申请一个网站,一屏展示网站,如何建设像艺龙一样网站,wdcp安装wordpress 502今天小编为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发#xff0c;讲述了SSH的基本用法#xff0c;之后在远程登录、端口转发等多种场景下进行独立的讲述#xff0c;希望能对大家有所帮助。1. 什么是SSH#xff1f;SSH是一种网络协议#xff0c;用于…今天小编为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发讲述了SSH的基本用法之后在远程登录、端口转发等多种场景下进行独立的讲述希望能对大家有所帮助。1. 什么是SSHSSH是一种网络协议用于计算机之间的加密登录。最早的时候互联网通信都是明文通信一旦被截获内容就暴露无疑。1995年芬兰学者Tatu Ylonen设计了SSH协议将登录信息全部加密成为互联网安全的一个基本解决方案迅速在全世界获得推广目前已经成为Linux系统的标准配置。2. SSH登录原理3. SSH基本用法语法:ssh -p 22 userhost
参数:-p指定端口号。user登录的用户名。host登录的主机。默认的端口号为22当端口号为22的时候可以省略直接使用如下方式:ssh userhost
此外如果本地正在使用的用户名与远程登录的用户名一致登录用户名也是可以省略的即如下ssh host
4. SSH远程登录实例现在我有两台linux虚拟机上面安装都是centOS6.5ip分别为192.168.13.135和192.168.13.138如下图现在我需要操作的是通过SSH在192.168.13.138上面登录到192.168.13.135上面。首先我们可以使用如下命令查看两台机器是否启用了ssh。netstat -ntlp |grep ssh
使用如下命令进行连接。ssh -p 22 root192.168.13.135
若在本机上是首次登录该远程主机则会出现如下界面。大致意思就是无法确认host主机的真实性只知道它的公钥指纹问你还想继续连接吗输入yes即可。然后输入密码即可连接ok了。要想退出直接输入exit即可。5. SSH端口转发SSH 不仅仅能够自动加密和解密 SSH 客户端与服务端之间的网络数据同时SSH 还能够提供了一个非常有用的功能那就是端口转发即将TCP 端口的网络数据转发到指定的主机某个端口上在转发的同时会对数据进行相应的加密及解密。如果工作环境中的防火墙限制了一些网络端口的使用但是允许 SSH 的连接那么也是能够通过使用SSH转发后的端口进行通信。转发主要分为本地转发与远程转发两种类型。1. 转发的参数-C压缩数据
-f 后台认证用户/密码通常和-N连用不用登录到远程主机。
-N 不执行脚本或命令通常与-f连用。
-g 在-L/-R/-D参数中允许远程主机连接到建立的转发的端口如果不加这个参数只允许本地主机建立连接。
-L : 本地端口:目标IP:目标端口
-D : 动态端口转发
-R : 远程端口转发
-T 不分配 TTY 只做代理用
-q 安静模式不输出 错误/警告 信息
2. 本地转发有本地网络服务器的某个端口转发到远程服务器某个端口。说白了就是将发送到本地端口的请求转发到目标端口。格式如下ssh -L 本地网卡地址:本地端口:目标地址:目标端口 用户目标地址。现在我们利用本地转发来解决一个问题比如我们有两台机器如下centos A192.168.13.139centos B192.168.13.142现在centos B192.168.13.142机器上面安装了mysql并设置了运行任何主机连接如下此时在centos A192.168.13.139上面是可以连上centos B192.168.13.142的mysql如下那么现在我开始centos B192.168.13.142限制不允许外部ip连接仅仅让127.0.0.1连接如下此时centos A192.168.13.139上面怎么连接上centos B192.168.13.142的mysql呢此时我们还是使用上面的mysql连接方式肯定会报错如下当然在centos B192.168.13.142mysql还是可访问的。这个时候我们就可以使用本地端口转发了将本地的某个端口映射到centos B192.168.13.142机器上面的如下ssh -L 127.0.0.1:3306:127.0.0.1:3306 root192.168.13.142
因为本地网卡地址是可以省略的上面的转发可以简写为ssh -L 3306:127.0.0.1:3306 root192.168.13.142
当然ssh连接的时候若两台机器的用户名相同也是可以省略的即命令可以简写为ssh -L 3306:127.0.0.1:3306 192.168.13.14
上面的代码就是将本地的3306端口转发到192.168.13.142的3306端口。因为centos B192.168.13.142上面的mysql使用的3606端口。当然我们首先得看看本地的3306端口是否被占用如被占用可以使用其他的端口。数据流向如图首先centos A192.168.13.139上的应用将数据发送到本地的127.0.0.1上面的3306端口。然后centos A192.168.13.139将3306端口的数据通过SSH转发到centos B192.168.13.142的3306端口。接着centos B192.168.13.142将处理后的数据原路返回给centos A192.168.13.139。如果是首次通过ssh连接cetosB该机器则会提示确认公钥并让你选择是否确定连接。此时我们在centos A上面连接centos B上面的mysql就可以这么写了。bin/mysql -h127.0.0.1 -uroot -p
如下我们可以通过下面命令在centosA查看ssh转发监听的进程。3.远程转发由远程服务器的某个端口转发到本地网络的服务器某个端口。说白了就是将发送到远程端口的请求转发到目标端口。格式如下ssh -R 远程网卡地址:远程端口:目标地址:目标端口下面三台机器为例如下centos A192.168.13.139centos B192.168.13.142win710.18.78.135假设win710.18.78.135与centos B192.168.13.142不能直接连接但是win710.18.78.135与centos A192.168.13.139可以连接centos B192.168.13.142也可以centos A192.168.13.139连接那么我们就可以在centos A192.168.13.139上面使用远程端口转发了让win710.18.78.135与centos B192.168.13.142进行通信。ssh -R 127.0.0.1:80:10.18.78.135:80 root192.168.13.142
即centos B192.168.13.142监听自己的80端口然后将所有数据由centos A192.168.13.139发给win710.18.78.135。6. SSH的远程操作ssh远程操作主要用于在远程的机器上面执行某个操作格式如下ssh userhost command
案例1、在机器A192.168.13.148中查看机器B192.168.13.149的操作系统类型。在A机器上面执行如下代码ssh dequan192.168.13.149 uname -a
案例2、将机器A192.168.13.148中test文件夹复制到B机器192.168.13.149。在A机器上面执行如下命令tar -cz test | ssh dequan192.168.13.149 tar -xz
当然我们也可以使用scp命令或rz命令传输文件。案例3、在机器A192.168.13.148处查看B机器192.168.13.149是否监听了1080端口。在A机器上面执行如下命令ssh dequan192.168.13.149 netstat -tln |grep 1080
7. SSH的本地转发本地转发说白了就是把发到本地的某个端口请求转发到远程的某台机器上面。格式如下ssh -L [本地地址:]本地端口:远程地址:远程端口 远程用户远程地址
案例1、在机器B192.168.13.149上面访问机器A192.168.13.148的服务。现在我们在A机器上面启动了Nginx服务如下我们希望B机器也能够这样使用A机器上面的服务。需要把B机器上面80端口请求转发到A机器上面。目前在B机器这样执行是报错的如下需要在B机器上面执行如下代码ssh -f -N -L 127.0.01:80:192.168.13.148:80 dequan192.168.13.148
然后在B机器上面访问A机器的服务就想访问自身的服务一样。8. SSH的远程转发远程转发即把发给远程机器的某个端口请求转发到本地的机器上面。格式如下ssh -R [远程地址:]远程端口:本地地址:本地端口 远程用户远程地址
在上面的案例中我们也可以通过远程转发来实现。即在A机器上面执行如下代码sudo ssh -f -N -R 8081:127.0.0.1:80 dequan192.168.13.149
我们监听了B机器的8081端口把该端口的请求转发到A机器上面。可以在B机器上面看到我们的监听如下此时执行如下命令就会被转发到A机器的127.0.0.1的80端口如下1、利用远程转发实现代理功能目前B机器只能在自己127.0.0.1的80端口监听并转发如何让B机器作为代理转发其他机器的请求到A机器上面呢比如现在有一台机器C192.168.13.143C不能访问A但是能够访问B。如何让C利用B来访问A呢此时需要将B的监听由127.0.0.1:8081改为0:0.0.0:8081修改sshd的配置/etc/ssh/sshd_config。 vim /etc/ssh/sshd_config
如果有
GatewayPorts no
改为
GatewayPorts yes没有添加即可
然后重启sshdsudo service sshd restart
然后重新设置动态转发如下 ssh -f -g -N -R 8081:127.0.0.1:80 dequan192.168.13.149
可以看到此时B机器已经监听了0:0.0.0:8081在C机器上面我们通过curl模拟请求利用B机器做代理如下 curl -x 192.168.13.149:8081 127.0.0.1
当然如果还有其他机器也可以使用类似的方式来请求A机器。9. SSH的动态转发对于SSH的本地转发和远程转发都需要将本地端口和远程端口一一绑定格式如下ssh -D [本地地址:]本地端口号 远程用户远程地址
比如把发到B机器上面的请求都转发到A机器上面让A机器去执行请求。10. SSH存在的问题如果有人截获了登录请求然后冒充远程主机将伪造的公钥发给用户那么用户很难辨别真伪。因为不像https协议SSH协议的公钥是没有证书中心CA公证的也就是说都是自己签发的。可以设想如果攻击者插在用户与远程主机之间比如在公共的wifi区域用伪造的公钥获取用户的登录密码。再用这个密码登录远程主机那么SSH的安全机制就荡然无存了。这种风险就是著名的中间人攻击Man-in-the-middle attack。11. 总结本篇文章主要介绍了SSH的基本概念和实践中常用的一些方法并没有涉及深层原理和优化的知识在底层实现和协议具体内容还能继续深入研究。如果有什么疑问或建议可以在下方留言。
