SSH只能用于远程连接Linux主机?SSH介绍和更多使用方法
发布时间:2024-06-18 点击:122
本文目录
显示
1.
什么是ssh?
2.
ssh登录原理
3.
ssh基本用法
4.
ssh远程登录实例
5.
ssh端口转发
6.
ssh的远程操作
7.
ssh的本地转发
8.
ssh的远程转发
9.
ssh的动态转发
10.
ssh存在的问题
11.
ssh总结
11.1.
推荐阅读
今天为大家分享一篇关于ssh介绍和使用方法的文章。本文从ssh是什么出发,讲述了ssh的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。实操的话,大家可以参阅《优刻得globalssh新版本支持修改端口加速非ucloud ip》。
什么是ssh?
什么是ssh?ssh是一种网络协议,用于计算机之间的加密登录。最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者tatu ylonen设计了ssh协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为linux系统的标准配置。
ssh登录原理
ssh基本用法
语法:
ssh-p22user@host
参数:-p:指定端口号。user:登录的用户名。host:登录的主机。默认的端口号为22,当端口号为22的时候,可以省略,直接使用如下方式:
ssh user@host
此外,如果本地正在使用的用户名与远程登录的用户名一致,登录用户名也是可以省略的,即如下:
ssh host
ssh远程登录实例
现在我有两台linux虚拟机,上面安装都是centos6.5,ip分别为192.168.13.135和192.168.13.138,如下图:
现在,我需要操作的是通过ssh在192.168.13.138上面,登录到192.168.13.135上面。
首先,我们可以使用如下命令,查看两台机器是否启用了ssh。
netstat -ntlp |grep ssh
使用如下命令进行连接。
ssh -p 22 root@192.168.13.135
若在本机上是首次登录该远程主机,则会出现如下界面。
大致意思就是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?输入yes即可。
然后输入密码,即可连接ok了。
要想退出,直接输入exit即可。
ssh端口转发
ssh 不仅仅能够自动加密和解密 ssh 客户端与服务端之间的网络数据,同时,ssh 还能够提供了一个非常有用的功能,那就是端口转发,即将tcp 端口的网络数据,转发到指定的主机某个端口上,在转发的同时会对数据进行相应的加密及解密。如果工作环境中的防火墙限制了一些网络端口的使用,但是允许 ssh 的连接,那么也是能够通过使用ssh转发后的端口进行通信。转发,主要分为本地转发与远程转发两种类型。
1.转发的参数
-c:压缩数据
-f :后台认证用户/密码,通常和-n连用,不用登录到远程主机。
-n :不执行脚本或命令,通常与-f连用。
-g :在-l/-r/-d参数中,允许远程主机连接到建立的转发的端口,如果不加这个参数,只允许本地主机建立连接。
-l : 本地端口:目标ip:目标端口
-d : 动态端口转发
-r : 远程端口转发
-t :不分配 tty 只做代理用
-q :安静模式,不输出 错误/警告 信息
2.本地转发
有本地网络服务器的某个端口,转发到远程服务器某个端口。说白了就是,将发送到本地端口的请求,转发到目标端口。格式如下:
ssh -l 本地网卡地址:本地端口:目标地址:目标端口 用户@目标地址。现在我们利用本地转发来解决一个问题,比如我们有两台机器,如下:
centos a(192.168.13.139)
centos b(192.168.13.142)
现在,centos b(192.168.13.142)机器上面安装了mysql,并设置了运行任何主机连接,如下:
此时,在centos a(192.168.13.139)上面是可以连上centos b(192.168.13.142)的mysql,如下:
那么,现在我开始centos b(192.168.13.142)限制不允许外部ip连接,仅仅让127.0.0.1连接,如下:
此时,centos a(192.168.13.139)上面怎么连接上centos b(192.168.13.142)的mysql呢?此时,我们还是使用上面的mysql连接方式,肯定会报错,如下:
当然在centos b(192.168.13.142)mysql还是可访问的。
这个时候,我们就可以使用ssh本地端口转发了,将本地的某个端口,映射到centos b(192.168.13.142)机器上面的,如下:
ssh -l 127.0.0.1:3306:127.0.0.1:3306 root@192.168.13.142
因为本地网卡地址是可以省略的,上面的转发,可以简写为:
ssh -l 3306:127.0.0.1:3306 root@192.168.13.142
当然,ssh连接的时候,若两台机器的用户名相同,也是可以省略的,即命令可以简写为:
ssh -l 3306:127.0.0.1:3306 192.168.13.14
上面的代码就是将本地的3306端口,转发到192.168.13.142的3306端口。因为centos b(192.168.13.142)上面的mysql使用的3606端口。当然,我们首先得看看本地的3306端口是否被占用,如被占用,可以使用其他的端口。
数据流向如图:
首先,centos a(192.168.13.139)上的应用将数据发送到本地的127.0.0.1上面的3306端口。
然后,centos a(192.168.13.139)将3306端口的数据,通过ssh转发到centos b(192.168.13.142)的3306端口。
接着,centos b(192.168.13.142)将处理后的数据,原路返回给centos a(192.168.13.139)。
如果是首次通过ssh连接cetosb该机器,则会提示确认公钥,并让你选择是否确定连接。
此时,我们在centos a上面连接centos b上面的mysql,就可以这么写了。
bin/mysql -h127.0.0.1 -uroot -p
如下:
我们可以通过下面命令,在centosa查看ssh转发监听的进程。
3.远程转发
由远程服务器的某个端口,转发到本地网络的服务器某个端口。说白了,就是将发送到远程端口的请求,转发到目标端口。格式如下:
ssh -r 远程网卡地址:远程端口:目标地址:目标端口
下面三台机器为例,如下:
centos a(192.168.13.139)
centos b(192.168.13.142)
win7(10.18.78.135)
假设,win7(10.18.78.135)与centos b(192.168.13.142)不能直接连接,但是win7(10.18.78.135)与centos a(192.168.13.139)可以连接centos b(192.168.13.142)也可以centos a(192.168.13.139)连接,那么,我们就可以在centos a(192.168.13.139)上面使用远程端口转发了,让win7(10.18.78.135)与centos b(192.168.13.142)进行通信。
ssh -r 127.0.0.1:80:10.18.78.135:80 root@192.168.13.142
即centos b(192.168.13.142)监听自己的80端口,然后将所有数据,由centos a(192.168.13.139)发给win7(10.18.78.135)。
ssh的远程操作
ssh远程操作,主要用于在远程的机器上面执行某个操作,格式如下:
ssh user@host \’command\’
案例1、在机器a(192.168.13.148)中查看机器b(192.168.13.149)的操作系统类型。
在a机器上面执行如下代码:
ssh dequan@192.168.13.149 \’uname -a\’
案例2、将机器a(192.168.13.148)中test文件夹复制到b机器(192.168.13.149)。
在a机器上面,执行如下命令:
tar -cz test | ssh dequan@192.168.13.149 \’tar -xz\’
当然,我们也可以使用scp命令或rz命令,传输文件。
案例3、在机器a(192.168.13.148)处查看b机器(192.168.13.149)是否监听了1080端口。在a机器上面,执行如下命令:
ssh dequan@192.168.13.149 \’netstat -tln |grep 1080\’
ssh的本地转发
本地转发,说白了,就是把发到本地的某个端口请求,转发到远程的某台机器上面。格式如下:
ssh-l[本地地址:]本地端口:远程地址:远程端口远程用户@远程地址
案例1、在机器b(192.168.13.149)上面访问机器a(192.168.13.148)的服务。现在,我们在a机器上面,启动了nginx服务,如下:
我们希望b机器也能够这样使用a机器上面的服务。需要把b机器上面80端口请求,转发到a机器上面。目前在b机器这样执行,是报错的,如下:
需要在b机器上面,执行如下代码:
ssh -f -n -l 127.0.01:80:192.168.13.148:80 dequan@192.168.13.148
然后,在b机器上面,访问a机器的服务,就想访问自身的服务一样。
ssh的远程转发
远程转发,即把发给远程机器的某个端口请求,转发到本地的机器上面。格式如下:
ssh-r[远程地址:]远程端口:本地地址:本地端口远程用户@远程地址
在上面的案例中,我们也可以通过远程转发来实现。即在a机器上面执行如下代码:
sudo ssh -f -n -r 8081:127.0.0.1:80 dequan@192.168.13.149
我们监听了b机器的8081端口,把该端口的请求,转发到a机器上面。可以在b机器上面看到,我们的监听,如下:
此时,执行如下命令,就会被转发到a机器的127.0.0.1的80端口,如下:
1、利用远程转发,实现代理功能
目前b机器,只能在自己127.0.0.1的80端口监听并转发,如何让b机器作为代理,转发其他机器的请求到a机器上面呢?比如,现在有一台机器c(192.168.13.143),c不能访问a,但是能够访问b。如何让c利用b来访问a呢?此时,需要将b的监听,由127.0.0.1:8081,改为0:0.0.0:8081,修改sshd的配置/etc/ssh/sshd_config。
vim /etc/ssh/sshd_config
如果有
gatewayports no
改为
gatewayports yes
没有,添加即可
然后重启sshd
sudo service sshd restart
然后重新,设置动态转发,如下:
ssh -f -g -n -r 8081:127.0.0.1:80 dequan@192.168.13.149
可以看到,此时b机器,已经监听了0:0.0.0:8081
在c机器上面,我们通过curl模拟请求,利用b机器做代理,如下:
curl -x 192.168.13.149:8081 127.0.0.1
当然,如果还有其他机器,也可以使用类似的方式,来请求a机器。
ssh的动态转发
对于ssh的本地转发和远程转发,都需要将本地端口和远程端口一一绑定,格式如下:
ssh -d [本地地址:]本地端口号 远程用户@远程地址
比如,把发到b机器上面的请求,都转发到a机器上面,让a机器去执行请求。
ssh存在的问题
如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,ssh协议的公钥是没有证书中心(ca)公证的,也就是说,都是自己签发的。可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么ssh的安全机制就荡然无存了。这种风险就是著名的\”中间人攻击\”(man-in-the-middle attack)。
ssh总结
本篇文章主要介绍了ssh的基本概念和实践中常用的一些方法,并没有涉及深层原理和优化的知识,在底层实现和协议具体内容还能继续深入研究。如果有什么疑问或建议,可以在下方留言。
A5域名每日快讯:两字母域名kd.com被投资人戴跃收购
请问我在数据库设置功能里看到最大数据表数量在数据表列表中最多
ecs云服务器续费
阿里云服务器网页游戏挂机
阿里云小程序服务器价格
域名怎么解析到服务器上
域名绑定不上-云服务器问题
php如何更改数组键名
显示
1.
什么是ssh?
2.
ssh登录原理
3.
ssh基本用法
4.
ssh远程登录实例
5.
ssh端口转发
6.
ssh的远程操作
7.
ssh的本地转发
8.
ssh的远程转发
9.
ssh的动态转发
10.
ssh存在的问题
11.
ssh总结
11.1.
推荐阅读
今天为大家分享一篇关于ssh介绍和使用方法的文章。本文从ssh是什么出发,讲述了ssh的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。实操的话,大家可以参阅《优刻得globalssh新版本支持修改端口加速非ucloud ip》。
什么是ssh?
什么是ssh?ssh是一种网络协议,用于计算机之间的加密登录。最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者tatu ylonen设计了ssh协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为linux系统的标准配置。
ssh登录原理
ssh基本用法
语法:
ssh-p22user@host
参数:-p:指定端口号。user:登录的用户名。host:登录的主机。默认的端口号为22,当端口号为22的时候,可以省略,直接使用如下方式:
ssh user@host
此外,如果本地正在使用的用户名与远程登录的用户名一致,登录用户名也是可以省略的,即如下:
ssh host
ssh远程登录实例
现在我有两台linux虚拟机,上面安装都是centos6.5,ip分别为192.168.13.135和192.168.13.138,如下图:
现在,我需要操作的是通过ssh在192.168.13.138上面,登录到192.168.13.135上面。
首先,我们可以使用如下命令,查看两台机器是否启用了ssh。
netstat -ntlp |grep ssh
使用如下命令进行连接。
ssh -p 22 root@192.168.13.135
若在本机上是首次登录该远程主机,则会出现如下界面。
大致意思就是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?输入yes即可。
然后输入密码,即可连接ok了。
要想退出,直接输入exit即可。
ssh端口转发
ssh 不仅仅能够自动加密和解密 ssh 客户端与服务端之间的网络数据,同时,ssh 还能够提供了一个非常有用的功能,那就是端口转发,即将tcp 端口的网络数据,转发到指定的主机某个端口上,在转发的同时会对数据进行相应的加密及解密。如果工作环境中的防火墙限制了一些网络端口的使用,但是允许 ssh 的连接,那么也是能够通过使用ssh转发后的端口进行通信。转发,主要分为本地转发与远程转发两种类型。
1.转发的参数
-c:压缩数据
-f :后台认证用户/密码,通常和-n连用,不用登录到远程主机。
-n :不执行脚本或命令,通常与-f连用。
-g :在-l/-r/-d参数中,允许远程主机连接到建立的转发的端口,如果不加这个参数,只允许本地主机建立连接。
-l : 本地端口:目标ip:目标端口
-d : 动态端口转发
-r : 远程端口转发
-t :不分配 tty 只做代理用
-q :安静模式,不输出 错误/警告 信息
2.本地转发
有本地网络服务器的某个端口,转发到远程服务器某个端口。说白了就是,将发送到本地端口的请求,转发到目标端口。格式如下:
ssh -l 本地网卡地址:本地端口:目标地址:目标端口 用户@目标地址。现在我们利用本地转发来解决一个问题,比如我们有两台机器,如下:
centos a(192.168.13.139)
centos b(192.168.13.142)
现在,centos b(192.168.13.142)机器上面安装了mysql,并设置了运行任何主机连接,如下:
此时,在centos a(192.168.13.139)上面是可以连上centos b(192.168.13.142)的mysql,如下:
那么,现在我开始centos b(192.168.13.142)限制不允许外部ip连接,仅仅让127.0.0.1连接,如下:
此时,centos a(192.168.13.139)上面怎么连接上centos b(192.168.13.142)的mysql呢?此时,我们还是使用上面的mysql连接方式,肯定会报错,如下:
当然在centos b(192.168.13.142)mysql还是可访问的。
这个时候,我们就可以使用ssh本地端口转发了,将本地的某个端口,映射到centos b(192.168.13.142)机器上面的,如下:
ssh -l 127.0.0.1:3306:127.0.0.1:3306 root@192.168.13.142
因为本地网卡地址是可以省略的,上面的转发,可以简写为:
ssh -l 3306:127.0.0.1:3306 root@192.168.13.142
当然,ssh连接的时候,若两台机器的用户名相同,也是可以省略的,即命令可以简写为:
ssh -l 3306:127.0.0.1:3306 192.168.13.14
上面的代码就是将本地的3306端口,转发到192.168.13.142的3306端口。因为centos b(192.168.13.142)上面的mysql使用的3606端口。当然,我们首先得看看本地的3306端口是否被占用,如被占用,可以使用其他的端口。
数据流向如图:
首先,centos a(192.168.13.139)上的应用将数据发送到本地的127.0.0.1上面的3306端口。
然后,centos a(192.168.13.139)将3306端口的数据,通过ssh转发到centos b(192.168.13.142)的3306端口。
接着,centos b(192.168.13.142)将处理后的数据,原路返回给centos a(192.168.13.139)。
如果是首次通过ssh连接cetosb该机器,则会提示确认公钥,并让你选择是否确定连接。
此时,我们在centos a上面连接centos b上面的mysql,就可以这么写了。
bin/mysql -h127.0.0.1 -uroot -p
如下:
我们可以通过下面命令,在centosa查看ssh转发监听的进程。
3.远程转发
由远程服务器的某个端口,转发到本地网络的服务器某个端口。说白了,就是将发送到远程端口的请求,转发到目标端口。格式如下:
ssh -r 远程网卡地址:远程端口:目标地址:目标端口
下面三台机器为例,如下:
centos a(192.168.13.139)
centos b(192.168.13.142)
win7(10.18.78.135)
假设,win7(10.18.78.135)与centos b(192.168.13.142)不能直接连接,但是win7(10.18.78.135)与centos a(192.168.13.139)可以连接centos b(192.168.13.142)也可以centos a(192.168.13.139)连接,那么,我们就可以在centos a(192.168.13.139)上面使用远程端口转发了,让win7(10.18.78.135)与centos b(192.168.13.142)进行通信。
ssh -r 127.0.0.1:80:10.18.78.135:80 root@192.168.13.142
即centos b(192.168.13.142)监听自己的80端口,然后将所有数据,由centos a(192.168.13.139)发给win7(10.18.78.135)。
ssh的远程操作
ssh远程操作,主要用于在远程的机器上面执行某个操作,格式如下:
ssh user@host \’command\’
案例1、在机器a(192.168.13.148)中查看机器b(192.168.13.149)的操作系统类型。
在a机器上面执行如下代码:
ssh dequan@192.168.13.149 \’uname -a\’
案例2、将机器a(192.168.13.148)中test文件夹复制到b机器(192.168.13.149)。
在a机器上面,执行如下命令:
tar -cz test | ssh dequan@192.168.13.149 \’tar -xz\’
当然,我们也可以使用scp命令或rz命令,传输文件。
案例3、在机器a(192.168.13.148)处查看b机器(192.168.13.149)是否监听了1080端口。在a机器上面,执行如下命令:
ssh dequan@192.168.13.149 \’netstat -tln |grep 1080\’
ssh的本地转发
本地转发,说白了,就是把发到本地的某个端口请求,转发到远程的某台机器上面。格式如下:
ssh-l[本地地址:]本地端口:远程地址:远程端口远程用户@远程地址
案例1、在机器b(192.168.13.149)上面访问机器a(192.168.13.148)的服务。现在,我们在a机器上面,启动了nginx服务,如下:
我们希望b机器也能够这样使用a机器上面的服务。需要把b机器上面80端口请求,转发到a机器上面。目前在b机器这样执行,是报错的,如下:
需要在b机器上面,执行如下代码:
ssh -f -n -l 127.0.01:80:192.168.13.148:80 dequan@192.168.13.148
然后,在b机器上面,访问a机器的服务,就想访问自身的服务一样。
ssh的远程转发
远程转发,即把发给远程机器的某个端口请求,转发到本地的机器上面。格式如下:
ssh-r[远程地址:]远程端口:本地地址:本地端口远程用户@远程地址
在上面的案例中,我们也可以通过远程转发来实现。即在a机器上面执行如下代码:
sudo ssh -f -n -r 8081:127.0.0.1:80 dequan@192.168.13.149
我们监听了b机器的8081端口,把该端口的请求,转发到a机器上面。可以在b机器上面看到,我们的监听,如下:
此时,执行如下命令,就会被转发到a机器的127.0.0.1的80端口,如下:
1、利用远程转发,实现代理功能
目前b机器,只能在自己127.0.0.1的80端口监听并转发,如何让b机器作为代理,转发其他机器的请求到a机器上面呢?比如,现在有一台机器c(192.168.13.143),c不能访问a,但是能够访问b。如何让c利用b来访问a呢?此时,需要将b的监听,由127.0.0.1:8081,改为0:0.0.0:8081,修改sshd的配置/etc/ssh/sshd_config。
vim /etc/ssh/sshd_config
如果有
gatewayports no
改为
gatewayports yes
没有,添加即可
然后重启sshd
sudo service sshd restart
然后重新,设置动态转发,如下:
ssh -f -g -n -r 8081:127.0.0.1:80 dequan@192.168.13.149
可以看到,此时b机器,已经监听了0:0.0.0:8081
在c机器上面,我们通过curl模拟请求,利用b机器做代理,如下:
curl -x 192.168.13.149:8081 127.0.0.1
当然,如果还有其他机器,也可以使用类似的方式,来请求a机器。
ssh的动态转发
对于ssh的本地转发和远程转发,都需要将本地端口和远程端口一一绑定,格式如下:
ssh -d [本地地址:]本地端口号 远程用户@远程地址
比如,把发到b机器上面的请求,都转发到a机器上面,让a机器去执行请求。
ssh存在的问题
如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,ssh协议的公钥是没有证书中心(ca)公证的,也就是说,都是自己签发的。可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么ssh的安全机制就荡然无存了。这种风险就是著名的\”中间人攻击\”(man-in-the-middle attack)。
ssh总结
本篇文章主要介绍了ssh的基本概念和实践中常用的一些方法,并没有涉及深层原理和优化的知识,在底层实现和协议具体内容还能继续深入研究。如果有什么疑问或建议,可以在下方留言。
A5域名每日快讯:两字母域名kd.com被投资人戴跃收购
请问我在数据库设置功能里看到最大数据表数量在数据表列表中最多
ecs云服务器续费
阿里云服务器网页游戏挂机
阿里云小程序服务器价格
域名怎么解析到服务器上
域名绑定不上-云服务器问题
php如何更改数组键名