本篇內(nèi)容介紹了“l(fā)inux ssh使用的方法有哪些”的有關(guān)知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!
成都創(chuàng)新互聯(lián)公司服務(wù)項目包括易門網(wǎng)站建設(shè)、易門網(wǎng)站制作、易門網(wǎng)頁制作以及易門網(wǎng)絡(luò)營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,易門網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到易門省份的部分城市,未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!
openssh軟件包包含以下命令:
sshd ―― ssh服務(wù)端程序
sftp-server ―― sftp服務(wù)端程序(類似ftp但提供數(shù)據(jù)加密的一種協(xié)議)
scp ―― 非交互式sftp-server的客戶端,用來向服務(wù)器上傳/下載文件
sftp ―― 交互式sftp-server客戶端,用法和ftp命令一樣。
slogin ―― ssh的別名
ssh ―― ssh協(xié)議的客戶端程序,用來登入遠(yuǎn)程系統(tǒng)或遠(yuǎn)程執(zhí)行命令
ssh-add ―― ssh代理相關(guān)程序,用來向ssh代理添加dsa key
ssh-agent ―― ssh代理程序
ssh-keyscan ―― ssh public key 生成器
ssh最常用的使用方式是代替telnet進(jìn)行遠(yuǎn)程登陸。不同于telnet的密碼登陸,ssh還同時支持publickey、keybord interactive、gssapi等多種登入方式,不像telnet那樣只有輸入系統(tǒng)密碼一種途徑。目前最常用的登陸方式還是傳統(tǒng)的password方式和publickey方式登陸。下面以redhat as4為例,舉例說明這兩種登陸方式的用法。
[root@mail ~]# ssh 172.18.6.227
the authenticity of host '172.18.6.227 (172.18.6.227)' can't be established.
rsa key fingerprint is 43:80:f2:e1:9b:b6:6e:c0:e2:dd:57:8f:ed:89:b3:81.
are you sure you want to continue connecting (yes/no)? yes
warning: permanently added '172.18.6.227′ (rsa) to the list of known hosts.
root@172.18.6.227‘s password:
last login: thu jul 12 18:47:47 2007 from 172.18.6.130
[root@qmail ~]#
第一次登陸后,ssh就會把登陸的ssh指紋存放在用戶home目錄的.ssh目錄的know_hosts文件中,如果遠(yuǎn)程系統(tǒng)重裝過系統(tǒng),ssh指紋已經(jīng)改變,你需要把 .ssh 目錄下的know_hosts中的相應(yīng)指紋刪除,再登陸回答yes,方可登陸。請注意.ssh目錄是開頭是”.”的隱藏目錄,需要ls –a參數(shù)才能看到。而且這個目錄的權(quán)限必須是700,并且用戶的home目錄也不能給其他用戶寫權(quán)限,否則ssh服務(wù)器會拒絕登陸。如果發(fā)生不能登陸的問題,請察看服務(wù)器上的日志文件/var/log/secure。通常能很快找到不能登陸的原因。
ssh遠(yuǎn)程執(zhí)行命令:
[root@mail ~]# ssh 172.18.6.227 ls -l /
root@172.18.6.227‘s password:
total 1244
drwxr-xr-x 2 root root 4096 jun 26 04:02 bin
drwxr-xr-x 4 root root 4096 mar 29 11:17 boot
drwxr-xr-x 2 root root 4096 jan 25 11:26 command
drwxr-xr-x 15 root root 4096 jun 12 20:09 data
drwxr-xr-x 9 root root 5360 jul 2 13:38 dev
drwxr-xr-x 87 root root 12288 jul 11 04:02 etc
drwxr-xr-x 20 root root 4096 apr 10 10:54 home
drwxr-xr-x 2 root root 4096 aug 13 2004 initrd
輸入正確的密碼后,ssh會鏈接遠(yuǎn)程服務(wù)器的sshd服務(wù)器程序,然后執(zhí)行遠(yuǎn)程服務(wù)器上的
ls –l /命令 ,并把輸入結(jié)果傳到本地服務(wù)器。相當(dāng)于你先登陸到遠(yuǎn)程服務(wù)器,然后再實行命令ls –l /,最后再登出服務(wù)器。需要提醒的是,如果你需要登陸服務(wù)器并執(zhí)行不止一個命令,必須要把命令用單引號或雙引號引起來:
ssh 172.18.6.227 “cd /root && ls “
ssh的遠(yuǎn)程實行命令的功能是用來代替原始的r系列命令的,在ssh出現(xiàn)之前系統(tǒng)管理員們不得不用rexec, rsh等不安全的遠(yuǎn)程執(zhí)行命令工具來完成同樣的操作。這個功能在管理大批機(jī)器的時候是非常有用的,比如我要重啟10.0.0.0/24網(wǎng)段內(nèi)所有的服務(wù)器,只要輸入一條命令:
for i in $(seq 1 254) ; do ssh 10.0.0.${i} reboot ; done
就可以完成重啟所有服務(wù)器的操作,也許你會說,這要雖然不需要再登陸每一臺服務(wù)器了,但是還是要每次輸入密碼,多麻煩啊。別急,下面要講的用ssh public key方式登陸就是要解決問題。
采用public key登錄:
openssh的ssh-keygen命令用來產(chǎn)生這樣的私鑰和公鑰。
[root@mail ~]# ssh-keygen -b 1024 -t dsa -c gucuiwen@myserver.com
generating public/private dsa key pair.
#提示正在生成,如果選擇4096長度,可能需要較長時間
enter file in which to save the key (/root/.ssh/id_dsa):
#詢問把公鑰和私鑰放在那里,回車用默認(rèn)位置即可
enter passphrase (empty for no passphrase):
#詢問輸入私鑰密語,為了實現(xiàn)自動登陸,應(yīng)該不要密語,直接回車
enter same passphrase again:
#再次提示輸入密語,再次直接回車
your identification has been saved in /root/.ssh/id_dsa.
your public key has been saved in /root/.ssh/id_dsa.pub.
#提示公鑰和私鑰已經(jīng)存放在/root/.ssh/目錄下
the key fingerprint is:
71:e5:cb:15:d3:8c:05:ed:05:84:85:32:ce:b1:31:ce gucuiwen@myserver.com
#提示key的指紋
說明:
-b 1024 采用長度為1024字節(jié)的公鑰/私鑰對,最長4096字節(jié),一般1024或2048就可以了,太長的話加密解密需要的時間也長。
-t dsa 采用dsa加密方式的公鑰/私鑰對,除了dsa還有rsa方式,rsa方式最短不能小于768字節(jié)長度。
-c gucuiwen@myserver.com 對這個公鑰/私鑰對的一個注釋和說明,一般用所有人的郵件代替??梢允÷圆粚?,更多其他參數(shù)請man ssh-keygen。
[root@mail ~]# ls -l /root/.ssh
total 16
-rw——- 1 root root 668 jul 12 20:07 id_dsa
-rw-r–r– 1 root root 611 jul 12 20:07 id_dsa.pub
-rw-r–r– 1 root root 222 jul 12 19:37 known_hosts
產(chǎn)生的公鑰/私鑰文件在用戶home目錄的.ssh目錄下,其中id_dsa.pub是公鑰,把產(chǎn)生的公鑰上傳到需要登陸的服務(wù)器的對應(yīng)用戶目錄的home目錄的.ssh目錄下,再一次強(qiáng)調(diào)用戶自己的目錄(home目錄)必須不能有其他人可寫的權(quán)限,.ssh目錄的權(quán)限必須是700,即除了用戶自己,其他人沒有任何讀寫察看該目錄的權(quán)限,否則ssh服務(wù)器會拒絕登陸。ssh默認(rèn)的公鑰文件是用戶home目錄下的.ssh目錄下的authorized_keys文件,因此需要把產(chǎn)生的公鑰以這個文件名放到服務(wù)器的/root/.ssh/目錄下,這個文件中可以存放多個客戶端的公鑰文件,就好比一個大門上可以上很多鎖,可以有不同的鑰匙來嘗試開鎖,只要有一個鎖被打開了,門就可以打開了。放到服務(wù)器上應(yīng)該是這樣子的:
私鑰必須是600權(quán)限,否則ssh服務(wù)器會拒絕用戶登陸。
大致就是這個樣子了。現(xiàn)把/etc/ssh/ssh_config 和 /etc/ssh/sshd_config的配置說下。
/etc/ssh/ssh_config:
host *
選項“host”只對能夠匹配后面字串的計算機(jī)有效?!?”表示所有的計算機(jī)。
forwardagent no
“forwardagent”設(shè)置連接是否經(jīng)過驗證代理(如果存在)轉(zhuǎn)發(fā)給遠(yuǎn)程計算機(jī)。
forwardx11 no
“forwardx11”設(shè)置x11連接是否被自動重定向到安全的通道和顯示集(display set)。
rhostsauthentication no
“rhostsauthentication”設(shè)置是否使用基于rhosts的安全驗證。
rhostsrsaauthentication no
“rhostsrsaauthentication”設(shè)置是否使用用rsa算法的基于rhosts的安全驗證。
rsaauthentication yes
“rsaauthentication”設(shè)置是否使用rsa算法進(jìn)行安全驗證。
passwordauthentication yes
“passwordauthentication”設(shè)置是否使用口令驗證。
fallbacktorsh no
“fallbacktorsh”設(shè)置如果用ssh連接出現(xiàn)錯誤是否自動使用rsh。
usersh no
“usersh”設(shè)置是否在這臺計算機(jī)上使用“rlogin/rsh”。
batchmode no
“batchmode”如果設(shè)為“yes”,passphrase/password(交互式輸入口令)的提示將被禁止。當(dāng)不能交互式輸入口令的時候,這個選項對腳本文件和批處理任務(wù)十分有用。
checkhostip yes
“checkhostip”設(shè)置ssh是否查看連接到服務(wù)器的主機(jī)的ip地址以防止DNS欺騙。建議設(shè)置為“yes”。
stricthostkeychecking no
“stricthostkeychecking”如果設(shè)置成“yes”,ssh就不會自動把計算機(jī)的密匙加入“$home/.ssh/known_hosts”文件,并且一旦計算機(jī)的密匙發(fā)生了變化,就拒絕連接。
identityfile ~/.ssh/identity
“identityfile”設(shè)置從哪個文件讀取用戶的rsa安全驗證標(biāo)識。
port 22
“port”設(shè)置連接到遠(yuǎn)程主機(jī)的端口。
cipher blowfish
“cipher”設(shè)置加密用的密碼。
escapechar ~
“escapechar”設(shè)置escape字符。
/etc/ssh/sshd_config:
port 22
“port”設(shè)置sshd監(jiān)聽的端口號。
listenaddress 192.168.1.1
“l(fā)istenaddress”設(shè)置sshd服務(wù)器綁定的ip地址。
hostkey /etc/ssh/ssh_host_key
“hostkey”設(shè)置包含計算機(jī)私人密匙的文件。
serverkeybits 1024
“serverkeybits”定義服務(wù)器密匙的位數(shù)。
logingracetime 600
“l(fā)ogingracetime”設(shè)置如果用戶不能成功登錄,在切斷連接之前服務(wù)器需要等待的時間(以秒為單位)。
keyregenerationinterval 3600
“keyregenerationinterval”設(shè)置在多少秒之后自動重新生成服務(wù)器的密匙(如果使用密匙)。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。
permitrootlogin no
“permitrootlogin”設(shè)置root能不能用ssh登錄。這個選項一定不要設(shè)成“yes”。
ignorerhosts yes
“ignorerhosts”設(shè)置驗證的時候是否使用“rhosts”和“shosts”文件。
ignoreuserknownhosts yes
“ignoreuserknownhosts”設(shè)置ssh daemon是否在進(jìn)行rhostsrsaauthentication安全驗證的時候忽略用戶的“$home/.ssh/known_hosts”
strictmodes yes
“strictmodes”設(shè)置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的權(quán)限和所有權(quán)。這通常是必要的,因為新手經(jīng)常會把自己的目錄和文件設(shè)成任何人都有寫權(quán)限。
x11forwarding no
“x11forwarding”設(shè)置是否允許x11轉(zhuǎn)發(fā)。
printmotd yes
“printmotd”設(shè)置sshd是否在用戶登錄的時候顯示“/etc/motd”中的信息。
syslogfacility auth
“syslogfacility”設(shè)置在記錄來自sshd的消息的時候,是否給出“facility code”。
loglevel info
“l(fā)oglevel”設(shè)置記錄sshd日志消息的層次。info是一個好的選擇。查看sshd的man幫助頁,已獲取更多的信息。
rhostsauthentication no
“rhostsauthentication”設(shè)置只用rhosts或“/etc/hosts.equiv”進(jìn)行安全驗證是否已經(jīng)足夠了。
rhostsrsaauthentication no
“rhostsrsa”設(shè)置是否允許用rhosts或“/etc/hosts.equiv”加上rsa進(jìn)行安全驗證。
rsaauthentication yes
“rsaauthentication”設(shè)置是否允許只有rsa安全驗證。
passwordauthentication yes
“passwordauthentication”設(shè)置是否允許口令驗證。
permitemptypasswords no
“permitemptypasswords”設(shè)置是否允許用口令為空的帳號登錄。
allowusers admin
“allowusers”的后面可以跟著任意的數(shù)量的用戶名的匹配串(patterns)或user@host這樣的匹配串,這些字符串用空格隔開。主機(jī)名可以是dns名或ip地址。
將ssh2兼容格式的公鑰轉(zhuǎn)換成為openssh兼容格式
ssh-keygen -i -f identity.pub >> /root/.ssh/authorized_keys2
“l(fā)inux ssh使用的方法有哪些”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實用文章!