linux ssh使用的方法有哪些

本篇內容介紹了“linux ssh使用的方法有哪些”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

openssh軟件包包含以下命令：

sshd ―― ssh服務端程序
sftp-server ―― sftp服務端程序（類似ftp但提供數據加密的一種協議）
scp ―― 非交互式sftp-server的客戶端，用來向服務器上傳/下載文件
sftp ―― 交互式sftp-server客戶端，用法和ftp命令一樣。
slogin ――　ssh的別名
ssh ――　ssh協議的客戶端程序，用來登入遠程系統或遠程執行命令
ssh-add ――    ssh代理相關程序，用來向ssh代理添加dsa　key
ssh-agent ――    ssh代理程序
ssh-keyscan ――　ssh　public key 生成器

ssh最常用的使用方式是代替telnet進行遠程登陸。不同于telnet的密碼登陸，ssh還同時支持publickey、keybord interactive、gssapi等多種登入方式，不像telnet那樣只有輸入系統密碼一種途徑。目前最常用的登陸方式還是傳統的password方式和publickey方式登陸。下面以redhat　as4為例，舉例說明這兩種登陸方式的用法。

[root@mail ~]# ssh 172.18.6.227
the authenticity of host '172.18.6.227 (172.18.6.227)' can't be established.
rsa key fingerprint is 43:80:f2:e1:9b:b6:6e:c0:e2:dd:57:8f:ed:89:b3:81.
are you sure you want to continue connecting (yes/no)? yes
warning: permanently added '172.18.6.227′ (rsa) to the list of known hosts.
root@172.18.6.227‘s password:
last login: thu jul 12 18:47:47 2007 from 172.18.6.130
[root@qmail ~]#

第一次登陸后，ssh就會把登陸的ssh指紋存放在用戶home目錄的.ssh目錄的know_hosts文件中，如果遠程系統重裝過系統，ssh指紋已經改變，你需要把 .ssh 目錄下的know_hosts中的相應指紋刪除，再登陸回答yes，方可登陸。請注意.ssh目錄是開頭是”.”的隱藏目錄，需要ls –a參數才能看到。而且這個目錄的權限必須是700,并且用戶的home目錄也不能給其他用戶寫權限，否則ssh服務器會拒絕登陸。如果發生不能登陸的問題，請察看服務器上的日志文件/var/log/secure。通常能很快找到不能登陸的原因。

ssh遠程執行命令：

[root@mail ~]# ssh 172.18.6.227 ls -l /
root@172.18.6.227‘s password:
total 1244
drwxr-xr-x    2 root root    4096 jun 26 04:02 bin
drwxr-xr-x    4 root root    4096 mar 29 11:17 boot
drwxr-xr-x    2 root root    4096 jan 25 11:26 command
drwxr-xr-x   15 root root    4096 jun 12 20:09 data
drwxr-xr-x    9 root root    5360 jul  2 13:38 dev
drwxr-xr-x   87 root root   12288 jul 11 04:02 etc
drwxr-xr-x   20 root root    4096 apr 10 10:54 home
drwxr-xr-x    2 root root    4096 aug 13  2004 initrd

輸入正確的密碼后，ssh會鏈接遠程服務器的sshd服務器程序，然后執行遠程服務器上的
ls –l /命令　，并把輸入結果傳到本地服務器。相當于你先登陸到遠程服務器，然后再實行命令ls –l /，最后再登出服務器。需要提醒的是，如果你需要登陸服務器并執行不止一個命令，必須要把命令用單引號或雙引號引起來：

ssh 172.18.6.227 “cd /root && ls “

ssh的遠程實行命令的功能是用來代替原始的r系列命令的，在ssh出現之前系統管理員們不得不用rexec, rsh等不安全的遠程執行命令工具來完成同樣的操作。這個功能在管理大批機器的時候是非常有用的，比如我要重啟10.0.0.0/24網段內所有的服務器，只要輸入一條命令：

for i in $(seq 1 254) ; do  ssh 10.0.0.${i} reboot ; done

就可以完成重啟所有服務器的操作，也許你會說，這要雖然不需要再登陸每一臺服務器了，但是還是要每次輸入密碼，多麻煩啊。別急，下面要講的用ssh public key方式登陸就是要解決問題。

采用public key登錄：

openssh的ssh-keygen命令用來產生這樣的私鑰和公鑰。

[root@mail ~]# ssh-keygen -b 1024 -t dsa -c gucuiwen@myserver.com
generating public/private dsa key pair.
#提示正在生成，如果選擇4096長度，可能需要較長時間
enter file in which to save the key (/root/.ssh/id_dsa):
＃詢問把公鑰和私鑰放在那里，回車用默認位置即可
enter passphrase (empty for no passphrase):
＃詢問輸入私鑰密語，為了實現自動登陸，應該不要密語，直接回車
enter same passphrase again:
＃再次提示輸入密語，再次直接回車
your identification has been saved in /root/.ssh/id_dsa.
your public key has been saved in /root/.ssh/id_dsa.pub.
＃提示公鑰和私鑰已經存放在/root/.ssh/目錄下
the key fingerprint is:
71:e5:cb:15:d3:8c:05:ed:05:84:85:32:ce:b1:31:ce gucuiwen@myserver.com
＃提示key的指紋

說明：
-b 1024　采用長度為1024字節的公鑰/私鑰對，最長4096字節，一般1024或2048就可以了，太長的話加密解密需要的時間也長。
-t dsa　　采用dsa加密方式的公鑰/私鑰對，除了dsa還有rsa方式，rsa方式最短不能小于768字節長度。
-c gucuiwen@myserver.com 對這個公鑰/私鑰對的一個注釋和說明，一般用所有人的郵件代替。可以省略不寫，更多其他參數請man ssh-keygen。

[root@mail ~]# ls -l /root/.ssh
total 16
-rw——-  1 root root 668 jul 12 20:07 id_dsa
-rw-r–r–  1 root root 611 jul 12 20:07 id_dsa.pub
-rw-r–r–  1 root root 222 jul 12 19:37 known_hosts

產生的公鑰/私鑰文件在用戶home目錄的.ssh目錄下，其中id_dsa.pub是公鑰，把產生的公鑰上傳到需要登陸的服務器的對應用戶目錄的home目錄的.ssh目錄下，再一次強調用戶自己的目錄(home目錄)必須不能有其他人可寫的權限，.ssh目錄的權限必須是700，即除了用戶自己，其他人沒有任何讀寫察看該目錄的權限，否則ssh服務器會拒絕登陸。ssh默認的公鑰文件是用戶home目錄下的.ssh目錄下的authorized_keys文件，因此需要把產生的公鑰以這個文件名放到服務器的/root/.ssh/目錄下，這個文件中可以存放多個客戶端的公鑰文件，就好比一個大門上可以上很多鎖，可以有不同的鑰匙來嘗試開鎖，只要有一個鎖被打開了，門就可以打開了。放到服務器上應該是這樣子的：

私鑰必須是600權限，否則ssh服務器會拒絕用戶登陸。

大致就是這個樣子了。現把/etc/ssh/ssh_config 和 /etc/ssh/sshd_config的配置說下。

/etc/ssh/ssh_config:

host *
選項“host”只對能夠匹配后面字串的計算機有效。“*”表示所有的計算機。

forwardagent no
“forwardagent”設置連接是否經過驗證代理（如果存在）轉發給遠程計算機。

forwardx11 no
“forwardx11”設置x11連接是否被自動重定向到安全的通道和顯示集（display set）。

rhostsauthentication no
“rhostsauthentication”設置是否使用基于rhosts的安全驗證。

rhostsrsaauthentication no
“rhostsrsaauthentication”設置是否使用用rsa算法的基于rhosts的安全驗證。

rsaauthentication yes
“rsaauthentication”設置是否使用rsa算法進行安全驗證。

passwordauthentication yes
“passwordauthentication”設置是否使用口令驗證。

fallbacktorsh no
“fallbacktorsh”設置如果用ssh連接出現錯誤是否自動使用rsh。

usersh no
“usersh”設置是否在這臺計算機上使用“rlogin/rsh”。

batchmode no
“batchmode”如果設為“yes”，passphrase/password（交互式輸入口令）的提示將被禁止。當不能交互式輸入口令的時候，這個選項對腳本文件和批處理任務十分有用。

checkhostip yes
“checkhostip”設置ssh是否查看連接到服務器的主機的ip地址以防止dns欺騙。建議設置為“yes”。

stricthostkeychecking no
“stricthostkeychecking”如果設置成“yes”，ssh就不會自動把計算機的密匙加入“$home/.ssh/known_hosts”文件，并且一旦計算機的密匙發生了變化，就拒絕連接。

identityfile ~/.ssh/identity
“identityfile”設置從哪個文件讀取用戶的rsa安全驗證標識。

port 22
“port”設置連接到遠程主機的端口。

cipher blowfish
“cipher”設置加密用的密碼。

escapechar ~
“escapechar”設置escape字符。

/etc/ssh/sshd_config:

port 22
“port”設置sshd監聽的端口號。

listenaddress 192.168.1.1
“listenaddress”設置sshd服務器綁定的ip地址。

hostkey /etc/ssh/ssh_host_key

“hostkey”設置包含計算機私人密匙的文件。

serverkeybits 1024
“serverkeybits”定義服務器密匙的位數。

logingracetime 600
“logingracetime”設置如果用戶不能成功登錄，在切斷連接之前服務器需要等待的時間（以秒為單位）。

keyregenerationinterval 3600
“keyregenerationinterval”設置在多少秒之后自動重新生成服務器的密匙（如果使用密匙）。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。

permitrootlogin no
“permitrootlogin”設置root能不能用ssh登錄。這個選項一定不要設成“yes”。

ignorerhosts yes
“ignorerhosts”設置驗證的時候是否使用“rhosts”和“shosts”文件。

ignoreuserknownhosts yes
“ignoreuserknownhosts”設置ssh daemon是否在進行rhostsrsaauthentication安全驗證的時候忽略用戶的“$home/.ssh/known_hosts”

strictmodes yes
“strictmodes”設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的權限和所有權。這通常是必要的，因為新手經常會把自己的目錄和文件設成任何人都有寫權限。

x11forwarding no
“x11forwarding”設置是否允許x11轉發。

printmotd yes
“printmotd”設置sshd是否在用戶登錄的時候顯示“/etc/motd”中的信息。

syslogfacility auth
“syslogfacility”設置在記錄來自sshd的消息的時候，是否給出“facility code”。

loglevel info
“loglevel”設置記錄sshd日志消息的層次。info是一個好的選擇。查看sshd的man幫助頁，已獲取更多的信息。

rhostsauthentication no
“rhostsauthentication”設置只用rhosts或“/etc/hosts.equiv”進行安全驗證是否已經足夠了。

rhostsrsaauthentication no
“rhostsrsa”設置是否允許用rhosts或“/etc/hosts.equiv”加上rsa進行安全驗證。

rsaauthentication yes
“rsaauthentication”設置是否允許只有rsa安全驗證。

passwordauthentication yes
“passwordauthentication”設置是否允許口令驗證。

permitemptypasswords no
“permitemptypasswords”設置是否允許用口令為空的帳號登錄。

allowusers admin
“allowusers”的后面可以跟著任意的數量的用戶名的匹配串（patterns）或user@host這樣的匹配串，這些字符串用空格隔開。主機名可以是dns名或ip地址。

將ssh2兼容格式的公鑰轉換成為openssh兼容格式

ssh-keygen -i -f identity.pub >> /root/.ssh/authorized_keys2

“linux ssh使用的方法有哪些”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！