Ubuntu環境下SSH的安裝及使用
Ubuntu環境下SSH的安裝及使用
SSH是指Secure Shell,是一種安全的傳輸協議,Ubuntu客戶端可以通過SSH訪問遠端伺服器 。SSH的簡介和工作機制可參看上篇文章 SSH簡介及工作機制。
SSH分客戶端openssh-client和openssh-server
如果你只是想登陸別的機器的SSH只需要安裝openssh-client(ubuntu有預設安裝,如果沒有則sudoapt-get install openssh-client),如果要使本機開放SSH服務就需要安裝openssh-server。
一、安裝客戶端
Ubuntu預設已經安裝了ssh client。
sudo apt-get install ssh 或者 sudo apt-get installopenssh-client
ssh-keygen
(按回車設定預設值)
按預設生成id_rsa和id_rsa.pub檔案,分別是私鑰和公鑰。
說明:如果sudo apt-get insall ssh出錯,無法安裝可使用sudo apt-get install openssh-client進行安裝。
假定伺服器ip為192.168.1.1,ssh服務的埠號為22,伺服器上有個使用者為root;
用ssh登入伺服器的命令為:
>ssh –p 22 [email protected]
>輸入root使用者的密碼
二、安裝服務端
Ubuntu預設沒有安裝SSH Server,使用以下命令安裝:
sudo apt-get install openssh-server
然後確認sshserver是否啟動了:(或用“netstat -tlp”命令)
ps -e|grep ssh
如果只有ssh-agent那ssh-server還沒有啟動,需要/etc/init.d/ssh start,如果看到sshd那說明ssh-server已經啟動了。
如果沒有則可以這樣啟動:
sudo/etc/init.d/ssh start
事實上如果沒什麼特別需求,到這裡 OpenSSH Server 就算安裝好了。但是進一步設定一下,可以讓 OpenSSH 登入時間更短,並且更加安全。這一切都是通過修改 openssh 的配置檔案 sshd_config 實現的。
三、SSH配置
ssh-server配置檔案位於/etc/ssh/sshd_config,在這裡可以定義SSH的服務埠,預設埠是22,你可以自己定義成其他埠號,如222。然後重啟SSH服務:
sudo /etc/init.d/sshresart通過修改配置檔案/etc/ssh/sshd_config,可以改ssh登入埠和禁止root登入。改埠可以防止被埠掃描。
sudo cp/etc/ssh/sshd_config /etc/ssh/sshd_config.original
sudochmod a-w /etc/ssh/sshd_config.original編輯配置檔案:
gedit /etc/ssh/sshd_config找到#Port 22,去掉註釋,修改成一個五位的埠:
Port 22333
找到#PermitRootLogin yes,去掉註釋,修改為:
PermitRootLogin no
配置完成後重起:
sudo/etc/init.d/ssh restart四、SSH服務命令
停止服務:sudo /etc/init.d/ssh stop
啟動服務:sudo /etc/init.d/ssh start
重啟服務:sudo /etc/init.d/sshresart
斷開連線:exit
登入:ssh[email protected]
root為192.168.0.100機器上的使用者,需要輸入密碼。
五、SSH登入命令
常用格式:ssh [-llogin_name] [-p port] [user@]hostname
更詳細的可以用ssh -h檢視。
舉例
不指定使用者:
ssh 192.168.0.1指定使用者:
ssh -l root 192.168.0.1
ssh root@192.168.0.1 如果修改過ssh登入埠的可以:
ssh -p 22333 192.168.0.111
ssh -l root -p 22333 216.230.230.105
ssh -p 22333 root@216.230.230.105六、提高登入速度
在遠端登入的時候可能會發現,在輸入完使用者名稱後需要等很長一段時間才會提示輸入密碼。其實這是由於 sshd 需要反查客戶端的 dns 資訊導致的。可以通過禁用這個特性來大幅提高登入的速度。首先,開啟 sshd_config 檔案:
sudo nano /etc/ssh/sshd_config找到 GSSAPI options 這一節,將下面兩行註釋掉:
#GSSAPIAuthentication yes #GSSAPIDelegateCredentials no然後重新啟動 ssh 服務即可:
sudo /etc/init.d/ssh restart再登入試試,應該非常快了吧
七、利用 PuTTy 通過證書認證登入伺服器
SSH 服務中,所有的內容都是加密傳輸的,安全性基本有保證。但是如果能使用證書認證的話,安全性將會更上一層樓,而且經過一定的設定,還能實現證書認證自動登入的效果。
首先修改 sshd_config 檔案,開啟證書認證選項:
RSAAuthentication yes PubkeyAuthentication yesAuthorizedKeysFile %h/.ssh/authorized_keys修改完成後重新啟動 ssh 服務。
下一步我們需要為 SSH 使用者建立私鑰和公鑰。首先要登入到需要建立金鑰的賬戶下,這裡注意退出 root 使用者,需要的話用 su 命令切換到其它使用者下。然後執行:
ssh-keygen這裡,我們將生成的 key 存放在預設目錄下即可。建立的過程中會提示輸入 passphrase,這相當於給證書加個密碼,也是提高安全性的措施,這樣即使證書不小心被人拷走也不怕了。當然如果這個留空的話,後面即可實現 PuTTy 通過證書認證的自動登入。
ssh-keygen 命令會生成兩個金鑰,首先我們需要將公鑰改名留在伺服器上:
cd ~/.ssh mv id_rsa.pub authorized_keys然後將私鑰 id_rsa 從伺服器上覆製出來,並刪除掉伺服器上的 id_rsa 檔案。
伺服器上的設定就做完了,下面的步驟需要在客戶端電腦上來做。首先,我們需要將 id_rsa 檔案轉化為 PuTTy 支援的格式。這裡我們需要利用 PuTTyGEN 這個工具:
點選 PuTTyGen 介面中的 Load 按鈕,選擇 id_rsa 檔案,輸入 passphrase(如果有的話),然後再點選 Save PrivateKey 按鈕,這樣 PuTTy 接受的私鑰就做好了。
開啟 PuTTy,在 Session 中輸入伺服器的 IP 地址,在 Connection->SSH->Auth 下點選 Browse 按鈕,選擇剛才生成好的私鑰。然後回到 Connection 選項,在 Auto-login username 中輸入證書所屬的使用者名稱。回到 Session 選項卡,輸入個名字點 Save 儲存下這個 Session。點選底部的 Open 應該就可以通過證書認證登入到伺服器了。如果有 passphrase 的話,登入過程中會要求輸入 passphrase,否則將會直接登入到伺服器上,非常的方便。
轉載 https://cloud.tencent.com/developer/article/1751149