大家好,我是半虹,这篇文章我们介绍一下 SSH
1、简介
SSH 全称 Secure Shell,本质上是建立在应用层之上的网络传输协议
通过加密和认证机制保证传输安全,经常用于远程登录或者远程访问
除此之外,SSH 也能完成端口转发、安全文件传输等一系列实用功能
SSH 协议的实现有很多,目前应用最为广泛的莫过于 OpenSSH
这是很多 Linux 的默认实现,一般来说,系统都已经默认安装好
如果因为某些原因尚未安装,那么你也可以通过以下命令安装嘞
apt install openssh-server openssh-client
OpenSSH 实际包括两部分,分别是 ssh 服务端以及 ssh 客户端
之后,可以通过以下命令检查应用的安装情况:
ssh -V
然后,可以通过以下命令检查服务的开启情况:
service sshd status # 最后的 d 代表 daemon,意思是【守护进程】,该进程由服务端管理
# 开启服务:service sshd start
# 关闭服务:service sshd stop
# 重启服务:service sshd restart
如果你已经安装好 OpenSSH,那么下面我们一起来看看 SSH 的一些典型应用
具体可分为三点,下面三个小节逐一进行介绍:
- 远程访问,对应第二个小节
- 端口转发,对应第三个小节
- 文件传输,对应第四个小节
2、远程访问
远程访问是 ssh 的重要应用之一,其允许本地主机访问并操作远程主机
通过本地的 ssh 客户端连接远程的 ssh 服务端之后就能在上面执行任务
为了保证安全,客户端连接服务端时,需要进行认证
认证方式常用的有两种,分别是密码认证和密钥认证
密码认证简单来说就是通过账号密码认证后才能登录
这种方式使用起来比较简单,只需要一条命令就可以,其具体格式如下:
ssh <user>@<ip> -p <port>
# <user>:代表服务端主机上需要登录的用户名,如果为空,那么默认为 本机用户名
# <ip> :代表服务端主机的地址
# <port>:代表服务端主机上需要连接的端口号,如果为空,那么默认为 22
执行命令后,就会要求输入服务端对应该用户的密码,若输入正确即可完成登录
这里需要注意的是这条命令是在客户端上执行,同时要求服务端已开启服务才行
密钥认证也称免密登录,同样也是通过上述命令进行连接,但是却无需输入密码
这种方法自然也要凭证来证明连接者的身份,只不过凭证由公私钥技术提前生成
具体配置步骤如下所示:
本地客户端:生成公钥和私钥对
ssh-keygen -t rsa # -t 表示使用的算法类型,这里使用的是 rsa 非对称加密算法执行命令后,要求输入相关信息,例如:密钥保存路径、私钥口令短语等等
若一路回车,默认会在
~/.ssh下生成id_rsa私钥和id_rsa.pub公钥本地客户端:传输公钥给服务端
ssh-copy-id <user>@<ip> -p <port>执行命令后,输入密码就能传公钥到远程
~/.ssh/authorized_keys目录之后使用 ssh 登录时,自动用密钥做验证,无需再次输入密码
3、端口转发
所谓端口转发,实际上就是将发送到一个端口上的数据转发到另一个端口
这在日常开发中也是一个十分常见的需求
端口转发通常可以分为三种,分别是本地转发、远程转发、以及动态转发
这里所用到的命令还挺复杂,不过别怕,下面会进行详细的分析以及总结
本地转发指的是将发送到本地端口的请求转发到远程端口
通常用于远程端上存在有某个服务,本地主机想进行访问,命令格式如下:
ssh <服务端用户>@<服务端地址> -p <服务端端口> -L <绑定地址>:<绑定端口>:<目标地址>:<目标端口>
首先需要说明的是,上述命令是由客户端执行,这里其实是理解转发链路的关键之一
这个命令看起来还挺复杂的,但其实我们可以拆分开来看,分成两个部分:
ssh <服务端用户>@<服务端地址> -p <服务端端口>-L <绑定地址>:<绑定端口>:<目标地址>:<目标端口>
第一部分跟上一小节的远程访问一样,先建立客户端与服务端连接的隧道
第二部分是本地转发的关键配置所在,将绑定端口上的请求转到目标端口
- 绑定端口:是指客户端上所绑定的端口【重点】
- 目标端口:是由服务端进行转发的目标【重点】
一句话概括本地转发的转发链路如下:
客户端绑定的端口收到请求时,通过隧道发送到服务端,再由服务端转发到目标端口【重点】
|--------------| |--------------| |-----------|
| 客户端的地址 |------->| 服务端的地址 |------->| 目标地址 |
| 所绑定的端口 |------->| 服务端的端口 |------->| 目标端口 |
|--------------| |--------------| |-----------|
隧道 转发
实际怎么做本地转发呢?这里举一个例子:
一般来说,云服务器只默认开放 22 端口,但是假设现在 7777 端口运行着一个服务
如果本地要临时访问,则需先修改防火墙,比较麻烦,这时候就可以配置个本地转发
ssh <云服务器用户>@<云服务器地址> -p 22 -L 127.0.0.1:8888:127.0.0.1:7777
# 以上命令在本地主机执行,此时客户端是本地主机,服务端是云服务器,目标地址是 127.0.0.1,也即云服务器 7777 端口
#
# 执行之后,本地主机访问 127.0.0.1:8888 即可访问云服务器 7777 端口
# 特别说明,关于绑定地址的设置,通常是 127.0.0.1 或 0.0.0.0
#
# 如果设置 127.0.0.1,则只允许本机的连接;设置为 0.0.0.0,才会监听所有 IP 的连接
#
# 因为这里的绑定地址是在客户端,即本地主机,后续接收的请求也是来自本地主机,所以设置为 127.0.0.1 就可以
远程转发则是指将发送到远程端口的请求转发到本地端口,这与本地转发的概念相反
通常用于本地端上存在着某个服务,远程主机想进行访问,命令格式如下:
ssh <服务端用户>@<服务端地址> -p <服务端端口> -R <绑定地址>:<绑定端口>:<目标地址>:<目标端口>
上述命令同样是由客户端负责执行,这点首先要理解清楚
下面还是将该命令拆解成两个部分来分析:
ssh <服务端用户>@<服务端地址> -p <服务端端口>-R <绑定地址>:<绑定端口>:<目标地址>:<目标端口>
第一部分与本地转发是完全一模一样,先建立客户端与服务端连接的隧道
第二部分是远程转发的关键配置所在,这是与本地转发最大的不同:
- 绑定端口:是指服务端上所绑定的端口【重点】
- 目标端口:是由客户端进行转发的目标【重点】
一句话概括远程转发的转发链路如下:
服务端绑定的端口收到请求时,通过隧道发送到客户端,再由客户端转发到目标端口【重点】
|--------------| |--------------| |-----------|
| 服务端的地址 |------->| 客户端的地址 |------->| 目标地址 |
| 所绑定的端口 |------->| 客户端的端口 |------->| 目标端口 |
|--------------| |--------------| |-----------|
隧道 转发
还是举一个例子来说明怎么配置远程转发,这里有一个经典的场景:
假设你需要在家里访问公司内网的服务器,并且你现在有一台外网的服务器,怎么办
很简单,其实就是配置远程转发,这也是我们说的做了个内网穿透
ssh <外网服务器用户>@<外网服务器地址> -R 0.0.0.0.8888:127.0.0.1:22
# 以上命令用内网服务器执行,此时客户端是内网服务器,服务端是外网服务器,目标地址是 127.0.0.1,也即内网服务器 22 端口
#
# 执行之后,家里的电脑使用 ssh 连接外网服务器 8888 端口,即可连接内网服务器 22 端口
# 需要注意,这里的绑定地址设置是 0.0.0.0
#
# 因为绑定的地址是服务端,即外网服务器,但后续接收的请求是来自家里电脑,不是同一台主机,所以需要设置为 0.0.0.0
#
# 这时还要修改服务端上的 ssh 配置文件 `/etc/ssh/sshd_config`,加上 `GatewayPorts yes`,并重启 sshd 服务后才能生效
最后介绍动态转发,动态转发可以理解成是特殊版的本地转发
通常用于本地主机想访问多个远程端服务或未知的远程端服务,其命令格式如下:
ssh <服务端用户>@<服务端地址> -p <服务端端口> -D <绑定地址>:<绑定端口>
上述命令同样是在客户端执行,也可分为两个部分:
ssh <服务端用户>@<服务端地址> -p <服务端端口>-D <绑定地址>:<绑定端口>
第一部分与本地转发和远程转发一致,用于建立客户端与服务端之间的连接隧道
第二部分是转发规则的配置,在这里,只需配置绑定端口,而无需配置目标端口
这里的绑定端口是指客户端上的端口,这与本地转发一致【重要】
这里没目标端口,则是因为转发目标由发起的请求所决定【重要】
一句话概括动态转发的转发链路如下:
客户端绑定的端口收到请求时,通过隧道发送到服务端,再由服务端转发该请求
服务端转发的请求就是客户端收到的请求,这样就能达到动态转发的效果啦
例如,客户端收到的请求地址是 hostA: portA,则由服务端转发到 hostA: portA
|--------------| |--------------|
| 客户端的地址 |------->| 服务端的地址 |-------> 目标地址和目标端口
| 所绑定的端口 |------->| 服务端的端口 |-------> 由发起的请求所决定
|--------------| |--------------|
隧道 转发
写到这里,不知道大家有没有觉得哪里很奇怪,我们举个例子说:
假设现在本地绑定端口收到请求 <remoteHost>:<remotePort>
然后这个请求通过隧道给服务端
最后再由服务端去转发这个请求 <remoteHost>:<remotePort>,那么 <remoteHost>:<remotePort> 就能收到
这些步骤都没有问题,可问题是 本地主机怎么才能让绑定的端口收到请求 <remoteHost>:<remotePort>
举个具体的例子来说:
假如现在要访问百度,行,那么请求就是 百度地址:80,但是这样请求就直接发出去了,没有到绑定的地址和端口
如果想要到绑定端口也行,那么就只能是 127.0.0.1:绑定端口,这样就能通过隧道给服务端,服务端再去做转发
服务端转发了什么呢?由发起的请求决定 127.0.0.1:绑定端口,实际上就发给了自己,而且端口也是绑定的端口
就是说吧,很奇怪,问题在哪呢?
还是那个:本地主机怎么才能让绑定的端口收到请求 <remoteHost>:<remotePort>
这时就需要我们先在本地主机上设置系统或应用代理
使得发送到本地主机上的请求能先发送到绑定的端口 127.0.0.1:绑定端口
然后再通过隧道发送给服务端,并由服务端进行转发
举例来说,如果要在 macOS 设置系统代理,可参考:官方文档
好了,说了这么多,终于介绍完了三种端口转发模式,总结一下:
| 模式 | 命令 |
|---|---|
| 本地转发 | ssh <服务端用户>@<服务端地址> -p <服务端端口> -L <客户端绑定地址>:<客户端绑定端口>:<目标地址>:<目标端口> |
| 远程转发 | ssh <服务端用户>@<服务端地址> -p <服务端端口> -R <服务端绑定地址>:<服务端绑定端口>:<目标地址>:<目标端口> |
| 动态转发 | ssh <服务端用户>@<服务端地址> -p <服务端端口> -D <客户端绑定地址>:<客户端绑定端口> |
无论是哪一种方式,都需要先建立起客户端与服务端的连接隧道
但是这种连接往往不够稳定,所以推荐使用autossh来维护连接
autossh 会对连接进行监听,如果发现连接断开,就会自动重连
使用方法也很简单,只要用 autossh 替换掉 ssh,并加 -M 参数指定监听服务端口即可
autossh <服务端用户>@<服务端地址> -p <服务端端口> -L/-R/-D ... -M <监听服务端口>
当然,为了不用每次重连时都要输入密码,可以设置下免密登录
这点就不用多说了,上面已经有介绍过了
4、文件传输
最后我们介绍 ssh 的另一个应用场景,安全文件传输
为了更方便地使用,这里先推荐一个名为 scp 的工具,全称 Secure Copy
这个工具利用 ssh 实现文件传输和身份认证,用起来很方便
命令格式如下:
scp <source> <target> # 表示从 <source> 传输到 <target>
来举两个例子:
- 本地主机上传文件到远程主机
scp <本地主机文件路径> <远程主机用户>@<远程主机地址>:<远程主机目标路径>
# e.g.
# scp /path/to/source user@222.234.133.144:/path/to/target
# 上述命令在 本地主机执行,这里:
# source 为 <本地主机文件路径>
# target 为 <远程主机用户>@<远程主机地址>:<远程主机目标路径>
# 如果上传的是目录,那么需要加上 -r 参数
# 另外可以加上 -P <port> 参数指定远程主机端口
- 本地主机从远程主机下载文件
scp <远程主机用户>@<远程主机地址>:<远程主机文件路径> <本地主机目标路径>
# e.g.
# scp user@222.234.133.144:/path/to/source /path/to/target
# 上述命令在本地主机执行,这里:
# source 为 <远程主机用户>@<远程主机地址>:<远程主机文件路径>
# target 为 <本地主机目标路径>
# 如果下载的是目录,那么需要加上 -r 参数
# 另外可以加上 -P <port> 参数指定远程主机端口
好啦,本文到此结束,感谢您的阅读!
如果你觉得这篇文章有需要修改完善的地方,欢迎在评论区留下你宝贵的意见或者建议
如果你觉得这篇文章还不错的话,欢迎点赞、收藏、关注,你的支持是对我最大的鼓励 (/ω\)
