查看linux的ssh端口查看Linux的ssh

如何在linux下配置ssh和sftp使用不同的端口号？

1、两个deamon

要实现ssh和sftp分离，分别监听不同的端口，可以通过创建两个‘/usr/sbin/sshd’后台程序，一个监听22端口(ssh)，一个监听20022端口(sftp)，为了区分ssh和sftp服务的后台程序，这里将ssh服务的后台程序保持为/usr/sbin/sshd，而将sftp服务的后台程序改为/usr/sbin/sftpd。/usr/sbin/sftpd是/usr/sbin/sshd的一个链接，其内容完全相同(ln-sf/usr/sbin/sshd/usr/sbin/sftpd)。

2、两个service

SLES12使用systemd管理系统服务，ssh服务对应/usr/lib/systemd/system/sshdservice文件，实现sftp服务时可以将/usr/lib/systemd/system/sshdservice复制到/etc/systemd/system/sftpdservice，然后修改sftpdservice文件内容。(使用修改好的sftpdservice文件即可)

3、其他文件系统的ssh服务是通过安装openssh实现的，可以通过rpm-qlopenssh查看该rpm包含哪些文件。总结实现ssh和sftp分离的相关的文件有：

ssh服务sftp服务

/usr/lib/systemd/system/sshdservice/etc/systemd/system/sftpdservice(通过修改/usr/lib/systemd/system/sshdservice文件得到)

/etc/pamd/sshd/etc/pamd/sftpd(通过复制/etc/pamd/sshd文件得到)

/etc/ssh/sshd_config/etc/ssh/sftpd_config(通过复制/etc/ssh/sshd_config文件得到)

/usr/sbin/rcsshd/usr/sbin/rcsftpd(ln-sf/usr/sbin/service/usr/sbin/rcsftpd)

/usr/sbin/sshd/usr/sbin/sftpd(ln-sf/usr/sbin/sshd/usr/sbin/sftpd)

/etc/sysconfig/ssh/etc/sysconfig/sftp(通过修改/etc/sysconfig/ssh文件得到)

至此，我们已经实现了两个服务。

但是，ssh服务和sftp服务并没有真正的分离，此时已然可以通过22号端口使用ssh服务和sftp服务，而新开的20022端口也可以使用ssh服务（ssh-p20022username@serverip）和sftp服务（sftp-oPort=20022username@serverip）。

4、关闭22号端口下的sftp服务编辑/usr/sbin/sshd的配置文件/etc/ssh/sshd_config文件，将Subsystem参数注释掉，然后重启sshd同时也可以设置可访问22号端口的用户白名单：编辑/etc/ssh/sshd_config文件，设置AllowGroups参数（假设设置为AllowGroupssshonly），限制仅AllowGroups组内的用户可通过22号端口ssh登录系统（对于需要ssh登录系统的用户可通过usermod-Asshonlyusername>将其加入到AllowGroups组内）

5、“关闭20022号端口下的ssh服务”sftp作为一个子服务，它的开启依赖于ssh服务，因此不能从本质上关闭ssh服务而只开启sftp服务。可以用以下方式来规避：/usr/sbin/sftpd的配置文件/etc/ssh/sftpd_config中包含Subsystem参数配置（推荐使用Subsystemsftpinternal-sftp-lINFO-fAUTH）/etc/ssh/sftpd_config中包含AllowGroups参数（假设为AllowGroupssftponly），限制仅AllowGroups组内的用户可以访问20022端口将AllowGroups组内的用户的shell改为/bin/false(usermod-s/bin/falseusername>)，使AllowGroups组内的用户仅能sftp登录系统（如果一个用户即需要ssh，又需要sftp，则不能将其shell改为/bin/false）

6、用户白名单配置配置之后，需将系统内需要ssh访问系统的用户加入到sshonly组内，需将系统内需要sftp访问系统的用户加入到sftponly组，同时需要ssh和sftp的用户则sshonly和sftponly组都要加入。

7、重启ssh服务和sftp服务，并设置开机启动

servicesshdrestartservicesftpdrestart

linux怎么通过ssh访问另一台服务器？

举例说明： 如用root帐号连接一个IP为1921681102的机器，输入：“ssh1921681102-lroot”， 回车后输入root帐号的密码再回车确认即可。 如果该服务器的ssh端口不是默认的22端口，是自定义的一个如1234，则可在命令后面加参数-p， 如：“ssh1921681102-lroot-p1234”

在Linux系统下使用SSH实现端口映射的方法？

从技术角度来分析，几个要求：

1、从安全方面看，sftp会更安全一点

2、线上服务器提供在线服务，对用户需要控制，只能让用户在自己的home目录下活动

3、用户只能使用sftp，不能ssh到机器进行操作

提供sftp服务，可以用系统自带的internal-sftp，也可以使用vsftpd，这里需求不多，直接选用internal-sftp。

限制用户只能在自己的home目录下活动，这里需要使用到chroot，openssh48p1以后都支持chroot，我现在用的是centos63，自带的openssh已经是53p1，足够了。

可以输入：

#ssh-v

来查看openssh的版本，如果低于48p1，需要自行升级安装，不在这里具体介绍了。

假设，有一个名为sftp的组，这个组中的用户只能使用sftp，不能使用ssh，且sftp登录后只能在自己的home目录下活动

1、创建sftp组

#groupaddsftp

2、创建一个sftp用户，名为mysftp

#useradd-gsftp-s/bin/falsemysftp

#passwdmysftp

3、sftp组的用户的home目录统一指定到/data/sftp下，按用户名区分，这里先新建一个mysftp目录，然后指定mysftp的home为/data/sftp/mysftp

#mkdir-p/data/sftp/mysftp

#usermod-d/data/sftp/mysftpmysftp

4、配置sshd_config

编辑/etc/ssh/sshd_config

#vim+132/etc/ssh/sshd_config

找到如下这行，并注释掉

subsystemsftp/usr/libexec/openssh/sftp-server

添加如下几行

subsystemsftpinternal-sftp

matchgroupsftp

chrootdirectory/data/sftp/%u

forcecommandinternal-sftp

allowtcpforwardingno

x11forwardingno

解释一下添加的几行的意思

subsystemsftpinternal-sftp

这行指定使用sftp服务使用系统自带的internal-sftp

matchgroupsftp

这行用来匹配sftp组的用户，如果要匹配多个组，多个组之间用逗号分割

当然，也可以匹配用户

matchusermysftp

这样就可以匹配用户了，多个用户名之间也是用逗号分割，但我们这里按组匹配更灵活和方便

chrootdirectory/data/sftp/%u

用chroot将用户的根目录指定到/data/sftp/%u，%u代表用户名，这样用户就只能在/data/sftp/%u下活动，chroot的含义，可以参考这里：http://wwwibmcom/developerworks/cn/linux/l-cn-chroot/

forcecommandinternal-sftp

指定sftp命令

allowtcpforwardingno

x11forwardingno

这两行，如果不希望该用户能使用端口转发的话就加上，否则删掉

5、设定chroot目录权限

#chownroot:sftp/data/sftp/mysftp

#chmod755/data/sftp/mysftp

错误的目录权限设定会导致在log中出现”fatal:badownershipormodesforchrootdirectoryxxxxxx”的内容

目录的权限设定有两个要点：

1、由chrootdirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是root

2、由chrootdirectory指定的目录开始一直往上到系统根目录为止都不可以具有群组写入权限

所以遵循以上两个原则

1）我们将/data/sftp/mysftp的所有者设置为了root，所有组设置为sftp

2）我们将/data/sftp/mysftp的权限设置为755，所有者root有写入权限，而所有组sftp无写入权限

6、建立sftp用户登入后可写入的目录

照上面设置后，在重启sshd服务后，用户mysftp已经可以登录，但使用chroot指定根目录后，根应该是无法写入的，所以要新建一个目录供mysftp上传文件。这个目录所有者为mysftp，所有组为sftp，所有者有写入权限，而所有组无写入权限

#mkdir/data/sftp/mysftp/upload

#chownmysftp:sftp/data/sftp/mysftp/upload

#chmod755/data/sftp/mysftp/upload

7、重启sshd服务

#servicesshdrestart

到这里，mysftp已经可以通过sftp客户端登录并可以上传文件到upload目录。

如果还是不能在此目录下上传文件，提示没有权限，检查selinux是否关闭，可以使用如下指令关闭selinux

修改/etc/selinux/config文件中的selinux=""为disabled，然后重启。或者

#setenforce0

如何关闭linux下的ssh服务？

chkconfig--level2345sshdon--level指定系统在2345运行级别时，通常在35中开启就行，开启(on)sshd服务，关闭则用(off)临时控制启动停止则用:/etc/rcd/initd/sshdstart|stop|restart

ssh只能登linux吗？

ssh并不是只能登linux操作系统。ssh是unix操作系统用于远程登录的程序。

ssh的开源免费版是openssh，它源于openBSD操作系统。在服务器端启用sshd之后，就可以从远程登录服务器。目前所有类unix的操作系统都操供ssh服务。所以ssh能登录所有类unix操作系统。

推荐一款我正在使用的免费云服务器——阿贝云。

在阿贝云上可以申请免费的虚拟主机和免费的云服务器。具体步骤是：

1打开阿贝云网站注册账号

2实名认证（测试期间只要03元就可以）

3开通免费云服务器

SSH：安全外壳协议 \x0d\一、SSH介绍 \x0d\ 什么是SSH？ \x0d\ 传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据， 别有用心的人非常容易就可以截 获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到“中间人”（man-in-the-middle）这种方式的攻 击。所谓“中间人”的攻击方式， 就是“中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。 服务器和你之间的数 据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。 \x0d\ SSH的英文全称是Secure Shell。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了， 而且也能够防止DNS和IP欺骗。还有一个 额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。 SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提 供一个安全的“通道”。 \x0d\ 最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越 来越多的人使用它而不是SSH。 \x0d\ SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1x和2x。 用SSH 2x的客户程序是不能连接到SSH 1x的服务程序上去的。OpenSSH 2x同时支持SSH 1x和2x。 \x0d\ SSH的安全验证是如何工作的 \x0d\ 从客户端来看，SSH提供两种级别的安全验证。 \x0d\ 第一种级别（基于口令的安全验证）只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密， 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器， 也就是受到“中间人”这种方式的攻击。 \x0d\ 第二种级别（基于密匙的安全验证）需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。 如果你要连接到SSH服务器 上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后， 先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发 送过来的公用密匙进行比较。如果两个密匙一致， 服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。 客户端软件收到“质 询”之后就可以用你的私人密匙解密再把它发送给服务器。 \x0d\ 用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。 \x0d\ 第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。 但是整个登录的过程可能需要10秒。\x0d\二、SSL介绍（Secure socket Layer & Security Socket Layer） \x0d\ 一个应用程序的安全需求在很大程度上依赖于将如何使用该应用程序和该应用程序将要保护什么。不过，用现有技术实现强大的、 一般用途的安全通常是可能的。认证就是一个很好的示例。 \x0d\ 当顾客想从 Web 站点购买某个产品时，顾客和 Web 站点都要进行认证。顾客通常是以提供名字和密码的方式来认证他自己。 另一方面，Web 站 点通过交换一块签名数据和一个有效的 X509 证书（作为 SSL 握手的一部分）来认证它自己。 顾客的浏览器验证该证书并用所附的公用密钥验证签 名数据。一旦双方都认证了，则交易就可以开始了。 \x0d\ SSL 能用相同的机制处理服务器认证（就如在上面的示例中）和客户机认证。 Web 站点典型地对客户机认证不依赖 SSL — 要求用户提供密码是较容易的。而 SSL 客户机和服务器认证对于透明认证是完美的， 对等机 — 如 p2p 应用程序中的对等机之间一定会发生透明认证。 \x0d\ 安全套接字层（Secure Sockets Layer （SSL）） ，SSL 是一种安全协议，它为网络（例如因特网）的通信提供私密性。SSL 使应用程序在通信时不用担心被窃听和篡改。 SSL 实际上 是共同工作的两个协议：“SSL 记录协议”（SSL Record Protocol）和“SSL 握手协议” （SSL Handshake Protocol）。“SSL 记录协议”是两个协议中较低级别的协议，它为较高级别的协议， 例如 SSL 握手协议对 数据的变长的记录进行加密和解密。SSL 握手协议处理应用程序凭证的交换和验证。 \x0d\ 当一个应用程序（客户机）想和另一个应用程 序（服务器）通信时，客户机打开一个与服务器相连接的套接字连接。然后， 客户机和服务器对安全连接进行协商。作为协商的一部分，服务器向客户机作自我认 证。客户机可以选择向服务器作或不作自我认证。 一旦完成了认证并且建立了安全连接，则两个应用程序就可以安全地进行通信。按照惯例，我将把发起该通信的 对等机看作客户机， 另一个对等机则看作服务器，不管连接之后它们充当什么角色。 \x0d\ 名为 A 和 B 的两台对等机想安全地进行通 信。在我们简单的 p2p 应用程序的环境中，对等机 A 想查询对等机 B 上的一个资源。 每个对等机都有包含其专用密钥的一个数据库（名为 keystore）和包含其公用密钥的证书。密码保护数据库的内容。 该数据库还包含一个或多个来自被信任的对等机的自签名证书。 对等机 A 发起这 项事务，每台对等机相互认证，两台对等机协商采用的密码及其长度并建立一个安全通道。完成这些操作之后， 每个对等机都知道它正在跟谁交谈并且知道通道是 安全的。 SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X509数字证书技术保护信息传输的机密性和完 整性， 它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。 \x0d\ 安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、 客户认证（可选）、SSL链路上的数据 \x0d\ 完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、 完整性和保密性。但由于SSL不对应用层的消息进行数字签 名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。 有鉴于此，网景公司在从Communicator 404版开始的所有浏 览器中引入了一种被称作“表单签名（Form Signing）”的功能， 在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行 数字签名，从而保证交易信息的不可否认性。综上所述， 在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用"SSL+表单签名"模式能够 为电子商务提供较好的安全性保证。 \x0d\------------------------------------------------------------------------------------------------\x0d\\x0d\（SSH: Secure Shell Protocol） \x0d\\x0d\安全外壳协议（SSH）是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。Secure Shell，又可记为S S H，最初是U N I X系统上的一个程序，后来又迅速扩展到其他操作平台。S S H是一个好的应用程序，在正确使用时，它可以弥补网络中的漏洞。除此以外， S S H之所以酷，还有以下原因：S S H客户端适用于多种平台。几乎所有的U N I X平台—包括H P - U X、L i n u x、A I X、S o l a r i s、Digital UNIX、I r i x、S C O，以及其他平台—都可以运行S S H。而且，已经有一些客户端(其中有些为测试版)可以运行于U N I X操作平台以外，包括O S / 2、V M S、B e O S、J a v a、Wi n d o w s 9 5 / 9 8和Windows NT。这样，你就可以在几乎所有的平台上运行S S H客户端程序了。对非商业用途它是免费的。许多S S H版本可以获得源代码，并且只要不用于商业目的，都可以免费得到。而且，U N I X版本也提供了源代码，这就意味着任何人都可以对它进行修改。但是，如果你选择它用于商业目的，那么无论使用何种版本的S S H，你都得确认已经注册并获得了相应权限。绝大多数S S H的客户端和守护进程都有一些注册限制。惟一的S S H通用公共注册(General Public License，G P L )版本是l s h，它目前还是测试版。通过I n t e r n e t传送密码安全可靠。这是S S H被认可的优点之一。如果你考察一下接入ISP(Internet Service Provider，I n t e r n e t服务供应商)或大学的方法，一般都是采用Te l n e t或P O P邮件客户进程。因此，每当要进入自己的账号时，你输入的密码将会以明码方式发送(即没有保护，直接可读)，这就给攻击者一个盗用你账号的机会—最终你将为他的行为负责。对应用的支持。由于S S H的源代码是公开的，所以在U N I X世界里它获得了广泛的认可。L i n u x，其源代码也是公开的，大众可以免费获得，并同时获得了类似的认可。这就使得所有开发者(或任何人)都可以通过补丁程序或b u g修补来提高其性能，甚至还可以增加功能。这也第一部分获得并安装S S H意味着其性能可以不断得到提高而无须得到来自原始创作者的直接技术支持。S S H替代了不安全的远程应用程序。S S H是设计用来替代伯克利版本的r命令集的；它同时继承了类似的语法。其结果是，使用者注意不到使用S S H和r命令集的区别。利用它，你还可以干一些很酷的事。通过使用S S H，你在不安全的网络中发送信息时不必担心会被监听。你也可以使用P O P通道和Te l n e t方式，通过S S H可以利用P P P通道创建一个虚拟个人网络( Virtual Private Network, V P N )。S S H也支持一些其他的身份认证方法，如K e r b e r o s和安全I D卡等。\x0d\\x0d\但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越 来越多的人使用它而不是SSH。 \x0d\\x0d\SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1x和2x。 用SSH 2x的客户程序是不能连接到SSH 1x的服务程序上去的。OpenSSH 2x同时支持SSH 1x和2x。\x0d\\x0d\SSH 主要有三部分组成：\x0d\\x0d\传输层协议 [SSH-TRANS] 提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。\x0d\\x0d\用户认证协议 [SSH-USERAUTH] 用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当 SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希 H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。\x0d\\x0d\连接协议 [SSH-CONNECT] 将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行、转发 TCP/IP 连接和转发 X11 连接。\x0d\\x0d\一旦建立一个安全传输层连接，客户机就发送一个服务请求。当用户认证完成之后，会发送第二个服务请求。这样就允许新定义的协议可以与上述协议共存。连接协议提供了用途广泛的各种通道，有标准的方法用于建立安全交互式会话外壳和转发（“隧道技术”）专有 TCP/IP 端口和 X11 连接。\x0d\\x0d\通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。\x0d\\x0d\SSH分为两部分：客户端部分和服务端部分。\x0d\\x0d\服务端是一个守护进程(demon)，他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程，提供了对远程连接的处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。\x0d\\x0d\客户端包含ssh程序以及像scp（远程拷贝）、slogin（远程登陆）、sftp（安全文件传输）等其他的应用程序。\x0d\\x0d\他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH的客户端，本地再将密钥发回给服务端，自此连接建立。刚才所讲的只是SSH连接的大致过程，SSH 1x和SSH 2x在连接协议上还有着一些差异。\x0d\\x0d\SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd)，虽然可以通过inetd上的tcpd来运行SSH进程，但是这完全没有必要。启动SSH服务器后，sshd运行起来并在默认的22端口进行监听（你可以用 # ps -waux | grep sshd 来查看sshd是否已经被正确的运行了）如果不是通过inetd启动的SSH，那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程，该子进程进行这次的连接处理。 \x0d\\x0d\SSH:新的MVC软件开发模式， SSH（Struts，Spring，Hibernate） Struts进行流程控制，Spring进行业务流转，Hibernate进行数据库操作的封装，这种新的开发模式让我们的开发更加方便、快捷、思路清晰！

使用SSH的优点：

1）利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题，也能够防止DNS欺骗和IP欺骗。

2）使用SSH传输的数据是经过压缩的，所以可以加快传输的速度 。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。

第二种级别（基于密钥的安全验证）：你必须为自己创建一对密钥，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密钥进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公钥，然后把它和你发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。与第一种级别相比，第二种级别不仅加密所有传输的数据，也不需要在网络上传送口令，因此安全性更高，可以有效防止中间人攻击。

1在客户端（本地）生成密钥对

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录，这里密钥锁码设置为空。完成上述步骤后，在 root 用户的家目录中生成了一个 ssh 的隐藏目录，内含两个密钥文件，其中id_rsa 为私钥，id_rsapub 为公钥。

1、运行环境

WINDOWS下安装SSH客户端，名字是SSHSecureShellClient-329exe，可以到http://wwwsshcom/下载，当然了，在SERVER端我们也可以安装Openssh，但此文章着重介绍的是ssh的技术，所以我们使用的是http://wwwsshcom/ for UNIX/LINUX 的SERVER 端，现在最新版本是ssh-329-1i386rpm（如果你是AIX或者SOLARIS，要下不同的版本，这里以RHCE3为例子）。确定把UNIX类主机的默认的Openssh全部卸载掉后安装ssh-329-1i386rpm。

2、为什么要公私钥认证方法（连接到主机不输入密码）

我们需要知道Publick Key是指公钥，而private key是指私钥。认证的过程是这样的：public key对数据进行加密而且只能用于加密，private key只能对所匹配的public key加密过的数据进行解密。我们把public key放在远程系统合适的位置，然后从本地开始进行ssh连接。此时，远程的sshd会产生一个随机数并用我们产生的public key进行加密后发给本地，本地会用private key进行解密并把这个随机数发回给远程系统。最后，远程系统的sshd会得出结论——我们拥有匹配的private key允许我们登录。就这么简单！

3、在本机生成密钥过程

WINDOWS下寻找ssh-keygen2exe文件，这是生成密钥的文件，我的在C:/Program Files/SSH Communications Security/SSH Secure Shell，在DOS下执行这个文件，方法是

C:/Program Files/SSH Communications Security/SSH Secure Shell ssh-keygen2 -t rsa

我用的是rsa的密钥,默认是2048位，足够我们用的了，还可以使用dsa方式的密钥。我就不在这里说明了

系统自动生成密钥对，默认放在C:/Documents and Settings/XXX/Application Data/SSH/UserKeys目录下，其中XXX是你执行程序时用的帐户，默认名称是id_rsa_2048_a和id_rsa_2048_apub，而后者就是我们要传到服务器上的公钥。（生成密钥对的同时让你输入一个密码，因为我们想不输入密码直接登陆服务器，所以就直接回车了，但如果你想更安全一些，还是建议你在这里也输入密码。）

4、用SSH客户端从本机登陆到远程UNIX类服务器上

我们还按以前的方法登陆到远程UNIX类服务器上，这样登陆后我们会在用户目录下，PWD一下，你可以看到你的用户目录路径，比如我的就是/home/test，那么好了，我们建立一个ssh2的文件夹，在里面建立一个文件，authorization，内容如下：

key id_rsa_2048_apub

然后把你WINDOWS客户端上的id_rsa_2048_apub上传到你在UNIX类服务器上刚建立好的ssh2文件夹下，关闭SSH客户端。

5、用SSH客户端公钥认证状态登陆

重新启动SSH客户端，在登陆认证状态栏选择Public Key方式，登陆到你刚才放id_rsa_2048_apub的那台服务器，你会发现你马上就登陆进来了，没有密码限制了。这个时候用公私钥认证和用密码认证同时存在，还没有达到我们的要求，那我们就在UNIX类服务器上修改/etc/ssh2/sshd2_config文件

把以下如下三行的password 删除，下面这三行是修改好的

AllowedAuthentications publickey

AllowedAuthentications hostbased,publickey

RequiredAuthentications publickey

这样当你再用密码登陆的时候就出现如下对话框了！！

第二章 SSH客户端之Putty的连接方法

1、运行环境

WINDOWS下安装的SSH客户端，名字是putty-056-installerexe，可以到如下地址下载：

http://wwwchiarkgreenendorguk/~sgtatham/putty/downloadhtml，这个安装包是所有工具的集合，其实如果只做为连接用，你可以只下putty056exe的。但我们这里因为要做密钥对，所以就下整个包安装吧。

2、在本机生成密钥过程

用putty套装的puttygen来产生密钥。密钥的类型选择SSH2 RSA。密钥的位数选择2048，然后点击"Generator",此时密钥生成当然也有几个选项出现。如果你有不止一个key,你可以在“Key comment”作注释用于区别其他的key。“Key passphrase“和“Confirm passphrase“用于对硬盘上的key进行加密，如过你自己一个人用机器觉得安全有保障的话可以让它们为空。然后保存两个key，用默认方式保存，那么公钥你可以指定文件名，私钥默认的文件扩展名是ppk。在这里我们命名它为testppk，而公钥我们保存为testpub，需要注意的是，如果用putty连接，私钥的扩展名必须是ppk，而且你还可以将这个ppk的私钥保存为SSH Secure Shell 格式和Openssh格式认知的私钥，这个对两个UNIX类主机之间相互通信提供了很大帮助。（我们以后会将两个UNIX类主机通过公私钥认证的方法给大家讲讲）

4、用Putty从本机登陆到远程UNIX类服务器上

我们还按先前的方法登陆到远程UNIX类服务器上，这样登陆后我们会在用户目录下，PWD一下，你可以看到你的用户目录路径，比如我的就是/home/test，那么好了，我们建立一个ssh2的文件夹，在里面建立一个文件，authorization，内容如下：

key testpub

然后把你WINDOWS客户端上的testpub上传到你在UNIX类服务器上刚建立好的ssh2文件夹下，关闭Putty。这个上传命令你可以用 put ，下载就用get。你的通道可以用PSFTP建立，这个也在PUTTY的组件中。

5、用SSH客户端公钥认证状态登陆

重新启动Putty，建立一个session命名为test,设定你要登陆的远程ip，协议设为ssh，Connection设定在ssh的auth选项中，将private key的文件选择为刚才我们由puttygen产生的密钥testppk。点Open，要求输入username,我们输入用户名后远程系统开始public key认证，如果密钥有passphrase 则需要输入，否则直接就登录了。这个时候用公私钥认证和用密码认证同时存在，还没有达到我们的要求，那我们就在UNIX类服务器上修改/etc/ssh2/sshd2_config文件

把以下如下三行的password 删除，下面这三行是修改好的

AllowedAuthentications publickey

AllowedAuthentications hostbased,publickey

RequiredAuthentications publickey

这样当你再用密码登陆的时候就出现如下对话框了！！

第三章

Ssh服务器端安装

1、环境：

因为我们选用的SSH服务器是http://wwwsshcom 的SSH Secure Shell for unix类产品，所以我们主要介绍一下此类的Ssh服务器的安装过程。（SSH有两个版本，我们现在介绍的是版本2；Openssh就不介绍了，大家有兴趣的话可以参考一下网上文章）

2、编译安装

我们前面介绍过，现在的Ssh server for unix 类的最新版本是ssh-329-1，我建议大家用官方提供的TAR包，当然，如果你不熟悉编译过程，用RPM等安装方式也是可以的。如果用RPM安装，请先下载ssh-329-1i386rpm , 大家可以到以下地址下载：

http://ftpsshcom/priv/secureshell/329wks+srv-lt49ldrk/linux/ssh-329-1i386rpm

安装时请用管理员权限

# rpm –ivh ssh-329-1i386rpm 如果是升级安装那参数就用 –Uvh

而329-1的TAR包大家可以到http://downloadsplanetmirrorcom/pub/ssh/ssh-3291targz下载。安装时也使用管理员权限：

# tar xzvf ssh-3291targz

# cd ssh-3291

# /configure （这里我们要说明一下，原来有些文档写如果你希望用tcp_wrappers来控制SSH,那么在configure时需要加上选项“--with-libwrap=/path/to/libwrap/”， 用来告诉SSH关于libwrapa 和tcpdh的位置，但320以上的SSH已经不需要这么麻烦了，它们已经内置了控制访问权限的功能。）

# make ; make install ; make clean

这样就结束了安装。

3、简单配置Ssh server

无论你是用RPM或TAR包安装的ssh server，它的配置文件都在/etc/ssh2/sshd2_config，安装完后一般不用配置它，但如果你的22端口在安装ssh server之前已经被其他程序占用，那么你需要简单的配置一下这个文件，执行 vi /etc/ssh2/sshd2_config，找到第27行，Port 22 ，把22改成其他的端口就可以了。

4、启动Ssh server

Ssh server 的默认启动文件是/usr/local/sbin/sshd2，而安装程序自动做了一个连接到这个文件的名字为sshd的文件，我们只要在/usr/local/sbin/目录中执行 /sshd 就可以简单的启用Ssh server，然后我们执行 # netstat –na 会看见22端口已经被监听了（你的可能是其他端口，具体看你在sshd2_config文件中的设置了。）但我们不想每次都要手动启动Ssh server，那么我们可以修改一下/etc/rcd/rclocal文件，在这个文件的最后加入以下内容：

#start ssh

/usr/local/sbin/sshd

其中第一行为注释内容，第二行为启动SSH服务器并作为后台守护进程运行。

这样就好了，系统重起时可以自动启动SSH服务，但是启动后你如果在服务器端插上显示器，会在最后该登陆的时候看到一行字，意思就是Ssh server 服务启动了，我比较挑剔，不想看到这个提示，而且我想把Ssh服务放到LINUX服务启动过程中，这样比较美观一点。那么我们就不能修改/etc/rcd/rclocal文件，我们要进入/etc/initd/中建立一个SHELL文件，名字就叫sshd 内容如下：

#!/bin/bash

cd /usr/local/sbin

/sshd

然后给这个文件加上可执行权限

# chmod +x sshd

然后进入/etc/rc3d，做一个软链接文件

# cd /etc/rc3d

# ln -s /initd/sshd S13sshd

这样就达到了我的要求，好了，Ssh server的安装就介绍到这里吧，安装是很简单的，希望大家编译安装成功。

阿里云主机ssh 免密码登录

操作系统: CentOS 70 64位

CPU: 1 核

公网IP: 781292345

用户名: root

密码：bugaosuni

我在VMware下安装的Ubuntu 1404本文的主要目的就是在Ubuntu上能够免密码登录云主机。

具体设置步骤

Ubuntu 客户端

在该文件夹下就会产生三个文件夹：id_rsa,id_rsapub,know_hosts。

id_rsa：存储私钥，记得只能自己看哦。别人那到这个文件就完蛋蛋咯。

id_rsapub:存储公钥，用来通信加密使用，有了这个人家才能确定这是你。

scp id_ rsapub root@781292345:/root/ssh/id_ rsapub

Note:云主机上没有ssh/文件时，你要自己建立一个。

云主机端

rm id_rsapub

Ubuntu 客户端

这个时候就可以登录云主机了

ssh root@781292345

scp远程拷贝文件时提示错误：

Warning: Permanently added '1000182' (RSA) to the list of known hosts

Permission denied (publickey)

解决：

登录1000182，将/etc/ssh/sshd_config文件中的PasswordAuthentication no 改为PasswordAuthentication yes

重启sshd服务：/etc/initd/sshd restart

问题解决。

原因：scp是基于ssh的拷贝服务，ssh在没有密钥登录的情况下，禁用了密码登录，故出现如上错误。

服务端SSH 服务配置了禁止root用户登录策略。

处理办法

说明：相关策略可以提高服务器的安全性。请用户基于安全性和易用性权衡后，再确定是否需要修改相关配置。

要解决此问题，请进行如下配置检查和修改：

参数说明：

未配置该参数，或者将参数值配置为 yes （默认情况），都允许 root 用户登录。只有显示的设置为 no 时，才会阻断root 用户登录。

该参数只会影响用户的 SSH 登录，不影响用户通过 管理终端 等其它方式登录系统。

如果需要修改相关策略配置，在继续之前建议进行文件备份。

使用 vi 等编辑器，将参数值设置为 yes，或者整个删除或注释（在最开头添加 # 号）整行配置。比如：# PermitRootLogin yes

使用如下指令重启 SSH 服务：service sshd restart

尝试再次使用 root 用户登录服务器。

出现的问题以及解决方案

当出现Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 警告的时候，恭喜你，你已经离成功很近了。

远程主机这里设为slave2，用户为Hadoop。

本地主机设为slave1

以下都是在远程主机slave2上的配置，使得slave1可以免密码连接到slave2上。如果想免密码互联，原理一样的，在slave1上也这么配置即可！

（1）首先：配置ssh服务器配置文件。

在root 用户下才能配置。

vi /etc/ssh/sshd_config

权限设为no：

如果前面有# 号，将#号去掉，之后将yes修改为no。

修改之后为：

PermitRootLogin no

UsePAM no

PasswordAuthentication no

权限设为yes：

RSAAuthentication yes

PubkeyAuthentication yes

（2）重启sshd服务

systemctl restart sshdservice

systemctl status sshdservice #查看ssh服务的状态

正常情况下应该是Active：active（running）

（3）修改文件夹以及文件的权限。

（4）在slave1上进行测试

ssh slave2

今天处理 ssh连接至 ubuntu 服务器时，提示以下错误：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that a host key has just been changed

The fingerprint for the RSA key sent by the remote host is

da:f7:3e:ba:f7:00:e6:44:76:f2:58:6e:48:

Please contact your system administrator

Add correct host key in /用户home目录/ssh/known_hosts to get rid of this message

Offending RSA key in /用户home目录/ssh/known_hosts:1

RSA host key for ip地址 has changed and you have requested strict checking

Host key verification failed

经过google,出现这个问题的原因是,第一次使用SSH连接时，会生成一个认证，储存在客户端的known_hosts中。

可使用以下指令查看：

ssh-keygen -l -f ~/ssh/known_hosts

由于服务器重新安装系统了，所以会出现以上错误。

解决办法

ssh-keygen -R 服务器端的ip地址

会出现以下提示：

/用户home目录/ssh/known_hosts updated

Original contents retained as /用户home目录/ssh/known_hostsold

重新连线,出现以下提示：

The authenticity of host '192168310 (192168310)' can't be established

RSA key fingerprint is da:f7:3e:ba:f7:00:e6:44:76:f2:58:6e:48:

Are you sure you want to continue connecting (yes/no)

http://baikebaiducom/view/16184htm

什么是SSH

SSH的英文全称是Secure

Shell

Protocol，安全外壳协议。

通过使用SSH，你可以把所有传输的数据进行加密，这样”中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的”通道”。SSH客户端与服务器端通讯时，用户名及口令均进行了加密，有效防止了对口令的窃听。最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越来越多的人使用它而不是SSH。SSH是由客户端和服务端的软件组成的。SSH安装容易、使用简单，而且比较常见，一般的Unix系统、Linux系统、FreeBSD系统都附带有支持SSH的应用程序包。