SSH(SecureShell)是目前比較可靠的為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。通過(guò)SSH，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，也能夠防止DNS欺騙和IP欺騙。下面介紹的是Ubuntu中SSH的概念和使用的方法，具體內(nèi)容如下所述。

什么是SSH

SSH的英文全稱是SecureSHell，SSH協(xié)議族由IETF（InternetEngineeringTaskForce）的NetworkWorkingGroup制定，SSH協(xié)議的內(nèi)容SSH協(xié)議是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。通過(guò)使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣”中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取?/p>

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如FTP、Pop和Telnet其本質(zhì)上都是不安全的；因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、用戶帳號(hào)和用戶口令，很容易受到中間人（man-in-the-middle）攻擊方式的攻擊。就是存在另一個(gè)人或者一臺(tái)機(jī)器冒充真正的服務(wù)器接收用戶傳給服務(wù)器的數(shù)據(jù)，然后再冒充用戶把數(shù)據(jù)傳給真正的服務(wù)器。

SSH，還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP、Pop、甚至為PPP提供一個(gè)安全的”通道”。

最初SSH是由芬蘭的一家公司開發(fā)的。但是因?yàn)槭馨鏅?quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件，而且是免費(fèi)的，可以預(yù)計(jì)將來(lái)會(huì)有越來(lái)越多的人使用它而不是SSH。SSH是由客戶端和服務(wù)端的軟件組成的。SSH安裝容易、使用簡(jiǎn)單，而且比較常見，一般的Unix系統(tǒng)、Linux系統(tǒng)、FreeBSD系統(tǒng)都附帶有支持SSH的應(yīng)用程序包。

讓Ubuntu啟動(dòng)SSH服務(wù)

這個(gè)不用多說(shuō)了，還是apt-getinstall大法：

#sudoapt-getinstallssh 

不使用私鑰的SSH還是有一定風(fēng)險(xiǎn)的。現(xiàn)在我們嘗試在ubuntu服務(wù)器上生成私鑰和公鑰

#ssh-keygen 

后面會(huì)提示你私鑰的文件名，放在哪，這些問(wèn)題，選擇默認(rèn)就行了，中途會(huì)讓你輸入密碼，這個(gè)你可得記住。這樣你的用戶目錄下會(huì)多出一個(gè)隱藏的.ssh文件夾?？梢允褂胠s-A來(lái)查看。里面還有兩文件，一個(gè)是id_rsa(私鑰)，還有一個(gè)是id_rsa.pub(公鑰)

這個(gè)私鑰和公鑰到底是什么概念？

簡(jiǎn)單說(shuō)，公鑰就是你的銀行帳戶，這個(gè)可能別人也知道，但只有手上有信用卡或是存折才能有資格去試帳戶密碼。所以這個(gè)信用卡和存折就是你的私鑰。所以這個(gè)私鑰得保存好。

也就是說(shuō)，那個(gè)id_rsa文件你得保存好，可以弄到U盤上，隨身帶著。而id_rsa.pub得改成系統(tǒng)默認(rèn)識(shí)別的authorized_keys并保存在.ssh文件夾下

現(xiàn)在服務(wù)器已經(jīng)可以有兩種方式的登陸了，一種就是直接用戶密碼識(shí)別登陸，還有一個(gè)是RSA登陸。當(dāng)然，后面那個(gè)比較安全，那么我們就把服務(wù)器還有一種登陸方式給去掉。

找到etc/ssh/sshd.conf這個(gè)文件，它是負(fù)責(zé)服務(wù)器端上的設(shè)置的：

#最好把這個(gè)選項(xiàng)設(shè)置成“PermitRootLoginwithout-password”，這樣“root”用戶就不能從沒(méi)有密匙的計(jì)算機(jī)上登錄。把這個(gè)選項(xiàng)設(shè)置成“no”

#將禁止“root”用戶登錄，只能用“su”命令從普通用戶轉(zhuǎn)成“root”。

PermitRootLoginwithout-password 

#把這個(gè)選項(xiàng)設(shè)置為“no”只允許用戶用基于密匙的方式登錄。

PasswordAuthenticationno 

利用putty使用RSA登陸

辛辛苦苦弄好的鑰匙，那么我們就用起來(lái)吧。這個(gè)操作是在windows平臺(tái)上的。

首先打開解壓putty.tgz文件。先找到“puttygen.exe”這個(gè)文件，我們要讓它幫我們做個(gè)通行證。

選擇“載入”，也就是載入已保存的密鑰文件(私要文件)，彈出的對(duì)話框里把“文件類型”換成“所有文件”然后選中我們從ubuntu服務(wù)器上生成的id_rsa文件。

接著，它會(huì)提示你輸入密碼，這不是你linux用戶密碼，而是前面生成密鑰時(shí)候的密碼

完成之后就會(huì)提示你保存好私鑰文件，按下“保存私鑰”起好名字，注意（格式為*.ppk）因?yàn)閜utty只識(shí)別自己做的鑰匙。。。如果你只是用putty遠(yuǎn)程登陸的話，那么另外個(gè)id_rsa文件可以不要了，保管好*.ppk就行

下來(lái)就是用這把鑰匙登陸了，只要在登陸前完成這步：

好了?；旧蟂SH連接遠(yuǎn)端linux的任務(wù)就完成了。

SSH遠(yuǎn)程登入U(xiǎn)buntu機(jī)

sshusername@Ubuntu’sip(eg.192.168.0.1) 

將文件/文件夾從遠(yuǎn)程Ubuntu機(jī)拷至本地(scp)

scp-rusername@192.168.0.1:/home/username/remotefile.txt. 

將文件/文件夾從本地拷至遠(yuǎn)程Ubuntu機(jī)(scp)

scp-rlocalfile.txtusername@192.168.0.1:/home/username/ 

將文件/文件夾從遠(yuǎn)程Ubuntu機(jī)拷至本地(rsync)

rsync-v-u-a–delete–rsh=ssh–statsusername@192.168.0.1:/home/username/remotefile.txt. 

將文件/文件夾從本地拷至遠(yuǎn)程Ubuntu機(jī)(rsync)

rsync-v-u-a–delete–rsh=ssh–statslocalfile.txtusername@192.168.0.1:/home/username/ 

在Windows機(jī)上用SSH遠(yuǎn)程登錄Ubuntu機(jī)

sh-Xusername@192.168.0.1 

支持SSH圖形界面。也就是說(shuō)，gedit打開和另存都是在服務(wù)器端操作的。nautilus打開服務(wù)器端的文件管理器。這下就比只用命令行方便多了。不知道windows下的putty支持不

ssh-Xusername@192.168.0.1ls 

直接在服務(wù)器端執(zhí)行l(wèi)s返回結(jié)果到客戶端

下載PuTTY

如何在Windows機(jī)上拷貝文件/文件夾從/到遠(yuǎn)程Ubuntu機(jī)

下載FileZilla

如何限制通過(guò)SSH遠(yuǎn)程連接的用戶帳號(hào)

如，假如你啟用了SSH服務(wù)，那么任何有有效帳號(hào)的用戶都可以遠(yuǎn)程連接。這可能會(huì)導(dǎo)致一些安全問(wèn)題，由于有一些遠(yuǎn)程密碼破解工具可以嘗試常見的用戶名／密碼

備份SSH服務(wù)的配置文件

sudocp/etc/ssh/sshd_config/etc/ssh/sshd_config.ORIGINAL 

編輯配置文件

#sudogedit/etc/ssh/sshd_config 

*將參數(shù)PermitRootLogin由yes更改為no。超級(jí)用戶不能直接通過(guò)遠(yuǎn)程聯(lián)機(jī)。

*添加參數(shù)AllowUsers設(shè)定遠(yuǎn)程連接的用戶名(用空格來(lái)分割)。

*您也可以使用DenyUsersforfine-grainedselectionofusers.

*Ifyouenabletheopensshserverandyouhavenointentionfornowtoenableremoteconnections,youmayaddAllowUsersnosuchuserheretodisableanyoneconnecting. 

SSH命令

ssh命令可以用來(lái)在遠(yuǎn)程機(jī)器上不經(jīng)shell提示登錄而執(zhí)行命令。它的語(yǔ)法格式是：sshhostnamecommand。譬如，如果你想在遠(yuǎn)程主機(jī)penguin.example.net上執(zhí)行l(wèi)s/usr/share/doc命令，在shell提示下鍵入下面的命令：

sshpenguin.example.netls/usr/share/doc 

使用scp命令

scp命令可以用來(lái)通過(guò)安全、加密的連接在機(jī)器間傳輸文件。它與rcp相似。

把本地文件傳輸給遠(yuǎn)程系統(tǒng)的一般語(yǔ)法是：

scplocalfileusername@tohostname:/newfilename 

localfile指定源文件，username@tohostname:/newfilename指定目標(biāo)文件。

要把本地文件shadowman傳送到你在penguin.example.net上的賬號(hào)內(nèi)，在shell提示下鍵入(把username替換成你的用戶名)：

scpshadowmanusername@penguin.example.net:/home/username 

這會(huì)把本地文件shadowman傳輸給penguin.example.net上的/home/username/shadowman文件。

把遠(yuǎn)程文件傳輸給本地系統(tǒng)的一般語(yǔ)法是：

scpusername@tohostname:/remotefile/newlocalfile 

remotefile指定源文件，newlocalfile指定目標(biāo)文件。

源文件可以由多個(gè)文件組成。譬如，要把目錄/downloads的內(nèi)容傳輸?shù)竭h(yuǎn)程機(jī)器penguin.example.net上現(xiàn)存的uploads目錄，在shell提示下鍵入下列命令：

scp/downloads/*username@penguin.example.net:/uploads/ 

使用sftp命令

sftp工具可以用來(lái)打開一次安全互動(dòng)的FTP會(huì)話。它與ftp相似，只不過(guò)，它使用安全、加密的連接。它的一般語(yǔ)法是：sftpusername@hostname.com。一旦通過(guò)驗(yàn)證，你可以使用一組和使用FTP相似的命令。請(qǐng)參閱sftp的說(shuō)明書頁(yè)(man)來(lái)獲取這些命令的列表。要閱讀說(shuō)明書頁(yè)，在shell提示下執(zhí)行mansftp命令。sftp工具只在OpenSSH版本2.5.0p1以上才有。

總結(jié)：

希望本文介紹的Ubuntu中SSH命令的內(nèi)容能夠?qū)ψx者有所幫助，更多有關(guān)linux系統(tǒng)的知識(shí)還有待于讀者去探索和學(xué)習(xí)。