ssh简介与使用

使用SSH的优点：
1）利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题，也能够防止DNS欺骗和IP欺骗。
2）使用SSH传输的数据是经过压缩的，所以可以加快传输的速度 。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。

第二种级别（基于密钥的安全验证）：你必须为自己创建一对密钥，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密钥进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公钥，然后把它和你发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。与第一种级别相比，第二种级别不仅加密所有传输的数据，也不需要在网络上传送口令，因此安全性更高，可以有效防止中间人攻击。

1在客户端（本地）生成密钥对

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录，这里密钥锁码设置为空。完成上述步骤后，在 root 用户的家目录中生成了一个 ssh 的隐藏目录，内含两个密钥文件，其中id_rsa 为私钥，id_rsapub 为公钥。

SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题

SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他 *** 作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台-包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。

1      ssh简介以及本例的应用场景

①       ssh的简介

SSH是一个用来替代TELNET、FTP以及R命令的工具包，主要是想解决口令在网上明文传输的问题。为了系统安全和用户自身的权益，推广SSH是必要的。 SSH是英文Secure Shell的简写形式。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。

②       本例的应用场景

用户在client(Linux)上通过ssh远程执行server(Windows)上的命令，比如c:\testbat

注：Linux版自带ssh Server且默认启动，具体设置方法请参见google。

2      ssh服务器的安装(Windows)

ssh服务器软件有许多中，我们这里使用的是免费的freeSSHd。

①       首先从官方站点下载软件并安装

②       安装完成后进入配置界面（Server Status），确认SSH server正在运行状态

③       进入Users界面，设定一个访问的用户账户（比如xut）

这里我们建立一个叫xut的用户，认证有3种方式可以选择。从以后通过ssh运行命令的方便（无需输入密码）考虑，我们选择Public key认证方式。选择Password方式的话，每次访问需要输入密码，此种方式较为繁琐而且安全性不高。然后开放其Shell权限。

④       进入认证界面，确认Public key认证方式属于激活状态（选择Allowed或Required）

此时ssh服务器端的基本设置已经OK，可进一步进行更加详细的设置（比如访问限定等），此处不再介绍。

注意：服务器端如果有防护墙时应该开发TCP 22号端口最为ssh连接使用。

3      ssh客户端的设置(Linux)

由于我们的客户端采用的是Linux，所以不用安装客户端软件，系统自带的就有。

我们需要在Linux上创建一个共有和私有的密钥对，私有密钥放到客户端（Linux）上，共有密钥放到服务器端（Windows）上。在Linux上通过ssh-keygen命令来创建。

[root@localhost ~]# ssh-keygen -t rsa

Generating public/private rsa key pair

Enter file in which to save the key (/root/ssh/id_rsa): [直接回车]

Enter passphrase (empty for no passphrase): [直接回车]

Enter same passphrase again: [直接回车]

Your identification has been saved in /root/ssh/id_rsa

Your public key has been saved in /root/ssh/id_rsapub

The key fingerprint is:

4d:dd:48:af:76:c2:ba:a8:bc:20:f3:28:1d:6a:28:53

其中，/root/ssh/id_rsa为私有密钥，/root/ssh/id_rsapub为共有的密钥。

此时，需要把共有密钥放到服务器端（Windows）进行保存，以便于服务器端进行安全检查。

我们通过认证界面找到存放共有密钥的地址(Public key folder)。

如上图所示，然后在c:\Program Files\freeSSHd目录下创建以登录用户名为名字的文本文件，此处举例为xut文件。并将/root/ssh/id_rsapub文件中的内容拷贝到c:\Program Files\freeSSHd\xut文件中。

至此，客户端和服务器端的密钥设置已经完成，可以通过如下命令进行远程的命令执行。

ssh xut@17228xxxxx "c:\testbat"

这条命令将执行服务器端的C盘下的testbat文件，并把结果返回,整个 *** 作不需输入密码。

4      ssh客户端的设置(Windows)

由于Windows不附带ssh的客户端和服务器端，我们这里找一个免费的客户端软件PuTTY。

PuttY主页：>

各种客户端的比较：>

在Putty主页，我们下载puttyzip（含除了PuTTYtel以外的所有文件），然后解压会发现一个叫plinkexe的文件，这就是我们的ssh客户端命令行软件。

我们首先要成一个共有和私有的密钥对，使用puttyzip中附带的PUTTYGENexe生成。

启动PUTTYGENexe后可以见到下图界面，点击[Generate]即可生成所需密钥对。

注意：由于是采用随机算法生成，需要不停地在对话框上移动鼠标进度条才会增加，否则将保持不变。

鼠标在这里不停移动

密钥生成完毕后，可以把私有密钥进行保存，为了登录简单起见不对私钥进行加密，提示没有passphrase选择忽略即可。假设我们这里把私钥保存为pri_keyppk。

我们把公钥放在freeSSHd端（ssh服务器端）进行保存，具体保存方法参见ssh客户端的设置(Linux)。

在Windows客户端，执行如下命令进行ssh连接，并不需要输入密码即可通过密钥进行自动认证。

plink -i pri_keyppk xut@17228xxxxx c:\testbat

（此时将执行服务器端的c:\testbat脚本。）

注：第一次连接时将出现“The server's host key is not cached in the registry… ”提示，我们选择确定就可以了，以后就不会再出现了。

ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于，前者是针对客户端的配置文件，后者则是针对服务端的配置文件。两个配置文件都允许你通过设置不同的选项来改变客户端程序的运行方式。下面列出来的是两个配置文件中最重要的一些关键词，每一行为“关键词&值”的形式，其中“关键词”是忽略大小写的。

1、编辑 /etc/ssh/ssh_config 文件

Host
ForwardAgent no
ForwardX11 no
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
FallBackToRsh no
UseRsh no
BatchMode no
CheckHostIP yes
StrictHostKeyChecking no
IdentityFile ~/ssh/identity
Port 22
Cipher blowfish
EscapeChar

下面对上述选项参数逐进行解释：

带“#”表示该句为注释不起作，该句不属于配置文件原文，意在说明下面选项均为系统初始默认的选项。说明一下，实际配置文件中也有很多选项前面加有“#”注释，虽然表示不起作用，其实是说明此为系统默认的初始化设置。

Host
"Host"只对匹配后面字串的计算机有效，“ ”表示所有的计算机。从该项格式前置一些可以看出，这是一个类似于全局的选项，表示下面缩进的选项都适用于该设置，可以指定某计算机替换 号使下面选项只针对该算机器生效。

ForwardAgent no
"ForwardAgent"设置连接是否经过验证代理（如果存在）转发给远程计算机。

ForwardX11 no
"ForwardX11"设置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY set）。

RhostsAuthentication no
"RhostsAuthentication"设置是否使用基于rhosts的安全验证。

RhostsRSAAuthentication no
"RhostsRSAAuthentication"设置是否使用用RSA算法的基于rhosts的安全验证。

RSAAuthentication yes
"RSAAuthentication"设置是否使用RSA算法进行安全验证。

PasswordAuthentication yes
"PasswordAuthentication"设置是否使用口令验证。

FallBackToRsh no
"FallBackToRsh"设置如果用ssh连接出现错误是否自动使用rsh，由于rsh并不安全，所以此选项应当设置为"no"。

UseRsh no
"UseRsh"设置是否在这台计算机上使用"rlogin/rsh"，原因同上，设为"no"。

BatchMode no
"BatchMode"：批处理模式，一般设为"no"；如果设为"yes"，交互式输入口令的提示将被禁止，这个选项对脚本文件和批处理任务十分有用。

CheckHostIP yes
"CheckHostIP"设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为"yes"。

StrictHostKeyChecking no
"StrictHostKeyChecking"如果设为"yes"，ssh将不会自动把计算机的密匙加入"$HOME/ssh/known_hosts"文件，且一旦计算机的密匙发生了变化，就拒绝连接。

IdentityFile ~/ssh/identity
"IdentityFile"设置读取用户的RSA安全验证标识。

Port 22
"Port"设置连接到远程主机的端口，ssh默认端口为22。

Cipher blowfish
“Cipher”设置加密用的密钥，blowfish可以自己随意设置。

EscapeChar
“EscapeChar”设置escape字符。

2、编辑 /etc/ssh/sshd_config 文件：

下面逐行说明上面的选项设置：

Port 22
"Port"设置sshd监听的端口号。

ListenAddress 19216811
"ListenAddress”设置sshd服务器绑定的IP地址。

HostKey /etc/ssh/ssh_host_key
"HostKey”设置包含计算机私人密匙的文件。

ServerKeyBits 1024
"ServerKeyBits”定义服务器密匙的位数。

LoginGraceTime 600
"LoginGraceTime”设置如果用户不能成功登录，在切断连接之前服务器需要等待的时间（以秒为单位）。

KeyRegenerationInterval 3600
"KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙（如果使用密匙）。重新生成密匙是为了防止用盗用的密匙解密被截获的信息。

PermitRootLogin no
"PermitRootLogin”设置是否允许root通过ssh登录。这个选项从安全角度来讲应设成"no"。

IgnoreRhosts yes
"IgnoreRhosts”设置验证的时候是否使用“rhosts”和“shosts”文件。

IgnoreUserKnownHosts yes
"IgnoreUserKnownHosts”设置ssh daemon是否在进行RhostsRSAAuthentication安全验证的时候忽略用户的"$HOME/ssh/known_hosts”

StrictModes yes
"StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的，因为新手经常会把自己的目录和文件设成任何人都有写权限。

X11Forwarding no
"X11Forwarding”设置是否允许X11转发。

PrintMotd yes
"PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。

SyslogFacility AUTH
"SyslogFacility”设置在记录来自sshd的消息的时候，是否给出“facility code”。

LogLevel INFO
"LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页，已获取更多的信息。

RhostsAuthentication no
"RhostsAuthentication”设置只用rhosts或“/etc/hostsequiv”进行安全验证是否已经足够了。

RhostsRSAAuthentication no
"RhostsRSA”设置是否允许用rhosts或“/etc/hostsequiv”加上RSA进行安全验证。

RSAAuthentication yes
"RSAAuthentication”设置是否允许只有RSA安全验证。

PasswordAuthentication yes
"PasswordAuthentication”设置是否允许口令验证。

PermitEmptyPasswords no
"PermitEmptyPasswords”设置是否允许用口令为空的帐号登录。

AllowUsers admin #限定登录的用户名
"AllowUsers”的后面可以跟任意的数量的用户名的匹配串，这些字符串用空格隔开。主机名可以是域名或IP地址。

服务端步骤如下：
编辑配置文件 /etc/ssh/sshd_config
vim /etc/ssh/sshd_config
找到 UseDNS选项，如果没有注释，将其注释

添加
UseDNS no

找到 GSSAPIAuthentication选项，如果没有注释，将其注释

添加
GSSAPIAuthentication no

保存配置文件

重启 OpenSSH服务器
/etc/initd/sshd restart

注意：

port 22

port 2345

SSH详解-1ssh基础知识
SSH详解-2ssh基本用法
SSH详解-3密钥登陆
SSH详解-4多个ssh公钥

OpenSSH 的客户端是二进制程序 ssh，Linux 系统一般都自带 ssh。新版的win10开启ssh服务，但不是很好用，可以使用一些好用的软件 Xshell 、 Putty 等

安装OpenSSH 以后，可以使用 -V 参数输出版本号，查看一下是否安装成功。
ubuntu

windows

ssh最常用的用途就是登录服务器，当然这需要服务器再运行着sshd。
ssh 登录服务器的命令如下,例如连接局域网内一台ip地址为192168198的主机

上面命令中，root是用户名，@后面的是主机名，它可以是域名，也可以是 IP 地址或局域网内部的主机名。

用户名也可以使用ssh的 -l 参数指定，这样的话，用户名和主机名就不用写在一起了。

ssh 默认连接服务器的22端口， -p 参数可以指定其他端口。

上面命令连接服务器192168198的8888端口，这里没有指定用户名。将使用客户端的当前用户名，作为远程服务器的登录用户名。

刚刚应该注意到这段话了，这段话是什么意思呢？

上面这段话的意思是192168198这个服务器的指纹是陌生的，是否要继续连接（输入 yes or no ）。

接下来，输入 yes 后ssh会将当前服务器的指纹存储在本机 ~/ssh/known_hosts 文件中。以后再连接的时候，就不会再出现警告了。
也就是说，ssh通过判断当前服务器公钥的指纹是否存在于~/ssh/known_hosts文件中，来判断是否为陌生主机

然后，客户端就会跟服务器建立连接。
接着，ssh 要求用户输入所要登录账户的密码，用户输入密码验证成功后就可以使用远程shell了。

ssh(1) - OpenBSD manual pages

SSH（Secure Shell）和SSR（ShadowsocksR）都是加密通信协议，但是它们有一些区别。
1 协议不同
SSH是一种通用的加密协议，主要用于远程登录和文件传输的加密通信。而SSR是基于Shadowsocks协议改进的版本，主要用于代理上网。
2 加密方式不同
SSH支持多种加密算法，包括DES、3DES、AES等，而SSR则采用更加高效的RC4加密算法。
3 代理方式不同
SSH主要是通过端口转发或者SOCKS代理实现代理上网，而SSR则是通过Socks5代理实现。
4 可用性不同
SSH在某些地区或者网络环境下可能会被封锁或者被限制使用，而SSR则由于其轻量级、加密效率高等优点，可以在更多的网络环境中使用。
总的来说，SSH适合用于远程登录和文件传输等场景，而SSR则更适合用于代理上网。但是需要注意的是，无论是SSH还是SSR，都需要注意安全性和合法性，不要用于违法活动。

MAC 是自带SSH的，可以使用whereis查看是否存在，在终端执行下面的命令：

执行完后会打印存在路径

之后查看现有进程，执行下列命令：

执行完后会打印现有进程，但是你会发现找不到ssh对应的进程
下列为我的终端执行命令后的结果

这时候如果直接使用SSH命令连接本地主机或者远程主机会遇到下列错误：

解决方法：打开系统偏好设置，在共享中，打开远程登录，如下图：

之后使用ssh localhost来测试一下，如果提示输入密码来认证就没问题了。
之后再grep一下进程就可以看到ssh进程在运行了：

可以通过ssh命令连接其他主机，例如：
ssh username@192168100100

也可以通过ssh命令连接其他服务器，例如：ssh -p 端口 用户名@服务器ip地址

默认配置
Windows下有很多SSH工具。在这里我是用的是Putty。如果安装了Git并配置使用Putty的话，就不需要另外在安装Putty了。使用SSH连接服务器的命令如下：
ssh IP地址1
一般来说为了安全性考虑，端口号等一些参数并不会使用默认值。这样的话命令就变成这样：
ssh 用户名@IP地址 -p 端口号1
如果连接成功的话会提示你输入远程服务器的密码。全部成功之后SSH就会显示远程服务器的提示符，这时候就说明连接成功了。
密钥登录
每次登录SH都需要输入密码很麻烦，而且可能不太安全。SSH还能使用另外一种登录方式，也就是使用密钥登录。这种登录方式需要客户端生成一堆公钥私钥对，然后将公钥添加到服务器中，这样下次就可以直接登录了。
首先生成SSH密钥，依照提示输入信息即可。默认生成在用户主目录中的ssh文件夹中。带pub的是公钥，接下来需要添加到服务器中。
ssh-keygen1
然后将本地公钥添加到服务器中，需要使用另一个命令：
scp -P 端口号 本地文件路径 用户名@远程服务器地址:远程路径1
然后登陆服务器，找到复制进去的公钥，将公钥名字改为authorized_keys并添加到对应的ssh文件夹中。然后退出SSH重新登陆试试，成功的话不需要输入密码就会直接进入远程服务器。

---