简单介绍一下,SSH是用一种协议,它可以让一台计算机用一种比较安全的方式登录远程主机。想要详细了解的童鞋可以看看wikipedia上的介绍
,比我讲的好很多,这里就不多说了。我们只讲它的基本用法。
先介绍一下系统环境:
远程连接自然需要两台主机,它们都处在一个局域网下。本地主机的IP是192.168.0.100
,远程主机的IP是192.168.0.120
。
两台主机都采用Ubuntu 8.10
系统,SSH服务端和客户端采用免费的OpenSSH
。
本地主机的有个用户为alex
,远程主机有个用户为bill
。
我们的目的,就是让本地主机的alex,通过SSH以bill的身份登录到远程主机。
连接远程主机
要使用SSH连接,自然需要相应的客户端和服务端软件,这里采用OpenSSH。记住两台主机都要装。这里为了偷懒,就直接给两台主机都装了客户端和服务端。
sudo apt-get install openssl-server openssh-client
安装完成后,在本地主机的终端上执行以下命令:
ssh bill@192.168.0.120
如果是第一次想某远程主机发起SSH连接,系统会提示你该主机地址不在known host里,这时输入yes就可以继续了。然后系统会提示你输入bill
的密码,输入正确后,终端的提示符会变成bill@remote-hostname,这就说明你已经以bill的身份成功登录了,之后就可以像使用本地主机一样,操作远程主机的文件了(能做的操作取决于bill的权限)。在提示符下输入exit
就会退出登录。很简单吧。
ssh命令的基本用方法就是 ssh username@ipaddress 。username就是远程主机的用户,ipaddress是远程主机的IP地址,你也可以把它换成域名。你可以只输入ssh来获得它的帮助信息,查看更多细节。
请记住username@ipaddress
这种格式,因为它在其他命令行工具(如 git
和 scp
)中屡见不鲜,这时你就知道该工具是用SSH来访问远程主机的。
使用公钥认证(public key),避免使用密码
现在你已经熟悉了SSH的基本用法(一行命令而已),但每次发起连接都要输入密码很是烦人。而且实际环境中因为种种原因,基本不会告诉你远程主机的密码的。那没有密码,如何验证某主机可以以bill的身份登录呢?我们可以使用公钥(public key)和密钥(private key)代替密码。
首先简单讲讲公钥验证机制:公钥和密钥是两份文件,服务端持有公钥,用来加密;客户端持有密钥,用来解密。客户端向服务端发起连接请求时,服务端会生成一串随机数,经过公钥加密后传给客户端。这时客户端会用密钥解密获取随机数,再返回服务端。最后服务端判断一下,如果客户端能够返回正确的随机数,就认为校验通过了 ,可以进行连接。否则您就从哪儿来会哪儿去吧。
公钥验证机制的存在其实是为了提供一种比密码验证机制更安全的方式,使用公钥认证,就只需要把自己生成的公钥发给管理员,而不需要管理员把服务器的用户密码告诉每一个人(而且以后更改密码可能还要再通知一遍)。对你而言,则可以把公钥发给多个服务端,也避免了去记住不同服务端的用户密码的麻烦。
现在说说怎么做。首先,本地主机(客户端)需要生成公钥(public key)和密钥(private key)。运行以下命令:
ssh-keygen -t rsa
ssh-keygen命令用来生成公钥和密钥(下面简称key),这个命令会在~/.ssh
目录下生成两个key文件。.ssh目录是SSH为主机上每个用户分别建立的一个目录,用来存放用户层面的配置信息的。
ssh-keygen可以生成两种格式的key,RSA和DSA。可以用 -t 参数指定。其实不加任何参数,ssh-keygen就会默认生成RSA的key。这里加上它只是说明一下 -t 这个比较重要的参数而已。使用 -h
参数可以查看帮助信息,注意 --help 是没用的
……
输入命令后,系统会询问你待生成的密钥文件的名字,默认id_rsa,然后会要你输入一个密语(passphrase)来加密密钥(可以为空)。之后就生成了密钥和公钥,默认公钥文件的名字是密钥文件名加上 .pub
后缀。本文使用默认设置,会生成密钥 id_rsa
和 公钥 id_rsa.pub
。
上面说了,远程主机(服务端)需要一份公钥,所以你要把公钥给它。方法有很多。这里我们使用scp命令来远程传文件。传完之后,本地主机的id_rsa.pub文件就没用了,你可以删除它,或者留着它,以后再发给其他的远程主机。
scp id_rsa.pub bill@192.168.0.120:~/alex_id_rsa.pub
上面的命令用来把文件复制到远程主机的bill用户根目录下,并改名为alex_id_rsa.pub。这个命令和cp命令差不多,只是把目标地址换成了远程主机的地址。一看这格式就知道,scp是使用SSH进行远程通信的。所以下面的内容你知道了——再输一次密码,这是最后一次了。
这里的SSH地址稍微多了点东西,它的格式为 username@ipaddress:file_or_directory
。就是在原来的基础上加了一个冒号,后面接文件或目录的路径。使用这种表示法,理论上你可以定义到任何一台主机的文件。
现在复制完毕,但你还需要把id_rsa.pub中的内容添加到.ssh目录下的authorized_keys文件中去。如果没有,你就要建立一个。说起来很多,实际也就是一行命令:
cat alex_id_rsa.pub >> authorized_keys
这是一个简单的linux重定向,意思是把alex_id_rsa.pub中的内容 增量添加
到authorized_keys中。注意是增量添加,因为这个文件里不止存放一个公钥,看文件名就知道,不是么?
现在所有设置都完成了,再来试试:
ssh bill@192.168.0.120
如果你之前运行ssh-keygen时,输入过为密钥加密的密语,这时系统会提示你输入密语。这是因为本地主机需要调用密钥id_rsa进行解密。但密钥本身被加密了,所以你要先解密密钥。输入正确的密语后,就会成功进入远程主机。但exit之后,下次发起连接时,还会要你输入密语……(也许你的机器有不同的表现,我们下面会讲)。这完全没达到我们偷懒的目的。但我没说假话,至少你确实不需要输入密码了
。至于如何避免输入密语,这就是我们下面要讲的。
一些不同之处
如果使用ssh-keygen时,没有填写密语,那么系统以后都不会要求你输入密语。这样确实挺方便,但缺点就是不加密的密钥容易被有心人利用。当然,使用哪种方案,取决于你的实际使用环境。只是记住,还是有办法可以避免频繁地输入密语。
如果你使用密钥验证方式用SSH发起远程连接时,Ubuntu弹出一个图形化提示框要求你“输入密码以解锁私钥”,恭喜你,你只用输入一次密钥密语。直到你注销alex用户前,每次你发起SSH连接时都不会被要求输入密语。如果你用ssh-keygen生成密钥时,使用的默认文件名,发起SSH连接时一般都会出现这种情况。我想这是Ubuntu自动缓存了解密后的密钥文件,这也是下面我们要将的“缓存密钥”。如果你就是这种情况,下面的缓存部分就不用看了。
如果你生成密钥时使用自定义的文件名(比如alex_rsa),那么还有个麻烦,就是使用ssh命令时,它会需要你手动指定私钥文件,如下所示:
ssh -i alex_rsa bill@192.168.0.120
这是因为ssh需要密钥时,默认只会去找~/.ssh目录下的identity、id_rsa和id_dsa三个文件,就像它只会从authorized_keys和authorized_keys2两个文件中去找密钥一样。这是默认约定。自己掰虽然自由,但代价就是还有一堆东西等着你去掰……还是Convention Over Configuration比较方便。
最后,如果你想用先进一点的DSA
而不是古老的RSA
……这没那么麻烦,只需在ssh-keygen时改动一下 -t
参数(注意生成的文件是id_dsa和id_dsa.pub)。但你最好在服务端执行cat命令时,把authorized_keys改成authorized_keys2。这是为了分别存放RSA和DSA的公钥。虽然你把DSA的公钥放进authorized_keys中也不会有任何问题(反之亦然)。
缓存密钥(private key),避免输入密语
缓存密钥可以使你只需输入一次密语,以后它都不会来麻烦你了。方法很简单,一个命令行工具ssh-add可以把你指定的密钥文件加入到缓存中。
ssh-add ~/.ssh/id_rsa
加入时,会要你输入一次密语。再发起SSH连接时,都不会要你输入密语了,直到你本地主机的用户注销。
注:有些其他的文章里会使用ssh-agent,但经我测试其实不需要启动ssh-agent就可以缓存密钥。有一篇文章讲ssh-agent可以用来做密钥转发,但这点对我没什么用处,就没试过。如果有童鞋知道ssh-agent和ssh-add的关系,请不吝赐教!
再偷懒一把,使用config配置文件保存用户和主机名
现在我们使用了公钥认证代替了密码认证,又缓存了密钥密语。但在实验过程中你应该敲了不少此命令:
ssh bill@192.168.0.120
也许你已经难以忍受每次都敲又臭又长的IP地址。如果我们能把它改成
ssh server
该多好。下面我们就来做这件事。你可以在当前用户的.ssh目录下建立一个config文件,去保存一些自定义的配置。我们可以把用户名和主机名保存进去。使用任何你熟悉的编辑器,在文件中加入如下代码:
Host server
User bill
HostName 192.168.0.120
大概解释一下:我们定义了一个叫server的host,它下面的所有配置项(直到下一个host定义之前)都隶属于这个host,我们为server设定了用户名和密码。以后在任何需要敲 bill@192.168.0.120
的地方,你都可以使用server
来替代。这并不限于ssh命令,比如:
scp id_rsa server:~/
是不是很爽呢?
参考资料
OpenSSH Public Key Authentication
HOWTO: set up ssh keys
通用线程:OpenSSH 密钥管理,第二部分
SSH密钥管理和通用代理
自动登录SSH的几种方法
分享到:
相关推荐
因此,我们大多都是多人共用一台多显卡主机,但这存在一个问题,即卡是很多,但多人无法同时远程控制屏幕,毕竟只有一套显示设备。这时,VSCode+SSH就可以在一定程度上解决这个问题。 总的来说,本文档手把手教你...
c#连接SharpSSH服务(源码、实例)
如何远程连接主机,使用ssh可以方便的实现
ssh远程连接其他主机并执行命令,只能执行少量命令。也可自行优化改进
好用的一款linux远程连接软件bitvise-ssh-client,支持保存连接信息共享.
使用 SSH 客户端来连接远程主机,只需输入一个命令 : SSH [user]@hostnmae 其中user表示用户名,hostname表示主机名/IP地址。登录远程主机后,使用者可以在远程主机上执行任意命令。 3. 配置SSH 要正确配置SSH...
jsch通过java代码ssh登录主机远程执行命令并返回结果。注意,这个是源代码,请自行编译后在使用。当然,也可以根据自己的需要更改源代码。
基于Xshell使用密钥方式连接远程主机,具体内容如下 连接远程主机,就验证身份而言,一般有两种方式,一种是通过用户密码;另一种通过公钥的方式(Public Key)。 图1、xshell支持验证登录用户的方式 下面就使用...
SecureCRT是一款用于连接运行包括Windows、UNIX和VMS的远程系统的理想工具。通过使用内含的VCP命令行程序可以进行加密文件的传输。有流行CRTTelnet客户机的所有特点,包括:自动注册、对不同主机保持不同的特性、打印...
SSH的英文全称是Secure SHell。通过使用SSH,你可以把...第一种级别只要你知道自己帐号和口令,就可以登录到远程主机。第二种级别需要依靠密匙,也就是你必须为自己创建一对密匙,并把公用密匙放在需要访问的服务器上。
有关远程连接Linux服务器的好用软件 这些基本上都在技术员必备的软件 希望大家可以好好看看
相信我们很多人经常使用SSH远程连接主机/服务器,然而SSH连接要求两个主机必须在同一个局域网内,否则就需要使用内网穿透技术。这里,我使用的是NATAPP软件进行内网穿透。在本文档中,我详细记录了如何利用NATAPP+...
2.已连接远程主机: remotehost$ 3.要临时回到本地主机,输入退出符号:“~”与“Control-Z”组合。 当你输入“~”你不会立即在屏幕上看到,当你按下并且按回车之后才一起显示。如下,在远程主机中以此输入“~” ...
3.17 在虚拟机中改变网络连接模式(主机模式、NAT模式、桥接模式)分别获取IP地址使用ssh协议进行远程连接 一、仅主机模式下 打开编辑虚拟机设置选择网络连接模式为仅主机模式 在虚拟网络编辑器中查看仅主机模式...
远程线鲨在本地运行wireshark从远程主机通过ssh + tcpdump获取流量转储的简单脚本。要求它假设您在远程主机上使用 sudo,并通过 sudo 对 tcpdump 进行无密码访问。用法./remote-wireshark.sh "[SSH 凭据和额外选项]...
利用该模块,可以方便的进行ssh连接和sftp协议进行sftp文件传输以及远程命令执行。 安装paramiko也很简单,我用的是python3,装好了pip,可以直接用pip来安装。 不过由于 paramiko 模块内部依赖pycrypto,所以先...
使用使用navicat连接远程linux mysql数据库出现10061未知故障,设置使用ssh连接后出现2013故障 本机环境:win10 navicat premium mysql数据库主机环境:Linux version 4.15.0-42-generic (buildd@lgw01-amd64-023)...
先看一张图 之前写到openEuler学习之...然后有些小伙伴ssh远程连接的时候,选择内网ip:port,还说连不上,动动脑子好不好 或许是小伙伴们还没用过linux云服务器也没搞过linux虚拟机远程 要是直接就能远程连接内网那还
插件使用SSH连接到主机,然后使用lxc或lxc-attach进入容器。 对于LXC版本1,这意味着SSH连接必须以root身份登录,否则lxc-attach将失败。 对于LXC版本2,这意味着用户必须以root用户身份登录或必须在lxc组中才能...
语法格式: ssh [参数] [远程主机] 常用参数: -1 强制使用ssh协议版本1 -2 强制使用ssh协议版本2 -4 强制使用IPv4地址 -6 强制使用IPv6地址 -A 开启认证代理连接转发功能 -a 关闭认证代理连接转发...