前言

SSH是安全的加密協議，用于遠程連接Linux服務器，默認埠是22，安全協議版本是SSH2 ，

SSH原理

SSH(遠程連接工具)連接原理：ssh服務是一個守護行程(demon)，系統后臺監聽客戶端的連接，ssh服務端的行程名為sshd，負責實時監聽客戶端的請求(IP 22埠)，包括公共秘鑰等交換等資訊，

ssh服務端由2部分組成： openssh(提供ssh服務)、openssl(提供加密的程式)，主要功能是提供SSH連接和作為SFTP服務器，

ssh的客戶端：包含ssh連接命令和遠程拷貝scp命令等，可以用 XSHELL，Securecrt, Mobaxterm等工具進行連接，

SSH的作業機制

服務器啟動的時候，自己產生一個密鑰(768bit公鑰)，本地的ssh客戶端，發送連接請求到ssh服務器，服務器檢查連接點客戶端發送的資料和IP地址，確認合法后，發送密鑰(768bits)給客戶端，此時客戶端將本地私鑰(256bit)，和服務器的公鑰(768bit)，結合成密鑰對key(1024bit)，發回給服務器端，建立連接，通過key-pair資料傳輸，

SSH的加密技術

加密技術：傳輸程序，資料加密，

• SSH1沒有對客戶端的秘鑰進行校驗，很容易被植入惡意代碼
• SSH2增加了一個確認聯機正確性的Diffe_Hellman機制，每次資料的傳輸，Server都會檢查資料來源的正確性，避免黑客入侵，

SSH2支持RSA和DSA密鑰

• DSA:digital signature Algorithm 數字簽名
• RSA:既可以數字簽名又可以加密

ssh-keygen產生公鑰與私鑰對

ssh-copy-id 將本機的公鑰復制到遠程機器的authorized_keys檔案中，ssh-copy-id也能讓你有到遠程機器的home, ~./ssh , 和 ~/.ssh/authorized_keys的權利，

第一步:在本地機器上使用ssh-keygen產生公鑰私鑰對

azdebug_it@azdebug_it:~/$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/azdebug_it/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): [Press enter key
same passphrase again: [Pess enter key]
Your identification has been saved in /home/azdebug_it/.ssh/id_rsa.
Your public key has been saved in /home/azdebug_it/.ssh/id_rsa.pub.
The key fingerprint is:

用cat命令查看是否生成產生公鑰私鑰對

azdebug_it@azdebug_it:~$ cat .ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCl9N5+xboqSIagBx02rdZ2fkROCPW8iW7hl6Gu+2hkBYYy/b1qcOm8RF/AMyas3i0QEK7Hcu9H51l2lulVbS5n9M9FaWIyYzssaS012x2mg9iA6MxPMlaXFsZ5jnVrGicndzf3VUu9kCErp5q0OzzMjsG3PKQevzWZJSBaFgc8NF5ZJ+VT54BN8ktMTHVwOo15I2Uai+bs4eP0NsuwIJmGyYIUOuvTuUtJxGV3hZ+tcjhupupqVCwYOE+cDz8VkFBGtnKsdE69hWoY2VUfEOAfHZptra7Ce9dXfDgx9jxuuNiJYtGo/bZDfe+UJ5HUv8wrL+hFeRIihdmP2CKJD8j5 azdebug_it@azdebug_it

第二步:用ssh-copy-id將公鑰復制到遠程機器中

azdebug_it@azdebug_it:~$  ssh-copy-id -i .ssh/id_rsa.pub  fleapx@192.168.16.16

注意: ssh-copy-id 將key寫到遠程機器的 ~/ .ssh/authorized_key.檔案中

第三步: 登錄到遠程機器不用輸入密碼

azdebug_it@azdebug_it:~$  ssh fleapx@192.168.16.16
Last login: Sun Nov 16 17:22:33 2008 from 192.168.16.16

常見問題：

ssh-copy-id -u fleapx -i ~/fleapx/.ssh/id_rsa.pub ssh fleapx@192.168.16.16
#第一次需要密碼登錄

上述是給fleapx用戶,賦予無密碼登陸的權利，

ssh-copy-id命令

ssh-copy-id命令可以把本地主機的公鑰復制到遠程主機的authorized_keys檔案上，
ssh-copy-id命令也會給遠程主機的用戶主目錄（home）和~/.ssh, 和~/.ssh/authorized_keys設定合適的權限，

ssh-copy-id命令可以把本地的ssh公鑰檔案安裝到遠程主機對應的賬戶下的authorized_keys檔案中，

使用模式：

ssh-copy-id [-i [identity_file]] [user@]machine

描述：ssh-copy-id 是一個實用ssh去登陸到遠程服務器的腳本（假設使用一個登陸密碼，因此，密碼認證應該被激活，直到你已經清理了做了多個身份的使用），
它也能夠改變遠程用戶名的權限，如，~/.ssh和~/.ssh/authorized_keys洗掉群組寫的權限（在其它方面，如果遠程機上的sshd，在它的組態檔中是嚴格模式的話，這能夠阻止你登陸，），

如果這個 “-i”選項已經給出了，然后這個認證檔案（默認是~/.ssh/id_rsa.pub）被使用，不管在你的ssh-agent那里是否有任何密鑰，
另外，命令 “ssh-add -L” 提供任何輸出，它使用這個輸出優先于身份認證檔案，

如果給出了引數“-i”選項，或者ssh-add不產生輸出，然后它使用身份認證檔案的內容，一旦它有一個或者多個指紋，它使用ssh，將這些指紋填充到遠程機~/.ssh/authorized_keys檔案中，

/usr/bin/ssh-copy-id: ERROR: No identities found

使用選項 -i ，當沒有值傳遞的時候，或者如果 ~/.ssh/identity.pub 檔案不可訪問（不存在）, ssh-copy-id 將顯示上述的錯誤資訊（ -i選項會優先使用將ssh-add -L的內容）

ssh遠程執行命令方法

復制SSH密鑰到目標主機，開啟無密碼SSH登錄

cd /root
ssh-keygen -t rsa
# 接下來一路回車到底
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node01
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node02
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node03

從某主機的9906埠開啟到本地主機3306埠的隧道

#ssh -N -L 9906:localhost:3306 root@10.1.0.2
ssh -L 9906:10.1.0.2:3306 root@10.1.0.2
ssh -f -N -L 9906:10.1.0.2:3306 root@10.1.0.2
ssh -f -N -L 10.1.0.1:9906:10.1.0.2:3306 root@10.1.0.2

現在你可以直接在瀏覽器中輸入http://localhost:9906訪問這個網站，

優秀鏈接：ssh埠轉發：ssh隧道

將你的麥克風輸出到遠程計算機的揚聲器

dd if=/dev/dsp | ssh -c arcfour -C username@host dd of=/dev/dsp

這樣來自你麥克風埠的聲音將在SSH目標計算機的揚聲器埠輸出，但遺憾的是，聲音質量很差，你會聽到很多嘶嘶聲，

比較遠程和本地檔案

ssh user@host cat /path/to/remotefile | diff /path/to/localfile –

在比較本地檔案和遠程檔案是否有差異時這個命令很管用，

通過SSH掛載目錄/檔案系統

sshfs name@server:/path/to/folder /path/to/mount/point

從http://fuse.sourceforge.net/sshfs.html下載sshfs，它允許你跨網路安全掛載一個目錄，

通過中間主機建立SSH連接

ssh -t reachable_host ssh unreachable_host

Unreachable_host表示從本地網路無法直接訪問的主機，但可以從reachable_host所在網路訪問，這個命令通過到reachable_host的“隱藏”連接，創建起到unreachable_host的連接，

直接連接到只能通過主機B連接的主機A

ssh -t hostA ssh hostB

當然，你要能訪問主機A才行，

創建到目標主機的持久化連接

ssh -MNf <user>@<host>

在后臺創建到目標主機的持久化連接，將這個命令和你~/.ssh/config中的配置結合使用：

Host host
ControlPath ~/.ssh/master-%r@%h:%p
ControlMaster no

所有到目標主機的SSH連接，都將使用持久化SSH套接字，如果你使用SSH定期同步檔案（使用rsync/sftp/cvs/svn），這個命令將非常有用，因為每次打開一個SSH連接時，不會創建新的套接字，

通過SSH連接螢屏

ssh -t remote_host screen –r

laptop> ssh server.com screen -ls
#它會顯示在server.com上可用的螢屏串列像這樣[1]：
123.foo
456.bar
#登錄到server.com并做
screen -S foo
#然后再不再注銷該會話，
#要從別處重新連接，請執行
ssh -t server.com screen -dr foo
#要列出可用螢屏以進行重新對比：
screen -ls
#或者，當然，
ssh server.com screen -ls

直接連接到遠程螢屏會話（節省了無用的父bash行程），

埠檢測（敲門）

knock <host> 3000 4000 5000 && ssh -p <port> user@host && knock <host> 5000 4000 3000

在一個埠上，敲一下，打開某個服務的埠（如SSH），再敲一下關閉該埠，需要先安裝knockd，下面是一個組態檔示例，

[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 3000,4000,5000
seq_timeout = 5
command = /sbin/iptables -A INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 5000,4000,3000
seq_timeout = 5
command = /sbin/iptables -D INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn

清除原有舊ssh密鑰方法

#ssh-keygen -R <the_offending_host>
#比如我們要將 的公鑰資訊清除，使用命令（請自己將 替換成自己的IP或域名）：
ssh-keygen -f  "/root/.ssh/known_hosts" -R 192.168.0.1
#其中 -f filename     指定密鑰檔案名，
#     -R hostname   從 known_hosts 檔案中洗掉所有屬于 hostname 的密鑰，

在這種情況下，最好使用專業的工具，

通過SSH運行，執行復雜的遠程shell命令

ssh 172.16.8.33 -l user $(<cmd.txt)
#更具移植性的版本：
ssh 172.16.8.33 -l user “`cat cmd.txt`”
ssh 172.16.8.33 -l root

替代方案：使用expect+bash shell，在ssshHost.sh腳本中封裝expect的ssh登錄自動填充密碼功能，

1. 使用expect的自動填充密碼功能+interact互動功能，
2. 將(hostIp, connectionStr)寫入配置文本或者直接在shell腳本作為字典，
3. shell讀取用戶輸入hostIp，匹配出connectionStr，呼叫expect進行ssh登錄，相關操作完成后ctrl+d退出，

通過SSH將MySQL資料庫復制到新服務器（遷移資料庫最快的方法）

mysqldump –add-drop-table –extended-insert –force –log-error=error.log -uUSER -pPASS OLD_DB_NAME | ssh -C user@newhost “mysql -uUSER -pPASS NEW_DB_NAME”

通過壓縮的SSH隧道，Dump一個MySQL資料庫，將其作為輸入傳遞給mysql命令，遷移資料庫到新服務器最快最好的方法，

洗掉文本檔案中的一行，修復“SSH主機密鑰更改”的警告

sed -i 8d ~/.ssh/known_hosts

從一臺沒有SSH-COPY-ID命令的主機，將你的SSH公鑰復制到服務器，

cat ~/.ssh/id_rsa.pub | ssh user@machine “mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys”

如果你使用Mac OS X，或其它沒有ssh-copy-id命令的*nix變種，這個命令可以將你的公鑰復制到遠程主機，因此你照樣可以實作無密碼SSH登錄，

實時SSH網路吞吐量測驗

rpm -ivh pv-1.6.0-1.x86_64.rpm
tar -cf - --exclude=.snapshot *| pv -s $(du -sb . | awk '{print $1}') |tar -xf - -C /nas_ipr_new
yes | pv | ssh 172.16.8.13  "cat > /dev/null"

通過SSH連接到主機，顯示實時的傳輸速度，將所有傳輸資料指向/dev/null，需要先安裝pv，

#如果是Debian：
apt-get install pv
#如果是Fedora：
yum install pv

（可能需要啟用額外的軟體倉庫），

如果建立一個可以重新連接的遠程GNU screen

ssh -t user@some.domain.com /usr/bin/screen –xRR

人們總是喜歡在一個文本終端中打開許多shell，如果會話突然中斷，或你按下了“Ctrl-a d”，遠程主機上的shell不會受到絲毫影響，你可以重新連接，其它有用的screen命令有“Ctrl-a c”（打開新的shell）和“Ctrl-a a”（在shell之間來回切換），請訪問http://aperiodic.net/screen/quick_reference閱讀更多關于screen命令的快速參考，

繼續SCP大檔案

rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file
#它可以恢復失敗的rsync命令，當你通過VPN傳輸大檔案，如備份的資料庫時這個命令非常有用，需要在兩邊的主機上安裝rsync，
rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file local -> remote
#或
rsync –partial –progress –rsh=ssh $user@$host:$remote_file $destination_file remote -> local

通過SSH W/ WIRESHARK分析流量

ssh root@server.com ‘tshark -f “port !22″ -w -' | wireshark -k -i –
#使用tshark捕捉遠程主機上的網路通信，通過SSH連接發送原始pcap資料，并在wireshark中顯示，
#按下Ctrl+C將停止捕捉，但也會關閉wireshark視窗，
#可以傳遞一個“-c #”引數給tshark，讓它只捕捉“#”指定的資料包型別，
#或通過命名管道重定向資料，而不是直接通過SSH傳輸給wireshark，
#建議你過濾資料包，以節約帶寬，tshark可以使用tcpdump替代：
ssh root@example.com tcpdump -w – ‘port !22′ | wireshark -k -i –

保持SSH會話永久打開

autossh -M50000 -t server.example.com ‘screen -raAd mysession’

打開一個SSH會話后，讓其保持永久打開，對于使用筆記本電腦的用戶，如果需要在Wi-Fi熱點之間切換，可以保證切換后不會丟失連接，

更穩定，更快，更強的SSH客戶端

ssh -4 -C -c blowfish-cbc

強制使用IPv4，壓縮資料流，使用Blowfish加密，

使用cstream控制帶寬

tar -cj /backup | cstream -t 777k | ssh host ‘tar -xj -C /backup’

使用bzip壓縮檔案夾，然后以777k bit/s速率向遠程主機傳輸，Cstream還有更多的功能，請訪問http://www.cons.org/cracauer/cstream.html#usage了解詳情，例如：

echo w00t, i’m 733+ | cstream -b1 -t2

一步將SSH公鑰傳輸到另一臺機器

ssh-keygen; ssh-copy-id user@host; ssh user@host

這個命令組合允許你無密碼SSH登錄，注意，如果在本地機器的~/.ssh目錄下，已經有一個SSH密鑰對，ssh-keygen命令生成的新密鑰可能會覆寫它們，ssh-copy-id將密鑰復制到遠程主機，并追加到遠程賬號的~/.ssh/authorized_keys檔案中，使用SSH連接時，如果你沒有使用密鑰口令，呼叫ssh user@host后不久就會顯示遠程shell，

將標準輸入（stdin）復制到你的X11緩沖區

ssh user@host cat /path/to/some/file | xclip

你是否使用scp，將檔案復制到作業用電腦上，以便復制其內容到電子郵件中？xclip可以幫到你，它可以將標準輸入復制到X11緩沖區，你需要做的就是，點擊滑鼠中鍵粘貼緩沖區中的內容，

yum install xclip
#終端輸出保存到剪切板中
ls -al | xclip

此時ls -al的輸出內容，已經保存在剪切板中了，此時xclip -o可以看到剪切板的內容，
但此時還不可以粘貼到終端以外的程式中，此時需要用到：

#xclip -selection c 
ls -al | xclip -selection c
#檔案內容復制到剪切板中
xclip /etc/apt/sources.list
xclip -selection c /etc/apt/sources.list
#剪切板內容輸出到終端
xclip -o
xclip -selection c -o
#剪切板內容輸出到檔案
xclip -o > ~/test.txt
xclip -selection c -o > ~/test.txt

如何防止SSH登錄入侵

如何判斷自己正在遭受ssh暴力破解

打開ssh的調測進行觀察

ssh -vvv  root@172.16.8.50

或者ssh登錄服務器后，使用lastb命令，

#首次運行lastb命令會報下的錯誤：

#lastb: /var/log/btmp: No such file or directory
#Perhaps this file was removed by the operator to prevent logging lastb info.
#只需建立這個不存在的檔案即可，

$#touch /var/log/btmp
#使用ssh的登錄失敗不會記錄在btmp檔案中，

$#lastb | head
root ssh:notty 110.84.129.3 Tue Dec 17 06:19 - 06:19 (00:00)
root ssh:notty 110.84.129.3 Tue Dec 17 04:05 - 04:05 (00:00)
root ssh:notty 110.84.129.3 Tue Dec 17 01:52 - 01:52 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 23:38 - 23:38 (00:00)
leonob ssh:notty 222.211.85.18 Mon Dec 16 22:18 - 22:18 (00:00)
leonob ssh:notty 222.211.85.18 Mon Dec 16 22:18 - 22:18 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 21:25 - 21:25 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 19:12 - 19:12 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 17:00 - 17:00 (00:00)
admin ssh:notty 129.171.193.99 Mon Dec 16 16:52 - 16:52 (00:00)

命令會顯示最近錯誤登錄的日志，包括通過ssh服務錯誤登錄的日志，如果得到和上方顯示差不多的情況，出現大量的輸出，說明你的服務器，正在遭受黑客們的暴力破解，

如何防范暴力破解

修改遠程登錄埠

修改/etc/ssh/sshd_config檔案中的Port ，將前方的#注釋洗掉，并將22修改為你想要使用遠程登錄的埠，例如35678，
在防火墻上添加運行埠：

iptables -I INPUT -p tcp --dport 35678 -j ACCEPT

如果您使用的ubuntu系統并使用ufw，可以使用命令：

sudo ufw allow 35678

如果您使用CentOS7系統并使用firewalld,可以使用命令：

firewall-cmd --zone=public --add-port=35678/tcp --permanent

如果是使用云服務器，云服務商有提供外部防火墻，例如阿里云的安全組的情況下，還要在外部的安全組中，修改允許tcp埠35678埠的策略，

#最后使用
serivce sshd restart
#CentOS7用戶使用
systemctl restart sshd
#重啟sshd服務即可，

重啟服務之后，登錄服務器，都需要輸入指定的遠程埠，才能夠登錄服務器，大大降低了黑客攻擊服務器的概率，

限制登錄IP

如果你的公司，或者常常需要登錄服務器的作業網路環境，擁有固定的IP地址時，限制登錄IP地址，就可以很好的保護服務器免受黑客攻擊，如果沒有上述的條件，我們也可以通過搭建堡壘機，將所有服務器都設定為允許堡壘機的IP地址，登錄即可保護您的服務器，
操作起來相當簡單，首先在/etc/hosts.allow中加入如下資訊：

sshd:172.16.*.*

這條資訊，表示sshd服務，允許向IP地址為172.16開頭的IP地址提供服務，
其次在/etc/hosts.deny中加入如下資訊：

sshd:all:deny

這條資訊，表示sshd服務不允許，向所有IP地址提供服務，
如此一來服務器將只有指定的IP地址可以訪問，

使用非root用戶登錄

禁止root用戶登錄，并且設定，允許其他用戶登錄后，切換至root進行操作，這樣黑客，如果想要通過ssh登錄服務器，除了密碼之外，首先他還需要知道服務器允許登錄的用戶，這樣將大大降低黑客攻破ssh的可能性，

在服務器內創建一個用戶

首先，在服務器內創建一個用戶，fleapx:useradd fleapx

并且設定密碼：passwd fleapx,當然密碼需要盡量復雜，

允許此用戶，能夠以root用戶身份運行命令

接下來我們需要允許此用戶，能夠以root用戶身份運行命令，

使用visudo命令進入文本編輯模式，于92行附近

[root@localhost ~]# visudo
#然后在檔案的最后面加入三行：
User_Alias USER_SU = test, test1
Cmnd_Alias SU = /bin/su

USER_SU ALL=(ALL) NOPASSWD: SU
ALL=(ALL) NOPASSWD:ALL

#或者下面三行：

User_Alias USER_SU = test, test1
#Cmnd_Alias SU = /bin/su

USER_SU ALL=(ALL) NOPASSWD: /bin/su

添加紅色字體資訊："ALL=(ALL) NOPASSWD:ALL"，保存退出后可以驗證一下，

驗證

• 首先使用su fleapx切換至fleapx用戶，接下來，我們可以使用sudo su - 命令切換到root用戶，
• 同樣，我們也可以通過遠程登錄方式驗證，使用ssh客戶端，以fleapx用戶登錄系統后，再使用sudo su -命令進行切換，
• 再設定，可以通過fleapx用戶，登錄系統，并能夠自由切換至管理員用戶操作后，我們需要禁止root用戶，通過遠程方式登錄系統，

在/etc/ssh/sshd_config檔案內添加“PermitRootLoginno”，后重啟sshd服務，啟動后，root用戶，就將無法通過ssh服務，直接連接到服務器，

總結

SSH在linux中是非常常用的工具，通過SSH客戶端我們可以連接到運行了SSH服務器的遠程機器上，也就是說，我們可以通過ssh來遠程控制我們的電腦或者服務器，那么ssh協議的優點就是資料傳輸是加密的，可以防止資訊泄露，而且資料傳輸是壓縮的，可以提高傳輸速度，

當然，在方便同時，還存在黑客通過ssh暴力破解登錄服務器的情況，例如使用密鑰登錄服務器等，總結以下6條防止SSH登錄入侵及被破解的方法技術，

1、用密鑰登錄，不用密碼登陸
2、牤牛陣法：解決SSH安全問題
a.防火墻封閉SSH,指定源IP限制(局域網、信任公網)
b.開啟SSH只監聽本地內網IP（ListenAddress 172.16.1.61），
3、盡量不給服務器外網IP
4、最小化（軟體安裝-授權）
5、給系統的重要檔案或命令做一個指紋
6、保護Linux系統檔案被篡改，加上給他鎖命令 chattr +i +a

附注：他鎖命令詳解

#鎖定檔案的格式（檔案將無法被修改、追加和洗掉）
$# chattr +i aaa.txt
#解鎖檔案的格式（檔案將可以被修改、追加和洗掉）
$# chattr -i aaa.txt
#鎖定檔案后僅可追加內容的格式（檔案將無法被修改和洗掉，但是可以被追加新內容）
$# chattr +a aaa.txt
#解鎖檔案只可被追加內容的格式（檔案將取消無法被修改和洗掉，但紅四可以被追加新內容的狀態）
$# chattr -a aaa.txt 
# 使用  (-R 遞回地修改目錄以及其下內容的屬性) , 即可保護好directory目錄下的所有內容.
# 設定了’i’屬性的檔案不能進行修改,只有超級用戶可以設定或清除該屬性.
$#chattr -R +i directory/

但保護整個業務系統的安全，最為重要的不是幾個技術點，而是在結構設計的時候，就預先考慮到安全的因素，例如不需要向公網提供服務的服務器，就不設定公網IP地址，配置安全可靠的堡壘機，