1
0
wiki/Technology/ComputerSecurity/网络安全/OpenSSH/OpenSSH-使用方法.html

584 lines
489 KiB
HTML
Raw Normal View History

2024-09-06 10:58:26 +08:00
<!DOCTYPE html>
<html lang="zh"><head><title>OpenSSH 使用方法</title><meta charset="utf-8"/><link rel="preconnect" href="https://fonts.googleapis.com"/><link rel="preconnect" href="https://fonts.gstatic.com"/><link rel="stylesheet" href="https://fonts.googleapis.com/css2?family=IBM Plex Mono&amp;family=Noto Serif Simplified Chinese:wght@400;700&amp;family=Source Sans Pro:ital,wght@0,400;0,600;1,400;1,600&amp;display=swap"/><meta name="viewport" content="width=device-width, initial-scale=1.0"/><meta property="og:title" content="OpenSSH 使用方法"/><meta property="og:description" content="OpenSSH 使用方法."/><meta property="og:image" content="https://wiki.7wate.com/static/og-image.png"/><meta property="og:width" content="1200"/><meta property="og:height" content="675"/><link rel="icon" href="../../../../static/icon.png"/><meta name="description" content="OpenSSH 使用方法."/><meta name="generator" content="Quartz"/><link href="../../../../index.css" rel="stylesheet" type="text/css" spa-preserve/><link href="https://cdnjs.cloudflare.com/ajax/libs/KaTeX/0.16.9/katex.min.css" rel="stylesheet" type="text/css" spa-preserve/><script src="../../../../prescript.js" type="application/javascript" spa-preserve></script><script type="application/javascript" spa-preserve>const fetchData = fetch("../../../../static/contentIndex.json").then(data => data.json())</script></head><body data-slug="Technology/ComputerSecurity/网络安全/OpenSSH/OpenSSH-使用方法"><div id="quartz-root" class="page"><div id="quartz-body"><div class="left sidebar"><h2 class="page-title"><a href="../../../..">🪴 X·Eden</a></h2><div class="spacer mobile-only"></div><div class="search"><button class="search-button" id="search-button"><p>搜索</p><svg role="img" xmlns="http://www.w3.org/2000/svg" viewBox="0 0 19.9 19.7"><title>Search</title><g class="search-path" fill="none"><path stroke-linecap="square" d="M18.5 18.3l-5.4-5.4"></path><circle cx="8" cy="8" r="7"></circle></g></svg></button><div id="search-container"><div id="search-space"><input autocomplete="off" id="search-bar" name="search" type="text" aria-label="搜索些什么" placeholder="搜索些什么"/><div id="search-layout" data-preview="true"></div></div></div></div><button class="darkmode" id="darkmode"><svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1" id="dayIcon" x="0px" y="0px" viewBox="0 0 35 35" style="enable-background:new 0 0 35 35" xml:space="preserve" aria-label="暗色模式"><title>暗色模式</title><path d="M6,17.5C6,16.672,5.328,16,4.5,16h-3C0.672,16,0,16.672,0,17.5 S0.672,19,1.5,19h3C5.328,19,6,18.328,6,17.5z M7.5,26c-0.414,0-0.789,0.168-1.061,0.439l-2,2C4.168,28.711,4,29.086,4,29.5 C4,30.328,4.671,31,5.5,31c0.414,0,0.789-0.168,1.06-0.44l2-2C8.832,28.289,9,27.914,9,27.5C9,26.672,8.329,26,7.5,26z M17.5,6 C18.329,6,19,5.328,19,4.5v-3C19,0.672,18.329,0,17.5,0S16,0.672,16,1.5v3C16,5.328,16.671,6,17.5,6z M27.5,9 c0.414,0,0.789-0.168,1.06-0.439l2-2C30.832,6.289,31,5.914,31,5.5C31,4.672,30.329,4,29.5,4c-0.414,0-0.789,0.168-1.061,0.44 l-2,2C26.168,6.711,26,7.086,26,7.5C26,8.328,26.671,9,27.5,9z M6.439,8.561C6.711,8.832,7.086,9,7.5,9C8.328,9,9,8.328,9,7.5 c0-0.414-0.168-0.789-0.439-1.061l-2-2C6.289,4.168,5.914,4,5.5,4C4.672,4,4,4.672,4,5.5c0,0.414,0.168,0.789,0.439,1.06 L6.439,8.561z M33.5,16h-3c-0.828,0-1.5,0.672-1.5,1.5s0.672,1.5,1.5,1.5h3c0.828,0,1.5-0.672,1.5-1.5S34.328,16,33.5,16z M28.561,26.439C28.289,26.168,27.914,26,27.5,26c-0.828,0-1.5,0.672-1.5,1.5c0,0.414,0.168,0.789,0.439,1.06l2,2 C28.711,30.832,29.086,31,29.5,31c0.828,0,1.5-0.672,1.5-1.5c0-0.414-0.168-0.789-0.439-1.061L28.561,26.439z M17.5,29 c-0.829,0-1.5,0.672-1.5,1.5v3c0,0.828,0.671,1.5,1.5,1.5s1.5-0.672,1.5-1.5v-3C19,29.672,18.329,29,17.5,29z M17.5,7 C11.71,7,7,11.71,7,17.5S11.71,28,17.5,28S28,23.29,28,17.5S23.29,7,17.5,7z M17.5,25c-4.136,0-7.5-3.364-7.5-7.5 c0-4.136,3.364-7.5,7.5-7.5c4.136,0,7.5,3.364,7.5,7.5C25,21.636,21.636,25,17.5,25z"></path></svg><svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" ver
<h3 id="下载和安装">下载和安装<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#下载和安装" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>在大多数基于 Linux 的操作系统中OpenSSH 都已经预安装。如果没有可以使用系统的包管理器进行安装。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 在 Ubuntu 或 Debian 上</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">sudo</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> apt-get</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> update</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">sudo</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> apt-get</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> install</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> openssh-server</span></span>
<span data-line> </span>
<span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 在 CentOS 或 Fedora 上</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">sudo</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> yum</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> install</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> openssh-server</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">sudo</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> dnf</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> install</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> openssh-server</span></span></code></pre></figure>
<ul>
<li><strong>MacOS 系统</strong>:在 MacOS 上OpenSSH 已经预安装。</li>
<li><strong>Windows 系统</strong>:在 Windows 10 上,你可以阅读官方文档《<a href="https://learn.microsoft.com/zh-cn/windows-server/administration/openssh/openssh_install_firstuse#install-openssh-using-windows-settings" class="external">安装 OpenSSH<svg aria-hidden="true" class="external-icon" viewBox="0 0 512 512"><path d="M320 0H288V64h32 82.7L201.4 265.4 178.7 288 224 333.3l22.6-22.6L448 109.3V192v32h64V192 32 0H480 320zM32 32H0V64 480v32H32 456h32V480 352 320H424v32 96H64V96h96 32V32H160 32z"></path></svg></a></li>
</ul>
<h3 id="安装验证">安装验证<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#安装验证" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>如果 OpenSSH 已经成功安装,这个命令将输出你安装的 OpenSSH 版本。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -V</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">OpenSSH_8.4p1</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> Debian-5+deb11u1,</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> OpenSSL</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> 1.1.1n</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> 15</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> Mar</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> 2022</span></span></code></pre></figure>
<h2 id="配置">配置<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#配置" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h2>
<h3 id="配置文件">配置文件<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#配置文件" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>OpenSSH 的配置文件在 <code>/etc/ssh</code> 目录中,以下是该目录中的部分重要文件及其功能的简述:</p>
<ul>
<li><strong>moduli</strong>:该文件包含了用于 Diffie-Hellman 密钥交换的大素数群,它们用于在客户端和服务器之间安全地协商出一个共享的对称密钥。</li>
<li><strong>ssh_config</strong>:这是 SSH 客户端的全局配置文件,定义了默认的 SSH 客户端行为。每个用户可以在他们的 <code>~/.ssh/config</code> 文件中覆盖这些默认设置。</li>
<li><strong>ssh_config.d</strong>:这个目录包含了 ssh_config 文件的碎片,这些碎片在加载 ssh_config 时一起被读取,使得配置管理更加模块化。</li>
<li><strong>sshd_config</strong>:这是 SSH 服务器的全局配置文件,定义了 SSH 服务器的行为。可以在这个文件中进行多项设置,如允许的身份验证方法,是否允许 root 登录,使用的端口号等。</li>
<li><strong>sshd_config.d</strong>:类似于 ssh_config.d这个目录包含了 sshd_config 文件的碎片,这些碎片在加载 sshd_config 时一起被读取。</li>
<li><strong>ssh_host_ecdsa_key 和 ssh_host_ecdsa_key.pub</strong>:这是服务器的 ECDSA 密钥对。私钥 <code>ssh_host_ecdsa_key</code> 代表服务器的身份证明,不应该被公开,而公钥 <code>ssh_host_ecdsa_key.pub</code> 在客户端首次连接时发送给客户端,客户端将其存储为已知的主机密钥。</li>
<li><strong>ssh_host_ed25519_key 和 ssh_host_ed25519_key.pub</strong>:这是服务器的 Ed25519 密钥对,其作用与 ECDSA 密钥对相似。</li>
<li><strong>ssh_host_rsa_key 和 ssh_host_rsa_key.pub</strong>:这是服务器的 RSA 密钥对,其作用与 ECDSA 密钥对相似。</li>
<li><strong>ssh_import_id</strong>:该文件用于导入其他系统中的公钥,例如,可以从 GitHub 中导入公钥。</li>
</ul>
<h3 id="常用配置">常用配置<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#常用配置" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>OpenSSH 的配置文件中有许多可用的选项,你可以根据自己的需要进行设置。以下是一些常用配置的详细介绍:</p>
<div class="table-container"><table><thead><tr><th>配置项</th><th>描述</th><th>示例</th></tr></thead><tbody><tr><td>Port</td><td>定义 OpenSSH 服务器监听的端口,通常为 22</td><td><code>Port 2222</code></td></tr><tr><td>PermitRootLogin</td><td>控制是否允许 root 用户通过 SSH 登录</td><td><code>PermitRootLogin no</code></td></tr><tr><td>PubkeyAuthentication</td><td>控制是否允许使用公钥认证</td><td><code>PubkeyAuthentication yes</code></td></tr><tr><td>PasswordAuthentication</td><td>控制是否允许使用密码认证,如果已使用公钥认证,可以关闭此项增加安全性</td><td><code>PasswordAuthentication no</code></td></tr><tr><td>AllowUsers / AllowGroups</td><td>定义允许 SSH 登录的用户或用户组</td><td><code>AllowUsers user1 user2</code> <code>AllowGroups group1 group2</code></td></tr><tr><td>DenyUsers / DenyGroups</td><td>定义禁止 SSH 登录的用户或用户组,如果用户同时出现在 Allow 和 Deny 列表中Deny 优先</td><td><code>DenyUsers user3 user4</code> <code>DenyGroups group3 group4</code></td></tr><tr><td>AuthorizedKeysFile</td><td>定义存储用户公钥的文件路径,用于公钥认证</td><td><code>AuthorizedKeysFile .ssh/authorized_keys</code></td></tr></tbody></table></div>
<p>每次修改了配置文件后,你都需要手动<strong>重启 SSH 服务来使更改生效。</strong></p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">sudo</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> systemctl</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> restart</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh</span></span></code></pre></figure>
<h3 id="生成-ssh-密钥">生成 SSH 密钥<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#生成-ssh-密钥" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>使用 <code>ssh-keygen</code> 命令可以来生成 SSH 密钥对:</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh-keygen</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -t</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> rsa</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -b</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> 4096</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">Generating</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> public/private</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> rsa</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> key</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> pair.</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">Enter</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> file</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> in</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> which</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> to</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> save</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> the</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> key</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> (/home/sevenwate/.ssh/id_rsa):</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">Enter</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> passphrase</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> (empty </span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">for</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> no</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> passphrase</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;">):</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">Enter</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> same</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> passphrase</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> again:</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">Your</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> identification</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> has</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> been</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> saved</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> in</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> /home/sevenwate/.ssh/id_rsa</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">Your</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> public</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> key</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> has</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> been</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> saved</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> in</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> /home/sevenwate/.ssh/id_rsa.pub</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">The</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> key</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> fingerprint</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> is:</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">SHA256:pgYyQB1Xcw4eZPtY/7ejynt9u5svQWkiRksKfi4diIo</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> sevenwate@ubuntu</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">The</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> key's randomart image is:</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">+---[RSA 4096]----+</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">| .....oB . |</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">|. .. + B o |</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">|. o = * . . |</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">| . . o B = . + |</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">| .o.. =S+ o + |</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">|E .o ..oo . . |</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">| o. ..o |</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">| . . .oo+|</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">| ++..BO|</span></span>
<span data-line><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">+----[SHA256]-----+</span></span></code></pre></figure>
<p>这个命令会在 <code>~/.ssh/</code> 目录下生成两个文件:<code>id_rsa</code>(私钥)和 <code>id_rsa.pub</code>(公钥)。你可以将公钥添加到远程服务器的 <code>~/.ssh/authorized_keys</code> 文件中,然后就可以使用密钥对进行认证了。</p>
<h3 id="防火墙配置">防火墙配置<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#防火墙配置" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>如果服务器启用了防火墙,需要服务器开放 SSH 端口(默认为 22才能接受 SSH 连接。在使用 <code>iptables</code> 的系统中,可以使用以下命令:</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">sudo</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> iptables</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -A</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> INPUT</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -p</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> tcp</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> --dport</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> 22</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -j</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ACCEPT</span></span></code></pre></figure>
<h2 id="工具">工具<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#工具" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h2>
<h3 id="ssh">Ssh<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#ssh" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>ssh</code> 是用于远程登录或者在远程主机上执行命令。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 远程登录</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [options] [user@]hostname</span></span>
<span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 在远程主机上执行命令</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [options] [user@]hostname [command]</span></span></code></pre></figure>
<div class="table-container"><table><thead><tr><th style="text-align:left;">选项</th><th style="text-align:left;">描述</th></tr></thead><tbody><tr><td style="text-align:left;"><code>-p &lt;port></code></td><td style="text-align:left;">指定连接服务器的端口,如果 SSH 服务器没有使用默认端口 22</td></tr><tr><td style="text-align:left;"><code>-i &lt;identity_file></code></td><td style="text-align:left;">指定用于连接服务器的私钥文件</td></tr><tr><td style="text-align:left;"><code>-l &lt;user></code></td><td style="text-align:left;">指定登录远程主机的用户名</td></tr><tr><td style="text-align:left;"><code>-X</code></td><td style="text-align:left;">启用 X11 转发,这样可以在远程主机上运行图形程序</td></tr><tr><td style="text-align:left;"><code>-N</code></td><td style="text-align:left;">不执行远程命令,这通常与 <code>-L</code>, <code>-D</code>, <code>-w</code> 等选项一起使用</td></tr><tr><td style="text-align:left;"><code>-f</code></td><td style="text-align:left;">后台运行 SSH</td></tr><tr><td style="text-align:left;"><code>-q</code></td><td style="text-align:left;">安静模式,不显示连接、认证的相关信息</td></tr><tr><td style="text-align:left;"><code>-v</code>, <code>-vv</code>, <code>-vvv</code></td><td style="text-align:left;">调试模式,输出详细的调试信息</td></tr><tr><td style="text-align:left;"><code>-L &lt;port:host:hostport></code></td><td style="text-align:left;">设置本地端口转发,把本地的某个端口的流量转发到远程的某个端口</td></tr><tr><td style="text-align:left;"><code>-R &lt;port:host:hostport></code></td><td style="text-align:left;">设置远程端口转发,把远程的某个端口的流量转发到本地的某个端口</td></tr><tr><td style="text-align:left;"><code>-D &lt;[bind_address:]port></code></td><td style="text-align:left;">设置动态端口转发,创建 SOCKS 代理</td></tr></tbody></table></div>
<h3 id="scp">Scp<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#scp" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>scp</code> 是用于在本地主机和远程主机之间,或者两个远程主机之间复制文件的命令行工具。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 从本地复制文件到远程主机</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> scp</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [options] source_file user@remote:/path/to/destination</span></span>
<span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 从远程主机复制文件到本地</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> scp</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [options] user@remote:/path/to/source /path/to/local/destination</span></span></code></pre></figure>
<div class="table-container"><table><thead><tr><th style="text-align:left;">选项</th><th style="text-align:left;">描述</th></tr></thead><tbody><tr><td style="text-align:left;"><code>-P &lt;port></code></td><td style="text-align:left;">通过指定端口连接到远程主机</td></tr><tr><td style="text-align:left;"><code>-p</code></td><td style="text-align:left;">保留原文件的修改时间和访问时间</td></tr><tr><td style="text-align:left;"><code>-r</code></td><td style="text-align:left;">递归复制,用于目录的复制</td></tr><tr><td style="text-align:left;"><code>-v</code></td><td style="text-align:left;">详细模式,显示出处理过程</td></tr><tr><td style="text-align:left;"><code>-q</code></td><td style="text-align:left;">安静模式,不显示复制过程</td></tr><tr><td style="text-align:left;"><code>-c &lt;cipher></code></td><td style="text-align:left;">指定加密算法,如 aes128-ctr, aes192-ctr, aes256-ctr, arcfour256, arcfour128, etc.</td></tr><tr><td style="text-align:left;"><code>-i &lt;identity_file></code></td><td style="text-align:left;">选择私钥文件,用于密钥认证</td></tr></tbody></table></div>
<h3 id="sftp">Sftp<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#sftp" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>sftp</code> 是一个用于安全地传输文件的网络协议。可以使用 <code>sftp</code> 命令在你的计算机和远程服务器之间传输文件,就像使用 FTP 一样。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 连接到远程服务器</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> sftp</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [user@]hostname</span></span></code></pre></figure>
<div class="table-container"><table><thead><tr><th style="text-align:left;">选项</th><th style="text-align:left;">描述</th></tr></thead><tbody><tr><td style="text-align:left;"><code>-b &lt;batchfile></code></td><td style="text-align:left;">指定一个批处理文件执行一系列的 sftp 命令</td></tr><tr><td style="text-align:left;"><code>-C</code></td><td style="text-align:left;">启用压缩功能</td></tr><tr><td style="text-align:left;"><code>-l &lt;limit></code></td><td style="text-align:left;">限制使用的带宽,单位是 Kbit/s</td></tr><tr><td style="text-align:left;"><code>-o ssh_option</code></td><td style="text-align:left;">可以指定任何 ssh 命令接受的选项</td></tr><tr><td style="text-align:left;"><code>-P &lt;port></code></td><td style="text-align:left;">指定连接服务器的端口,如果 SSH 服务器没有使用默认端口 22</td></tr><tr><td style="text-align:left;"><code>-R &lt;num_requests></code></td><td style="text-align:left;">指定并行请求的最大数量</td></tr><tr><td style="text-align:left;"><code>-s subsystem</code></td><td style="text-align:left;">指定要在远程主机上启动的 sftp 子系统</td></tr><tr><td style="text-align:left;"><code>-v</code></td><td style="text-align:left;">显示详细的调试信息</td></tr></tbody></table></div>
<p><code>sftp</code> 命令行界面,可以使用一系列的命令来操作文件,比如 <code>ls</code><code>cd</code><code>get</code><code>put</code> 等。请注意,虽然这些命令和 Unix shell 中的命令相似,但它们实际上是 <code>sftp</code> 命令的一部分,可能会有一些差异。</p>
<div class="table-container"><table><thead><tr><th>命令</th><th>示例</th><th>描述</th></tr></thead><tbody><tr><td><code>ls</code></td><td><code>sftp> ls</code></td><td>列出远程目录的文件</td></tr><tr><td><code>cd</code></td><td><code>sftp> cd /path/to/remote/directory</code></td><td>更改远程目录</td></tr><tr><td><code>lcd</code></td><td><code>sftp> lcd /path/to/local/directory</code></td><td>更改本地目录</td></tr><tr><td><code>pwd</code></td><td><code>sftp> pwd</code></td><td>显示当前远程目录</td></tr><tr><td><code>get</code></td><td><code>sftp> get remoteFile</code></td><td>下载单个文件</td></tr><tr><td><code>mget</code></td><td><code>sftp> mget remoteFile1 remoteFile2</code></td><td>下载多个文件</td></tr><tr><td><code>put</code></td><td><code>sftp> put localFile</code></td><td>上传单个文件</td></tr><tr><td><code>mput</code></td><td><code>sftp> mput localFile1 localFile2</code></td><td>上传多个文件</td></tr><tr><td><code>mkdir</code></td><td><code>sftp> mkdir /path/to/remote/directory</code></td><td>在远程服务器上创建目录</td></tr><tr><td><code>rmdir</code></td><td><code>sftp> rmdir /path/to/remote/directory</code></td><td>在远程服务器上删除目录</td></tr><tr><td><code>rename</code></td><td><code>sftp> rename oldname newname</code></td><td>在远程服务器上重命名文件或目录</td></tr><tr><td><code>rm</code></td><td><code>sftp> rm /path/to/remote/file</code></td><td>在远程服务器上删除文件</td></tr><tr><td><code>bye</code><code>exit</code></td><td><code>sftp> bye</code><code>sftp> exit</code></td><td>退出 <code>sftp</code> 会话</td></tr><tr><td><code>help</code></td><td><code>sftp> help</code></td><td>显示帮助信息</td></tr></tbody></table></div>
<h3 id="ssh-keygen">Ssh-keygen<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#ssh-keygen" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>ssh-keygen</code> 是一个用于创建、管理和转换认证密钥的工具ssh-keygen 是 OpenSSH 套件中的一个重要组成部分。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 不带任何参数运行 ssh-keygen 会创建一个新的 RSA 密钥对</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh-keygen</span></span>
<span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 或者你可以明确指定生成密钥的类型和密钥长度</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh-keygen</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -t</span><span style="--shiki-light:#D73A49;--shiki-dark:#F97583;"> &lt;</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">typ</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;">e</span><span style="--shiki-light:#D73A49;--shiki-dark:#F97583;">></span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -b</span><span style="--shiki-light:#D73A49;--shiki-dark:#F97583;"> &lt;</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;">bit</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;">s</span><span style="--shiki-light:#D73A49;--shiki-dark:#F97583;">></span></span></code></pre></figure>
<div class="table-container"><table><thead><tr><th style="text-align:left;">选项</th><th style="text-align:left;">描述</th></tr></thead><tbody><tr><td style="text-align:left;"><code>-t &lt;type></code></td><td style="text-align:left;">生成指定类型的密钥,比如 rsa、dsa、ecdsa、ed25519 等</td></tr><tr><td style="text-align:left;"><code>-b &lt;bits></code></td><td style="text-align:left;">指定密钥长度,对于 RSA 密钥,建议至少使用 2048 位</td></tr><tr><td style="text-align:left;"><code>-f &lt;filename></code></td><td style="text-align:left;">指定生成的私钥文件的名称和位置</td></tr><tr><td style="text-align:left;"><code>-C &lt;comment></code></td><td style="text-align:left;">为密钥添加注释,这对于区分密钥非常有帮助</td></tr><tr><td style="text-align:left;"><code>-N &lt;new_passphrase></code></td><td style="text-align:left;">为生成的私钥设置一个新的密码</td></tr><tr><td style="text-align:left;"><code>-P &lt;old_passphrase></code></td><td style="text-align:left;">提供现有私钥的密码,用于更改私钥的密码或者生成无密码私钥</td></tr><tr><td style="text-align:left;"><code>-y</code></td><td style="text-align:left;">输出私钥文件对应的公钥</td></tr><tr><td style="text-align:left;"><code>-q</code></td><td style="text-align:left;">安静模式,不输出多余信息</td></tr><tr><td style="text-align:left;"><code>-p</code></td><td style="text-align:left;">更改现有私钥的密码</td></tr><tr><td style="text-align:left;"><code>-l -f &lt;filename></code></td><td style="text-align:left;">显示指定公钥文件的 fingerprint</td></tr><tr><td style="text-align:left;"><code>-e -f &lt;filename></code></td><td style="text-align:left;">以 RFC4716 SSH 公钥文件格式或者 PEM 公钥文件格式输出公钥</td></tr><tr><td style="text-align:left;"><code>-i -f &lt;filename></code></td><td style="text-align:left;">读取未知类型的 SSH2 或者 PEM 公钥文件,转换为 SSH2 公钥文件格式</td></tr></tbody></table></div>
<p><em>注意,如果你想要创建一个没有密码的私钥,你可以在 <code>-N</code> 选项后面留空,或者在运行 <code>ssh-keygen</code> 命令时直接按 Enter 跳过输入密码的步骤。</em></p>
<h3 id="ssh-agent">Ssh-agent<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#ssh-agent" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>ssh-agent</code> 是一个帮助管理 SSH 私钥的程序,用于保存所有私钥,并在需要进行 SSH 认证时提供这些私钥。<code>ssh-agent</code> 通过在后台运行并维护一个已解锁的私钥列表,可以让你在使用 SSH 客户端进行多个 SSH 连接或操作时避免频繁输入密码。</p>
<pre><code># 在后台启动 `ssh-agent`
$ ssh-agent
# 在新的 shell 中启动 `ssh-agent`
$ ssh-agent bash
# 杀死当前运行的 `ssh-agent` 进程
$ ssh-agent -k
</code></pre>
<h3 id="ssh-add">Ssh-add<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#ssh-add" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>ssh-add</code> 可以把你的私钥添加到 <code>ssh-agent</code> 的密钥列表中,这样你就可以避免频繁输入密码。一旦你的私钥被添加到 <code>ssh-agent</code> 中,你在使用 SSH 客户端进行认证时就可以直接从 <code>ssh-agent</code> 中获取私钥,无需再手动输入。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 尝试添加默认的私钥</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh-add</span></span>
<span data-line><span style="--shiki-light:#6A737D;--shiki-dark:#6A737D;"># 添加指定的私钥文件</span></span>
<span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">$</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ssh-add</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [options] [file ...]</span></span></code></pre></figure>
<div class="table-container"><table><thead><tr><th>选项</th><th>描述</th></tr></thead><tbody><tr><td><code>-l</code></td><td>列出 <code>ssh-agent</code> 中所有已加载的私钥</td></tr><tr><td><code>-L</code></td><td>列出 <code>ssh-agent</code> 中所有已加载的私钥,同时输出公钥部分</td></tr><tr><td><code>-d &lt;file></code></td><td><code>ssh-agent</code> 中删除指定的私钥</td></tr><tr><td><code>-D</code></td><td>删除 <code>ssh-agent</code> 中的所有私钥</td></tr><tr><td><code>-t &lt;life></code></td><td>为添加的私钥设置生存期,单位是秒</td></tr><tr><td><code>-x</code></td><td>锁定 <code>ssh-agent</code>,需要密码才能解锁</td></tr><tr><td><code>-X</code></td><td>解锁 <code>ssh-agent</code></td></tr></tbody></table></div>
<h3 id="ssh-keyscan">Ssh-keyscan<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#ssh-keyscan" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>ssh-keyscan</code> 是一个方便的工具,它允许用户获取和管理公开的 SSH 密钥。当需要扫描和收集远程服务器的 SSH 公钥以用于以后的身份验证时,<code>ssh-keyscan</code> 是一个非常有用的工具。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">ssh-keyscan</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [options] host [host2] [host3]...</span></span></code></pre></figure>
<div class="table-container"><table><thead><tr><th style="text-align:left;">选项</th><th style="text-align:left;">描述</th></tr></thead><tbody><tr><td style="text-align:left;"><code>-t &lt;type></code></td><td style="text-align:left;">指定要获取的密钥类型,如 <code>rsa</code><code>dsa</code><code>ecdsa</code><code>ed25519</code></td></tr><tr><td style="text-align:left;"><code>-p &lt;port></code></td><td style="text-align:left;">指定连接服务器的端口,如果 SSH 服务器没有使用默认端口 22</td></tr><tr><td style="text-align:left;"><code>-T &lt;timeout></code></td><td style="text-align:left;">设置连接超时时间,单位是秒</td></tr><tr><td style="text-align:left;"><code>-v</code></td><td style="text-align:left;">显示详细输出,有助于调试</td></tr><tr><td style="text-align:left;"><code>-H</code></td><td style="text-align:left;">将结果中的主机名哈希化,这可以防止主机名被保存在已知主机文件中</td></tr><tr><td style="text-align:left;"><code>-o &lt;file></code></td><td style="text-align:left;">将输出写入到指定的文件中</td></tr></tbody></table></div>
<h3 id="ssh-copy-id">Ssh-copy-id<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#ssh-copy-id" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p><code>ssh-copy-id</code> 是一个非常有用的命令,它可以把你的 SSH 公钥复制到远程服务器,以便实现无密码登录。这个命令会自动处理公钥的安装和权限设置。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">ssh-copy-id</span><span style="--shiki-light:#24292E;--shiki-dark:#E1E4E8;"> [options] [user@]hostname</span></span></code></pre></figure>
<div class="table-container"><table><thead><tr><th style="text-align:left;">选项</th><th style="text-align:left;">描述</th></tr></thead><tbody><tr><td style="text-align:left;"><code>-i &lt;identity_file></code></td><td style="text-align:left;">指定要复制的身份文件,如果你不使用默认的 <code>~/.ssh/id_rsa.pub</code></td></tr><tr><td style="text-align:left;"><code>-p &lt;port></code></td><td style="text-align:left;">指定连接服务器的端口,如果 SSH 服务器没有使用默认端口 22</td></tr><tr><td style="text-align:left;"><code>-f</code></td><td style="text-align:left;">强制复制,即使远程主机上已经存在相同的公钥</td></tr><tr><td style="text-align:left;"><code>-n</code></td><td style="text-align:left;">不实际复制公钥,而是只检查和显示远程主机上的公钥</td></tr><tr><td style="text-align:left;"><code>-h</code></td><td style="text-align:left;">显示帮助信息</td></tr></tbody></table></div>
<h2 id="使用">使用<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#使用" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h2>
<pre><code class="mermaid">graph LR
A[开始] --> B{获取服务器公钥}
B --> C[生成公钥指纹并验证]
C --> D{添加公钥到 known_hosts}
D --> E[SSH 登录]
E --> F[结束]
</code></pre>
<h3 id="1-获取服务器公钥">1. 获取服务器公钥<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#1-获取服务器公钥" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>你可以在连接前预先使用 <code>ssh-keyscan</code> 命令来获取服务器的公钥:</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">ssh-keyscan</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> hostname</span><span style="--shiki-light:#D73A49;--shiki-dark:#F97583;"> >></span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> hostname.pub</span></span></code></pre></figure>
<p>这将把服务器的公钥保存在 <code>hostname.pub</code> 文件中。<strong>记住,这个步骤是可选的</strong>,如果你选择直接 SSH 连接到服务器SSH 客户端将会在初次连接时自动获取服务器的公钥。</p>
<h3 id="2-生成公钥指纹">2. 生成公钥指纹<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#2-生成公钥指纹" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>使用 <code>ssh-keygen</code> 命令生成公钥的指纹:</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">ssh-keygen</span><span style="--shiki-light:#005CC5;--shiki-dark:#79B8FF;"> -lf</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> hostname.pub</span></span></code></pre></figure>
<p>这将输出公钥的指纹,你需要通过一个安全的渠道(例如,通过 HTTPS 的网站或者电话等)获取服务器管理员提供的公钥指纹,然后手动<strong>比对这两个指纹是否一致</strong>。如果两者一致,你可以确认你将要连接的是正确的服务器。否则,<strong>可能存在中间人攻击的风险。</strong></p>
<h3 id="3-添加公钥到-known_hosts">3. 添加公钥到 known_hosts<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#3-添加公钥到-known_hosts" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>一旦验证了服务器的公钥指纹,你可以把公钥添加到 <code>~/.ssh/known_hosts</code> 文件中这样在下次连接时SSH 客户端就可以自动验证服务器的公钥了。</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">ssh-keyscan</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> hostname</span><span style="--shiki-light:#D73A49;--shiki-dark:#F97583;"> >></span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> ~/.ssh/known_hosts</span></span></code></pre></figure>
<h3 id="4-ssh-登录">4. SSH 登录<a role="anchor" aria-hidden="true" tabindex="-1" data-no-popover="true" href="#4-ssh-登录" class="internal"><svg width="18" height="18" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M10 13a5 5 0 0 0 7.54.54l3-3a5 5 0 0 0-7.07-7.07l-1.72 1.71"></path><path d="M14 11a5 5 0 0 0-7.54-.54l-3 3a5 5 0 0 0 7.07 7.07l1.71-1.71"></path></svg></a></h3>
<p>在公钥验证成功后,你可以通过 SSH 命令进行登录:</p>
<figure data-rehype-pretty-code-figure><pre tabindex="0" data-language="shell" data-theme="github-light github-dark"><code data-language="shell" data-theme="github-light github-dark" style="display:grid;"><span data-line><span style="--shiki-light:#6F42C1;--shiki-dark:#B392F0;">ssh</span><span style="--shiki-light:#032F62;--shiki-dark:#9ECBFF;"> username@example.com</span></span></code></pre></figure>
<p>在登录过程中,你可能需要输入用户的密码,或者如果你已经设置了 SSH 密钥对,那么可能需要输入私钥的密码。</p>
<p>请注意,所有这些步骤都是为了<strong>确保你在 SSH 连接中的安全</strong>,通过预先验证服务器的公钥,**可以有效防止中间人攻击。**然而,这并不能替代其他的安全措施,如使用强密码、定期更新密码、使用防火墙和 IDS 等。</p></article><hr/><div class="page-footer"></div></div><div class="right sidebar"><div class="graph"><h3>关系图谱</h3><div class="graph-outer"><div id="graph-container" data-cfg="{&quot;drag&quot;:true,&quot;zoom&quot;:true,&quot;depth&quot;:1,&quot;scale&quot;:1.1,&quot;repelForce&quot;:0.5,&quot;centerForce&quot;:0.3,&quot;linkDistance&quot;:30,&quot;fontSize&quot;:0.6,&quot;opacityScale&quot;:1,&quot;showTags&quot;:true,&quot;removeTags&quot;:[],&quot;focusOnHover&quot;:false}"></div><button id="global-graph-icon" aria-label="Global Graph"><svg version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0px" y="0px" viewBox="0 0 55 55" fill="currentColor" xml:space="preserve"><path d="M49,0c-3.309,0-6,2.691-6,6c0,1.035,0.263,2.009,0.726,2.86l-9.829,9.829C32.542,17.634,30.846,17,29,17
s-3.542,0.634-4.898,1.688l-7.669-7.669C16.785,10.424,17,9.74,17,9c0-2.206-1.794-4-4-4S9,6.794,9,9s1.794,4,4,4
c0.74,0,1.424-0.215,2.019-0.567l7.669,7.669C21.634,21.458,21,23.154,21,25s0.634,3.542,1.688,4.897L10.024,42.562
C8.958,41.595,7.549,41,6,41c-3.309,0-6,2.691-6,6s2.691,6,6,6s6-2.691,6-6c0-1.035-0.263-2.009-0.726-2.86l12.829-12.829
c1.106,0.86,2.44,1.436,3.898,1.619v10.16c-2.833,0.478-5,2.942-5,5.91c0,3.309,2.691,6,6,6s6-2.691,6-6c0-2.967-2.167-5.431-5-5.91
v-10.16c1.458-0.183,2.792-0.759,3.898-1.619l7.669,7.669C41.215,39.576,41,40.26,41,41c0,2.206,1.794,4,4,4s4-1.794,4-4
s-1.794-4-4-4c-0.74,0-1.424,0.215-2.019,0.567l-7.669-7.669C36.366,28.542,37,26.846,37,25s-0.634-3.542-1.688-4.897l9.665-9.665
C46.042,11.405,47.451,12,49,12c3.309,0,6-2.691,6-6S52.309,0,49,0z M11,9c0-1.103,0.897-2,2-2s2,0.897,2,2s-0.897,2-2,2
S11,10.103,11,9z M6,51c-2.206,0-4-1.794-4-4s1.794-4,4-4s4,1.794,4,4S8.206,51,6,51z M33,49c0,2.206-1.794,4-4,4s-4-1.794-4-4
s1.794-4,4-4S33,46.794,33,49z M29,31c-3.309,0-6-2.691-6-6s2.691-6,6-6s6,2.691,6,6S32.309,31,29,31z M47,41c0,1.103-0.897,2-2,2
s-2-0.897-2-2s0.897-2,2-2S47,39.897,47,41z M49,10c-2.206,0-4-1.794-4-4s1.794-4,4-4s4,1.794,4,4S51.206,10,49,10z"></path></svg></button></div><div id="global-graph-outer"><div id="global-graph-container" data-cfg="{&quot;drag&quot;:true,&quot;zoom&quot;:true,&quot;depth&quot;:-1,&quot;scale&quot;:0.9,&quot;repelForce&quot;:0.5,&quot;centerForce&quot;:0.3,&quot;linkDistance&quot;:30,&quot;fontSize&quot;:0.6,&quot;opacityScale&quot;:1,&quot;showTags&quot;:true,&quot;removeTags&quot;:[],&quot;focusOnHover&quot;:true}"></div></div></div><div class="toc desktop-only"><button type="button" id="toc" class aria-controls="toc-content" aria-expanded="true"><h3>目录</h3><svg xmlns="http://www.w3.org/2000/svg" width="24" height="24" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" class="fold"><polyline points="6 9 12 15 18 9"></polyline></svg></button><div id="toc-content" class><ul class="overflow"><li class="depth-0"><a href="#入门" data-for="入门">入门</a></li><li class="depth-1"><a href="#下载和安装" data-for="下载和安装">下载和安装</a></li><li class="depth-1"><a href="#安装验证" data-for="安装验证">安装验证</a></li><li class="depth-0"><a href="#配置" data-for="配置">配置</a></li><li class="depth-1"><a href="#配置文件" data-for="配置文件">配置文件</a></li><li class="depth-1"><a href="#常用配置" data-for="常用配置">常用配置</a></li><li class="depth-1"><a href="#生成-ssh-密钥" data-for="生成-ssh-密钥">生成 SSH 密钥</a></li><li class="depth-1"><a href="#防火墙配置" data-for="防火墙配置">防火墙配置</a></li><li class="depth-0"><a href="#工具" data-for="工具">工具</a></li><li class="depth-1"><a href="#ssh" data-for="ssh">Ssh</a></li><li class="depth-1"><a href="#scp" data-for="scp">Scp</a></li><li class="depth-1"><a href="#sftp" data-for="sftp">Sftp</a></li><li class="depth-1"><a href="#ssh-keygen" data-for="ssh-keygen">Ssh-keygen</a></li><li class="depth-1"><a href="#ssh-agent" data-for="ssh-agent">Ssh-agent</a></li><li class="depth-1"><a href="#ssh-add" data-for="ssh-add">Ssh-add</a></li><li class="depth-1"><a href="#ssh-keyscan" data-for="ssh-keyscan">Ssh-keyscan</a></li><li class="depth-1"><a href="#ssh-copy-id" data-for="ssh-copy-id">Ssh-copy-id</a></li><li class="depth-0"><a href="#使用" data-for="使用">使用</a></li><li class="depth-1"><a href="#1-获取服务器公钥" data-for="1-获取服务器公钥">1. 获取服务器公钥</a></li><li class="depth-1"><a href="#2-生成公钥指纹" data-for="2-生成公钥指纹">2. 生成公钥指纹</a></li><li class="depth-1"><a href="#3-添加公钥到-known_hosts" data-for="3-添加公钥到-known_hosts">3. 添加公钥到 known_hosts</a></li><li class="depth-1"><a href="#4-ssh-登录" data-for="4-ssh-登录">4. SSH 登录</a></li></ul></div></div><div class="explorer mobile-only"><button type="button" id="explorer" data-behavior="collapse" data-collapsed="collapsed" data-savestate="true" data-tree="[{&quot;path&quot;:&quot;Personal&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Blog&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Blog/2018&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Blog/2020&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Blog/2021&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Blog/2022&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Blog/2023&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Blog/2024&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Book&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Book/个人成长&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Book/医学健康&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Book/历史&quot;,&quot;collapsed&quot;:true},{&quot;path&quot;:&quot;Personal/Book/哲学宗教&quot;,&quot;collapsed&quot;:true},{&quot;pat
</script><script type="module">
let mermaidImport = undefined
document.addEventListener('nav', async () => {
if (document.querySelector("code.mermaid")) {
mermaidImport ||= await import('https://cdnjs.cloudflare.com/ajax/libs/mermaid/10.7.0/mermaid.esm.min.mjs')
const mermaid = mermaidImport.default
const darkMode = document.documentElement.getAttribute('saved-theme') === 'dark'
mermaid.initialize({
startOnLoad: false,
securityLevel: 'loose',
theme: darkMode ? 'dark' : 'default'
})
await mermaid.run({
querySelector: '.mermaid'
})
}
});
</script><script src="https://cdnjs.cloudflare.com/ajax/libs/KaTeX/0.16.9/contrib/copy-tex.min.js" type="application/javascript"></script><script src="../../../../postscript.js" type="module"></script></html>