ssh

openssh套件中的客戶端連接工具

補充說明

ssh命令 是openssh套件中的客戶端連接工具，可以給予ssh加密協議實現安全的遠程登錄服務器。

語法

1ssh(選項)(參數)

選項

 1-1：強制使用ssh協議版本1；
 2-2：強制使用ssh協議版本2；
 3-4：強制使用IPv4地址；
 4-6：強制使用IPv6地址；
 5-A：開啓認證代理連接轉發功能；
 6-a：關閉認證代理連接轉發功能；
 7-b：使用本機指定地址作爲對應連接的源ip地址；
 8-C：請求壓縮所有數據；
 9-F：指定ssh指令的配置文件；
10-f：後臺執行ssh指令；
11-g：允許遠程主機連接主機的轉發端口；
12-i：指定身份(私鑰)文件；
13-l：指定連接遠程服務器登錄用戶名；
14-N：不執行遠程指令；
15-o：指定配置選項；
16-p：指定遠程服務器上的端口；
17-q：靜默模式；
18-X：開啓X11轉發功能；
19-x：關閉X11轉發功能；
20-y：開啓信任X11轉發功能。

參數

• 遠程主機：指定要連接的遠程ssh服務器；
• 指令：要在遠程ssh服務器上執行的指令。

實例

 1# ssh 用戶名@遠程服務器地址
 2ssh [email protected]
 3# 指定端口
 4ssh -p 2211 [email protected]
 5
 6# ssh 大家族
 7ssh -p 22 user@ip  # 默認用戶名爲當前用戶名，默認端口爲 22
 8ssh-keygen # 爲當前用戶生成 ssh 公鑰 + 私鑰
 9ssh-keygen -f keyfile -i -m key_format -e -m key_format # key_format: RFC4716/SSH2(default) PKCS8 PEM
10ssh-copy-id user@ip:port # 將當前用戶的公鑰複製到需要 ssh 的服務器的 ~/.ssh/authorized_keys，之後可以免密登錄

連接遠程服務器

1ssh username@remote_host

連接遠程服務器並指定端口

1ssh -p port username@remote_host

使用密鑰文件連接遠程服務器

1ssh -i path/to/private_key username@remote_host

在本地執行遠程命令

1ssh username@remote_host "command"

在本地複製文件到遠程服務器

1scp path/to/local_file username@remote_host:/path/to/remote_directory

在遠程服務器複製文件到本地

1scp username@remote_host:/path/to/remote_file path/to/local_directory

在本地端口轉發到遠程服務器

1ssh -L local_port:remote_host:remote_port username@remote_host

在遠程服務器端口轉發到本地

1ssh -R remote_port:local_host:local_port username@remote_host

背後故事

英文：Tatu Ylonen
編譯：Linux中國/kenxx
來源：https://linux.cn/article-8476-1.html

爲什麼 SSH（安全終端）的端口號是 22 呢，這不是一個巧合，這其中有個我（Tatu Ylonen，SSH 協議的設計者）未曾訴說的故事。

將 SSH 協議端口號設爲 22 的故事

1995 年春我編寫了 SSH 協議的最初版本，那時候 telnet 和 FTP 正被廣泛使用。

當時我設計 SSH 協議想着是爲了替代 telnet（端口 23）和 ftp（端口21）兩個協議的，而端口 22 是空閒的。我想當然地就選擇了夾在 telnet 和 ftp 的端口中間的數字。我覺得端口號雖然是個小事但似乎又存在着某種信念。但我到底要怎麼拿到那個端口號呢？我未曾擁有過任何一個端口號，但我卻認識幾個擁有端口號的人！

在那時取得端口號的事情其實說來挺簡單的。畢竟當時的因特網（Internet）並不是很大，是因特網爆炸的早期。端口號分配的活兒是 IANA（Internet Assigned Numbers Authority，互聯網數字分配機構）乾的。在那時這機構可相當於是因特網先驅 Jon Postel 和 Joyce K. Reynolds 一般的存在。Jon 參與編寫了多項主要的協議標準，例如 IP（RFC 791）、ICMP（RFC 792）和 TCP（RFC 793）等一些你應該早有耳聞的協議。

我可以說是敬畏 Jon 先生的，他參與編寫了幾乎所有主要的因特網標準文檔（Internet RFC）！

1995 年 7 月，就在我發佈 ssh-1.0 前，我發送了一封郵件給 IANA：

From ylo Mon Jul 10 11:45:48 +0300 1995
From: Tatu Ylonen
To: Internet Assigned Numbers Authority
Subject: 請求取得一個端口號
Organization: 芬蘭赫爾辛基理工大學

親愛的機構成員：

我寫了個可以在不安全的網絡環境中安全地從一臺機器登錄到另一臺機器的程序。它主要是對現有的 telnet 協議以及 rlogin 協議的功能性提升和安全性改進。說的具體些，就是可以防禦 IP、DNS > 或路由等欺騙行爲。我打算將我的軟件免費地發佈在因特網上，以得到廣泛地使用。

我希望爲該軟件註冊一個特權端口號，要是這個端口號在 1 到 255 > 之間就更好了，這樣它就可以用在名字服務器的 WKS 字段中了。

我在附件中附上了協議標準的草案。這個軟件已經在本地運行了幾個月了，我已準備在獲得端口號後就發佈。如果端口號分配一事安排的及時，我希望這周就將要發佈的軟件準備好。我目前在 beta 版測試時使用的端口號是 > 22，如果要是能夠分配到這個端口，我就不用做什麼更改了（目前這個端口在列表中還是空閒的）。

軟件中服務的名稱叫 ssh（系 Secure Shell 的縮寫）。

您最真誠的，
Tatu Ylonen

（LCTT 譯註：DNS 協議中的 WKS 記錄類型意即“衆所周知的業務描述”，是類似於 A、MX 這樣的 DNS 記錄類型，用於描述某個 IP 所提供的服務，目前鮮見使用。參見： https://docs.oracle.com/cd/E19683-01/806-4077/dnsintro-154/index.html 。）

第二天，我就收到了 Joyce 發來的郵件：

Date: Mon, 10 Jul 1995 15:35:33 -0700
From: [email protected]
To: [email protected]
Subject: 回覆：請求取得一個端口號
Cc: [email protected]
Tatu,
我們將端口號 22 分配給 ssh 服務了，你目前是該服務的主要聯繫人。
Joyce

這就搞定了！SSH 的端口正式使用 22！！！

1995 年 7 月 12 日上午 2 點 21 分，我給我在赫爾辛基理工大學的測試者們宣佈了 SSH 的最後 beta 版本。當日下午 5 點 23 分，我給測試者們宣佈了 ssh-1.0.0 版本。1995 年 7 月 12 日，下午 5 點 51 分，我將一份 SSH（安全終端）的宣告發給了 [email protected] 的郵件列表，此外我還將其發給了一些新聞組、郵件列表和一些在因特網上討論相關話題的人們。

如何更改 SSH 服務的端口號

SSH 服務器是默認運行在 22 號端口上的。然而，由於某些原因需要，它也可以運行在別的端口上。比如爲了方便測試使用，又比如在同一個宿主機上運行多個不同的配置。當然，極少情況下，不使用 root 權限運行它也可以，比如某些必須運行在非特權的端口的情況（端口號大於等於 1024）。

端口號可以在配置文件 /etc/ssh/sshd_config 中將 Port 22 更改。也可以使用 -p 選項運行 sshd。SSH 客戶端和 sftp 程序也可以使用 -p 選項。

配置 SSH 協議穿越防火牆

SSH 是少數通常被許可穿越防火牆的協議之一。通常的做法是不限制出站的 SSH 連接，尤其常見於一些較小的或者比較技術型的組織中，而入站的 SSH 連接通常會限制到一臺或者是少數幾臺服務器上。

出站的 SSH 連接

在防火牆中配置出站的 SSH 連接十分簡單。如果完全限制了外發連接，那麼只需要創建一個允許 TCP 端口 22 可以外發的規則即可。如果你想限制目標地址，你可以限制該規則僅允許訪問你的組織放在雲端的外部服務器或保護該雲端的跳板服務器即可。

反向通道是有風險的

其實不限制出站的 SSH 連接雖然是可以的，但是是存在風險的，SSH 協議是支持 通道訪問 的。最初的想法是在外部服務器搭建一個 SSH 服務監聽來自各處的連接，將進入的連接轉發到組織，並讓這個連接可以訪問某個內部服務器。

在某些場景下這當然非常的方便。開發者和系統管理員經常使用它打開一個通道以便於他們可以遠程訪問，比如在家裏或者在旅行中使用筆記本電腦等場景。

然而通常來講這些做法是違背安全策略的，跳過了防火牆管理員和安全團隊保護的控制無疑是違背安全策略的，比如這些： PCI、HIPAA、NIST SP 800-53 等。它可以被黑客和外國情報機構用來在組織內留下後門。

CryptoAuditor 是一款可以控制通道穿過防火牆或者一組雲端服務器入口的產品。該款產品可以配合 通用 SSH 密鑰管理器（Universal SSH Key Manager） 來獲得對 主機密鑰（host keys）的訪問，以在啓用防火牆並阻擋未授權轉發的場景中解密 SSH 會話。

入站的 SSH 訪問

對於入站訪問而言，這裏有幾點需要說一下：

配置防火牆，並轉發所有去往 22 端口的連接只能流向到一個特定的內部網絡 IP 地址或者一個 DMZ 主機。在該 IP 上運行 CryptoAuditor 或者跳板機來控制和審查所有訪問該組織的連接。 在防火牆上使用不同的端口訪問不同的服務器。 只允許使用 IPsec 協議這樣的 VPN（虛擬專用網）登錄後連接 SSH 服務。

通過 iptables 服務限制 SSH 訪問

iptables 是一款內建在 Linux 內核的宿主防火牆。通常配置用於保護服務器以防止被訪問那些未明確開啓的端口。

如果服務器上啓用了 iptables，使用下面的命令將可以允許進入的 SSH 訪問，當然命令需要以 root 身份運行。

1iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
2iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

如果你想將上述命令創建的規則持久地保存，在某些系統版本中，可使用如下命令：

1service iptables save

來源：https://github.com/jaywcjlove/linux-command