简单介绍一下,SSH是用一种协议,它可以让一台计算机用一种比较安全的方式登录远程主机。想要详细了解的童鞋可以看看wikipedia上的介绍
,比我讲的好很多,这里就不多说了。我们只讲它的基本用法。
先介绍一下系统环境:
远程连接自然需要两台主机,它们都处在一个局域网下。本地主机的IP是192.168.0.100
,远程主机的IP是192.168.0.120
。
两台主机都采用Ubuntu 8.10
系统,SSH服务端和客户端采用免费的OpenSSH
。
本地主机的有个用户为alex
,远程主机有个用户为bill
。
我们的目的,就是让本地主机的alex,通过SSH以bill的身份登录到远程主机。
连接远程主机
要使用SSH连接,自然需要相应的客户端和服务端软件,这里采用OpenSSH。记住两台主机都要装。这里为了偷懒,就直接给两台主机都装了客户端和服务端。
sudo apt-get install openssl-server openssh-client
安装完成后,在本地主机的终端上执行以下命令:
ssh bill@192.168.0.120
如果是第一次想某远程主机发起SSH连接,系统会提示你该主机地址不在known host里,这时输入yes就可以继续了。然后系统会提示你输入bill
的密码,输入正确后,终端的提示符会变成bill@remote-hostname,这就说明你已经以bill的身份成功登录了,之后就可以像使用本地主机一样,操作远程主机的文件了(能做的操作取决于bill的权限)。在提示符下输入exit
就会退出登录。很简单吧。
ssh命令的基本用方法就是 ssh username@ipaddress 。username就是远程主机的用户,ipaddress是远程主机的IP地址,你也可以把它换成域名。你可以只输入ssh来获得它的帮助信息,查看更多细节。
请记住username@ipaddress
这种格式,因为它在其他命令行工具(如 git
和 scp
)中屡见不鲜,这时你就知道该工具是用SSH来访问远程主机的。
使用公钥认证(public key),避免使用密码
现在你已经熟悉了SSH的基本用法(一行命令而已),但每次发起连接都要输入密码很是烦人。而且实际环境中因为种种原因,基本不会告诉你远程主机的密码的。那没有密码,如何验证某主机可以以bill的身份登录呢?我们可以使用公钥(public key)和密钥(private key)代替密码。
首先简单讲讲公钥验证机制:公钥和密钥是两份文件,服务端持有公钥,用来加密;客户端持有密钥,用来解密。客户端向服务端发起连接请求时,服务端会生成一串随机数,经过公钥加密后传给客户端。这时客户端会用密钥解密获取随机数,再返回服务端。最后服务端判断一下,如果客户端能够返回正确的随机数,就认为校验通过了 ,可以进行连接。否则您就从哪儿来会哪儿去吧。
公钥验证机制的存在其实是为了提供一种比密码验证机制更安全的方式,使用公钥认证,就只需要把自己生成的公钥发给管理员,而不需要管理员把服务器的用户密码告诉每一个人(而且以后更改密码可能还要再通知一遍)。对你而言,则可以把公钥发给多个服务端,也避免了去记住不同服务端的用户密码的麻烦。
现在说说怎么做。首先,本地主机(客户端)需要生成公钥(public key)和密钥(private key)。运行以下命令:
ssh-keygen -t rsa
ssh-keygen命令用来生成公钥和密钥(下面简称key),这个命令会在~/.ssh
目录下生成两个key文件。.ssh目录是SSH为主机上每个用户分别建立的一个目录,用来存放用户层面的配置信息的。
ssh-keygen可以生成两种格式的key,RSA和DSA。可以用 -t 参数指定。其实不加任何参数,ssh-keygen就会默认生成RSA的key。这里加上它只是说明一下 -t 这个比较重要的参数而已。使用 -h
参数可以查看帮助信息,注意 --help 是没用的
……
输入命令后,系统会询问你待生成的密钥文件的名字,默认id_rsa,然后会要你输入一个密语(passphrase)来加密密钥(可以为空)。之后就生成了密钥和公钥,默认公钥文件的名字是密钥文件名加上 .pub
后缀。本文使用默认设置,会生成密钥 id_rsa
和 公钥 id_rsa.pub
。
上面说了,远程主机(服务端)需要一份公钥,所以你要把公钥给它。方法有很多。这里我们使用scp命令来远程传文件。传完之后,本地主机的id_rsa.pub文件就没用了,你可以删除它,或者留着它,以后再发给其他的远程主机。
scp id_rsa.pub bill@192.168.0.120:~/alex_id_rsa.pub
上面的命令用来把文件复制到远程主机的bill用户根目录下,并改名为alex_id_rsa.pub。这个命令和cp命令差不多,只是把目标地址换成了远程主机的地址。一看这格式就知道,scp是使用SSH进行远程通信的。所以下面的内容你知道了——再输一次密码,这是最后一次了。
这里的SSH地址稍微多了点东西,它的格式为 username@ipaddress:file_or_directory
。就是在原来的基础上加了一个冒号,后面接文件或目录的路径。使用这种表示法,理论上你可以定义到任何一台主机的文件。
现在复制完毕,但你还需要把id_rsa.pub中的内容添加到.ssh目录下的authorized_keys文件中去。如果没有,你就要建立一个。说起来很多,实际也就是一行命令:
cat alex_id_rsa.pub >> authorized_keys
这是一个简单的linux重定向,意思是把alex_id_rsa.pub中的内容 增量添加
到authorized_keys中。注意是增量添加,因为这个文件里不止存放一个公钥,看文件名就知道,不是么?
现在所有设置都完成了,再来试试:
ssh bill@192.168.0.120
如果你之前运行ssh-keygen时,输入过为密钥加密的密语,这时系统会提示你输入密语。这是因为本地主机需要调用密钥id_rsa进行解密。但密钥本身被加密了,所以你要先解密密钥。输入正确的密语后,就会成功进入远程主机。但exit之后,下次发起连接时,还会要你输入密语……(也许你的机器有不同的表现,我们下面会讲)。这完全没达到我们偷懒的目的。但我没说假话,至少你确实不需要输入密码了
。至于如何避免输入密语,这就是我们下面要讲的。
一些不同之处
如果使用ssh-keygen时,没有填写密语,那么系统以后都不会要求你输入密语。这样确实挺方便,但缺点就是不加密的密钥容易被有心人利用。当然,使用哪种方案,取决于你的实际使用环境。只是记住,还是有办法可以避免频繁地输入密语。
如果你使用密钥验证方式用SSH发起远程连接时,Ubuntu弹出一个图形化提示框要求你“输入密码以解锁私钥”,恭喜你,你只用输入一次密钥密语。直到你注销alex用户前,每次你发起SSH连接时都不会被要求输入密语。如果你用ssh-keygen生成密钥时,使用的默认文件名,发起SSH连接时一般都会出现这种情况。我想这是Ubuntu自动缓存了解密后的密钥文件,这也是下面我们要将的“缓存密钥”。如果你就是这种情况,下面的缓存部分就不用看了。
如果你生成密钥时使用自定义的文件名(比如alex_rsa),那么还有个麻烦,就是使用ssh命令时,它会需要你手动指定私钥文件,如下所示:
ssh -i alex_rsa bill@192.168.0.120
这是因为ssh需要密钥时,默认只会去找~/.ssh目录下的identity、id_rsa和id_dsa三个文件,就像它只会从authorized_keys和authorized_keys2两个文件中去找密钥一样。这是默认约定。自己掰虽然自由,但代价就是还有一堆东西等着你去掰……还是Convention Over Configuration比较方便。
最后,如果你想用先进一点的DSA
而不是古老的RSA
……这没那么麻烦,只需在ssh-keygen时改动一下 -t
参数(注意生成的文件是id_dsa和id_dsa.pub)。但你最好在服务端执行cat命令时,把authorized_keys改成authorized_keys2。这是为了分别存放RSA和DSA的公钥。虽然你把DSA的公钥放进authorized_keys中也不会有任何问题(反之亦然)。
缓存密钥(private key),避免输入密语
缓存密钥可以使你只需输入一次密语,以后它都不会来麻烦你了。方法很简单,一个命令行工具ssh-add可以把你指定的密钥文件加入到缓存中。
ssh-add ~/.ssh/id_rsa
加入时,会要你输入一次密语。再发起SSH连接时,都不会要你输入密语了,直到你本地主机的用户注销。
注:有些其他的文章里会使用ssh-agent,但经我测试其实不需要启动ssh-agent就可以缓存密钥。有一篇文章讲ssh-agent可以用来做密钥转发,但这点对我没什么用处,就没试过。如果有童鞋知道ssh-agent和ssh-add的关系,请不吝赐教!
再偷懒一把,使用config配置文件保存用户和主机名
现在我们使用了公钥认证代替了密码认证,又缓存了密钥密语。但在实验过程中你应该敲了不少此命令:
ssh bill@192.168.0.120
也许你已经难以忍受每次都敲又臭又长的IP地址。如果我们能把它改成
ssh server
该多好。下面我们就来做这件事。你可以在当前用户的.ssh目录下建立一个config文件,去保存一些自定义的配置。我们可以把用户名和主机名保存进去。使用任何你熟悉的编辑器,在文件中加入如下代码:
Host server
User bill
HostName 192.168.0.120
大概解释一下:我们定义了一个叫server的host,它下面的所有配置项(直到下一个host定义之前)都隶属于这个host,我们为server设定了用户名和密码。以后在任何需要敲 bill@192.168.0.120
的地方,你都可以使用server
来替代。这并不限于ssh命令,比如:
scp id_rsa server:~/
是不是很爽呢?
参考资料
OpenSSH Public Key Authentication
HOWTO: set up ssh keys
通用线程:OpenSSH 密钥管理,第二部分
SSH密钥管理和通用代理
自动登录SSH的几种方法
分享到:
相关推荐
2. 创建SSH连接:使用SshClient类创建一个SSH连接。以下是一个简单的示例: ```csharp using Tamir.SharpSsh; public void ConnectToSSH(string host, string username, string password) { SshClient ssh = new ...
- 在VSCode中使用【Remote - SSH】插件,配置远程主机的连接信息,包括用户名和IP地址。 - 输入主机账户的登录密码完成连接。 5. **远程运行代码**: - 打开VSCode的【文件】菜单,选择【打开文件夹】,在远程...
5. **测试SSH连接**:使用`ssh 用户名@远程主机地址`尝试连接,如果配置正确,应能成功登录。 SSH还有其他高级特性,如端口转发,允许将本地端口的数据流通过SSH隧道转发到远程服务器,增强网络通信的安全性。此外...
- 添加允许SSH流量传出的规则:`# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT`,这条规则允许从内部向外部发起SSH连接。 3. **重启SSH服务**: - 使用`service sshd restart`命令重启SSHD服务,确保新配置...
总结来说,这个工程为你提供了一个基础的SSH连接远程服务器的Java实现,包括JSch库的使用和Log4j日志配置。通过学习这个工程,你可以掌握在Java应用中如何安全地连接和操作远程服务器,同时也能了解如何进行基本的...
ssh远程连接其他主机并执行命令,只能执行少量命令。也可自行优化改进
在Windows平台下通过SSH访问远程主机(Ubuntu)的知识点涵盖以下几个方面: 1. Windows平台下SSH访问虚拟化主机的准备工作: - 安装并配置虚拟机软件(如VirtualBox)。 - 准备一个Ubuntu操作系统镜像,并安装于...
好用的一款linux远程连接软件bitvise-ssh-client,支持保存连接信息共享.
使用 SSH 客户端来连接远程主机,只需输入一个命令 : SSH [user]@hostnmae 其中user表示用户名,hostname表示主机名/IP地址。登录远程主机后,使用者可以在远程主机上执行任意命令。 3. 配置SSH 要正确配置SSH...
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他...熟悉并掌握这些知识点,将使你在使用SSH连接工具时更加得心应手,无论是在日常运维还是开发工作中,都能大大提高效率和安全性。
本篇文章将详细讲解如何在Windows环境下使用公私钥对通过SSH连接远程CentOS机器,主要涉及以下几个关键知识点: 1. **Git Bash与MobaXterm**:在Windows上,我们可以借助于Git Bash或MobaXterm这样的工具来模拟...
SecureCRT是一款广泛使用的SSH(Secure Shell)远程连接工具,它为用户提供了一个安全、可靠的终端模拟器,用于连接和支持多种协议的远程主机,包括SSH1、SSH2、Telnet、Rlogin和Serial。这款软件以其强大的功能和...
总之,Java通过SSH连接远程主机并读取文件是通过第三方库实现的,`ganymed-ssh2`提供了强大的功能和灵活性。理解和掌握这些技术对于开发涉及远程文件操作的应用至关重要。在实际开发中,需要结合具体需求,灵活运用...
"使用 SSH 连接 Window 主机和 Ubuntu 虚拟机" 在本文中,我们将探讨如何使用 SSH 连接 Window 主机和 Ubuntu 虚拟机。SSH(Secure Shell)是一种安全的网络协议,用于远程登录和管理计算机。 1. 配置虚拟机 IP ...
- **SSH服务器**:如OpenSSH服务器,部署在远程主机上,接收并处理SSH连接请求。 - **密钥生成工具**:如`ssh-keygen`,用于创建公钥/私钥对。 - **配置文件**:如`ssh_config`和`sshd_config`,用于定制SSH的行为和...
当用户尝试连接远程服务器时,SSH会验证客户端的身份,如果认证成功,就会建立一个加密的通道,允许用户像直接坐在远程机器前一样进行操作。 在Linux系统中,常用的SSH工具包括`ssh`命令行工具和图形化的终端模拟器...
第一种方式是在Windows环境下安装SSH客户端,如SSHSecureShellClient,这样可以在保持Windows工作环境的同时,利用SSH连接到HP工作站进行Linux开发环境的操作。这种方式仅支持命令行界面,不支持图形化操作。第二种...
脚本逐行读取这些IP,使用SSH连接到每个主机并执行传递的参数(在本例中是`ls`命令,用于列出目录内容)。 这个解决方案在运维和自动化场景中非常有用,例如批量更新系统、部署应用或者收集日志信息。但是,要注意...
1. **SSH连接**:PuTTY支持SSH1和SSH2协议,用户可以配置主机名、端口号(默认为22)、用户名和认证方式。 2. **终端模拟器**:PuTTY内置了一个终端模拟器,可以显示远程服务器的命令行输出,并接受用户的输入。 3...
VScode远程开发之ssh连接虚拟机 VScode作为一款功能强大的代码编辑器,为...VScode使用ssh连接虚拟机可以实现远程开发和调试,提高开发效率。但是,需要注意设置ssh路径和虚拟机配置等注意事项,以确保连接成功。