该目录是你手动创建,请注意手动修改权限,否则ssh服务可能无法正常使用。

1
2
3
4
5
6
[root@c2 ~]# tree ~/.ssh/
/root/.ssh/
├── authorized_keys #受信任的认证过的主机秘钥信息
├── id_rsa #私钥
├── id_rsa.pub #公钥
└── known_hosts #已知主机
  • known_hosts:该文件保存着登录过的已知的主机秘钥信息,文件内容可能如下所示:
1
2
3
c2 ssh-rsa A...Fw==
127.0.0.1 ssh-rsa AAA...oFw==
c3,192.168.110.143 ssh-rsa AAsdfsdf......oFw==

常用命令

ssh

1
2
3
4
5
6
7
ssh -l <user-name> <host> ['command']
	ssh -l root 127.0.0.1 #登录到127.0.0.1
	ssh -l root 127.0.0.1 'ifconfig' #发送命令到远程主机执行
ssh <user-name>@<host> ['command']
	ssh root@127.0.0.1 #登录到127.0.0.1
	ssh root@127.0.0.1 'ifconfig' #发送命令到远程主机执行

scp

顾名思义,就是基于ssh的copy命令。能够实现在主机间传输数据。而且是基于ssh基名传输的。用法和copy命令类型。

1
2
3
4
5
6
7
scp [option] <src> <dest>
	option
		-a
		-r
		-p
	
scp ~/.bashrc root@c3:/home/tmp.file

该命令既可以当下载命令也可以当上载命令。取决于src和dest的实际意义。

ssh-keygen

该命令用于生成秘钥

1
2
3
4
5
6
7
8
9
ssh-keygen
	-t :算法类型 rsa|dsa
	-f :生成的秘钥文件
	-N :'password'
# 将会在~/.ssh/下生成文件id_rsa(私钥)和id_rsa.pub(公钥)
ssh-keygen -t rsa -f ~/.ssh/id_rsa
ssh-keygen -t rsa #省略-f选项时默认的文件为~/.ssh/id_rsa

ssh-copy-id

专门用于传输公钥的命令

1
2
3
ssh-copy-id -i /path/to/pub-key user@remotehost
ssh-copy-id -i ~/.ssh/id_rsa.pub root@c3

sftp

可以理解为ssh版本的ftp

1
sftp user@remotehost

应用

ssh免登陆配置

此处以c2主机免登陆c3主机为例

  • (1) c2上生成一对秘钥
1
ssh-keygen -t rsa -f ~/.ssh/id_rsa
  • (2) 将公钥传输至服务器端(c3)某用户家目录下 ~/.ssh/authorized_keys文件中

方式一:ssh-copy-id

1
ssh-copy-id -i ~/.ssh/id_rsa.pub root@c3

方式二:scp复制公钥并追加至服务端某用户家目录下~/.ssh/authorized_keys文件中,其实ssh-copy-id命令实际上也是做了类似的事情

  • (3) 测试登录
1
ssh root@c3