SSH：Secure Shell Protocol 。SSH是远程连接，管理Linux机器的服务，属于TCP/IP协议簇，传输过程中，数据是加密的，默认端口22。

SSH服务端的功能包括SSH远程连接和SFTP服务等

1
2
3
4
5
6
7

rpm -ql openssh-server			# 查看ssh服务端的重要内容，以下仅列出常用

/etc/ssh/sshd_config			# ssh服务端的配置文件
/usr/lin/systemd/system/sshd.service		# sshd服务的启动文件
/usr/libexec/openssh/sftp-server	# sftp服务
/usr/sbin/sshd						# sshd服务
/usr/sbin/sshd-keygen				# 生成密钥的工具

SSH客户端包括ssh远程连接命令、scp远程拷贝命令、sftp连接命令等。

1
2
3
4
5
6
7

rpm -ql openssh-clients			# 查看ssh客户端命令，以下是常用命令

/etc/ssh/ssh_config		# ssh客户端的配置文件
/usr/bin/scp			# scp命令，全量加密远程拷贝文件
/usr/bin/sftp			# sftp命令
/usr/bin/ssh			# 远程连接命令
/usr/bin/ssh-copy-id	# 拷贝密钥中的公钥文件命令

另外还有openssl软件包，负责加密的相关命令和服务。

SSH图解

相关命令

SSH相关命令

• 远程连接主机

  1 2	ssh -p 端口号 用户名@主机IP # 远程连接主机的命令 ssh 主机IP # [-p 端口号]可省略，默认使用22端口，[用户名@]省略，默认root

• 远程执行命令

  1	ssh 主机IP 命令 # 默认root连接

SCP相关命令

SCP类似于rsync，分为推和拉两个动作，命令也和rsync比较相似。区别是SCP 是加密和全量。

• scp选项

  1 2 3 4

  -P 指定端口 -p 复制属性 -r 递归拷贝 -l 限制速度

• scp推送

  1 2	scp -P 22 -rp [本地目录] 用户名@主机IP:[远程目录] scp -P 22 -rp /data/ root@192.168.1101.35:/backup # 举例

• scp拉取

  1 2	scp -P 22 -rp 用户名@主机IP:[远程目录] [本地目录] scp -P 22 -rp root@192.168.110.135:/backup /data # 举例

SFTP相关命令

SFTP是加密的FTP服务，区别是加密，以及SFTP的缺点是默认不能锁定某个目录。

常用的图像化sftp软件：winscp，flashftp

• sftp连接

  1	sftp -oPort=端口号 用户名@主机IP # SFTP远程连接

• sftp上传和下载

  1 2 3 4

  put "/etc/host" # 上传本地文件到远端的家目录 put /etc/host /tmp # 上传本地文件到远端的/tmp目录 get /etc/yum.conf # 将远端文件下载到本地家目录 get /etc/yum.conf /etc # 将远端文件下载到本地的/etc目录下

配置文件

优化ssh配置

1
2
3
4
5
6
7
8

vim /etc/ssh/sshd_config		# 编辑ssh服务端配置文件，以下配置可以优化

Port 52113						# 使用大于10000的端口
PermitRootLogin	no				# 禁止root远程登录
PermitEmptyPassword no			# 禁止空密码登录
UseDNS no						# 不使用DNS解析
GSSAPIAuthentication no			# 提升连接速度
ListenAddress 192.168.110.35	# 只允许特定IP登录 

防止Linux SSH入侵

1
2
3
4
5
6
7
8

1. 使用密钥登录，不用密码登录
2. 防火墙封闭非对外的服务，限制IP访问
3. 更改默认端口，禁止root远程连接
4. 直接禁止SSH直接远程，只能登录VPN再连接
5. 尽量不给Linux服务器外网IP
6. 各种最小化原则（包括软件安装、服务开启、授权等）
7. 给系统的重要文件和命令做指纹，方便随时比对是否被篡改
8. 给核心文件加锁

密钥认证

• 客户端

  1 2 3 4

  ssh-kergen # 生成私钥和公钥文件，如有必要可设置私钥密码（自定义，加强私钥安全性） ls /root/.ssh/ # 在此查看生成的私钥和公钥文件 id_rsa 和 id_rsa.pub ssh-copy-id -i 服务端IP # 把公钥发送给服务端，需要输入一次服务端root账号的密码 ssh root@服务端IP # 连接服务端，可以不登录root，登录其他用户。如果设置的私钥密码需要输入一次私钥密码

• 服务端

  1 2 3

  ls /root/.ssh # 查看客户端发来的公钥文件 authorized_keys，权限为600，/root/.ssh 文件夹权限为700 vim /etc/ssh/sshd_config # 编辑ssh配置文件 PasswordAuthentication no # 添加此行，表示不允许使用账号密码登录，只允许使用密钥 登录

• Xshell使用密钥连接服务器

  1	工具-->新建用户密钥生成向导-->在服务器的/root/.ssh目录下新建 authorized_keys 文件，将生成的公钥复制进去-->将登录方法改为public key

批量管理

当一台管理机需要管理数量众多的机器时，可以使用ssh远程连接并批量管理，比如：

重启所有机器

1
2
3
4
5
6
7
8
9
10

vim /server/scripts/cmd.sh		# 新建一个脚本文件，添加以下内容

#!/bin/bash
for n in 5 6 7 8 9
do
	echo "======192.168.110.$n======"
	ssh 192.168.110.$n "$1"
done

/server/scripts/cmd.sh reboot		# 执行此脚本，所有机器将重启

分发文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

#!/bin/bash
. /etc/init.d/functions

if [ $# -ne 2 ]
then
    echo "usage:sh $0 localfile remotedir"
    exit 1
fi

for n in $(cat /tmp/ip.conf)
do
    scp -P 22 -rp "$1" "root@192.168.110.13$n:$2" &>/dev/null
    if [ $? -eq 0 ]
    then
        action "192.168.110.13$n" /bin/true
    else
        action "192.168.110.13$n" /bin/false
    fi
done