SSH 笔记

                     

贡献者： addis

1. 密码连接 ssh

• ssh 连接服务器：ssh name@111.222.333.444 -p 端口号。不指定端口的话默认 22
• sudo apt-get install ssh 会安装 ssh server 用于远程控制。确保 port22 是打开的
• 检查本机 ip 地址，hostname -I, 或者 ip addr show，或者 ifconfig.
• 服务器端安装 openssh-server sudo apt install openssh-server
• 修改 sshd 设置文件 /etc/ssh/sshd_config (注意不是 ssh_config)：将 PasswordAuthentication 改为 yes，最后一行加上 AllowUsers 用户名，用户名是 linux 的用户名
• 改完设置文件后用 sudo systemctl restart sshd 重启才会生效
• sudo service ssh --full-restart 也可以重启（WSL1 上没有 systemctl 或者 systemd）
• 查看 service 是否在运行用 sudo systemctl status ssh，或者 sudo service ssh status
• 可以试试自己连接自己，即 ssh localhost，如果成功，就可以了

2. putty

• 用于在 windows 上用 ssh 连接 linux 电脑
• 不能自动储存密码，用升级版：kitty! 更高级：MobaXterm!
• 注意网络断开会丢失未保存的信息，确保电脑不要自动待机，离开前千万要保存!
• putty 是其他电脑上的远程控制程序。
• 双击打开出现 setting 界面。要连接，Host Name 是 IP 地址或者 URL, port 是 22, Connection Type 是 SSH.
• 所有的设置完成以后可以用 Saved Sessions 保存。
• putty 中，右键标题栏可以选择 change settings, 与开始时的 setting 不完全相同。
• 字体与颜色：蓝色注释不明显，在 setting 里面的 colours 选项卡中的 ansi blue 改成（100, 100, 255）
• 字体大小可以在 appearance 中修改。
• 右键标题栏还可以选择新建多个同样设置的窗口，一个用于编辑程序，一个用于运行程序等。用 duplicate session.
• session timeout : 学校的 linux ssh 设置了 5 分钟的自动 timeout, 为了防止自动断开，在 connection 选项卡里面上方的 seconds between keepalives 文本框里面输入 240 (s) 即可每四分钟更新一次。
• 如果网络断开，用 restart session 选项即可。
• connection -> data 里面有 Auto-login username 可以填 linux 的用户名
• 在命令行中，用鼠标选中的内容会自动复制到剪切板，鼠标右键用于粘贴! 命令行的任何能输入的地方都有效! 所以在 Vim 中根本不需要用 visual 来粘贴! 除非不想用鼠标。
• 要保存密码，给 putty.exe 创建快捷方式，右键属性，把 target 改成 "...\putty.exe" user@server.com -pw password 即可（不安全）。
• 其实 putty 的自动登录是要使用 key 文件的，见下一节。把生成的 id_rsa 私钥文件用 puttygen.exe，选择菜单 Conversions->Import key 然后 save private key 就可以用这个 private key 设置 putty 自动登录了。

3. 使用 key 连接 ssh

• 参考这个教程
• 用 ssh-keygen 生成 key，使用默认路径 ~/.ssh/，会生成 id_rsa 和 id_rsa.pub 两个文件。后者用于加密而不能解密，是 public key，可以给任何人。前者是 private key，用于解密，绝对不能给别人。
• 要先登录 host，要把 public key（只有一行内容）append 到服务器中的 ~/.ssh/authorized_keys 文件。
• 如果使用 sudo ssh，那么设置文件就在 /root/.ssh/ 下，可以把 ~/.ssh 中的文件 copy 过去。
• 一般来说如果用 key 的话 server 的 /etc/ssh/sshd_config 是不需要设置的
• 其中 append 的操作也可以用 ssh-copy-id -i /path/to/key.pub SERVERNAME 会更方便，如果事先允许密码登录的话。省略 -i /path/to/key.pub 的话默认就用 ~/.ssh/id_rsa.pub
• ssh 用 key 来登录的原理大概就是，client 告诉 server 我要用哪个用户名登录，server 去用户名的 ~/.ssh/authorized_keys 中寻找 public key，然后用其加密一个随机字符串给 client，client 用 private key 解密，将字符串的 MD5 hash 发给 server，server 一对照 MD5 如果吻合，开始连接。 (其实我猜 host 还需要发送一个密钥用于 ssh 通讯，要不然 client 发给 host 的东西就无法加密了)
• 现在 ssh 的话应该就不需要密码了
• 如果 key 怎么都不成功，很可能是文件夹和文件权限的问题，确保 用户文件夹，.ssh 文件夹和里面的所有文件具有恰当的（不要太开放）权限，具体自行 google。
• 如果想不写 ip 而是写名字，那么在 /etc/hosts 中添加 ip 和对应的名字即可。
• 如果没有管理员权限，那么可以在用户文件夹创建 ~/.hosts，然后在 ~/.bashrc 修改环境变量 export HOSTALIASES=~/.hosts
• 另一种方法是，在 client 上可以写一个设置文件 ~/.ssh/config，设置 host 的名字，就可以用名字而不是 ip 登录了

  Host 别名
  Hostname 网址或者ip或者/etc/hosts中的名字
  User 登录的用户名
  Port 端口号
  PubKeyAuthentication yes
  IdentityFile path/to/private_key # ssh-keygen 生成的 key 如 ~/.ssh/id_rsa
  
  # 简单的设置例如（默认项可以忽略，例如端口 22， 当前用户名等）
  Host myserver1
  Hostname 10.0.2.101
  User addis
  

  PubKeyAuthentication 强制使用 key 登录而不用密码。
• 如果遇到错误 Unable to negotiate with 40.74.28.9 port 22: no matching host key type found. Their offer: ssh-rsa，就在 config 中加上两行 HostkeyAlgorithms +ssh-rsa 和 PubkeyAcceptedAlgorithms +ssh-rsa。
• 如果要设置 tunnel（也就是 ssh 到一个机器再 ssh 到另一个），就先在 .ssh/config 中设置好第一个机器的自动登录，再设置第二个机器如下（参考这里）

  Host server1
    Hostname server1.example.com
    User 用户名
    IdentityFile ~/.ssh/id_rsa
  
  Host server2
    Hostname server2.example.com
    User 用户名
    IdentityFile ~/.ssh/id_rsa
    ProxyJump server1
  

  注意第二个 IdentityFile 应该也是本机的，如果服务器不认识仍然会索取密码。用 ssh-copy-id server2 即可。
• ssh 的客户端和服务器端对 .ssh 文件夹和其中文件权限都有很高的要求。如果说用 key ssh 的时候说 permission id_rsa too open，把 .ssh 文件夹的权限修改为 700，里面的 id_rsa 和 authorized_keys 修改为 600，id_rsa.pub 和 known_host 改为 644。.ssh 文件夹以及其中文件的 owner 都必须是登录者的。如果服务器端文件的权限不对会提示 permission denied。
• 其中 7 变为二进制是 111 对应 rwx 的三个开关都打开，0 对应 000 没有任何权限，所以 700 就是 owner 有所有权限，其他用户没有任何权限
• 虽然 public key 中最后有 用户名@主机，其实这个好像没有任何影响，private key 和 public key 都可以复制到许多不同的机器中，让这些机器两两之间互相 ssh，而它们的 ~/.ssh/authorized_keys 中只需要有一条
• ssh 登录一个新主机时，如果 known_host 没有，就会让确认，确认以后就会把新主机的 id 加入该文件，如果这个 id 以后变了（例如主机重装了 openssh-server）再登录就会出错（为了安全），这时只需要将 known_host 中该主机的记录删除即可。也可以直接把整个文件删除，但这样就所有 ssh 登录都要再确认一次了。
• ssh-keygen -R [ip 或者 alias] 可以删除该 server 在 known_host 中的记录。

4. ssh 和 sshd 的 authentication 调试

• 如果想重置设置文件，就重装 openssh-server。
• 另外参考这篇文章。
• 首先可以用 ssh -vvv ... 来输出非常多的 debug 信息，看具体哪一步出的问题
• 其次可以在服务器上 sudo vi /etc/ssh/sshd_config 中打开 sshd 的 log 功能，SyslogFacility AUTH，LogLevel DEBUG
• 服务器重启 sudo systemctl restart sshd，尝试重新链接 ssh
• 失败后在服务器上的 /var/log/auth.log 底部查看日志看看具体问题。

5. ssh 传文件

• ssh xxx@xxx "命令" 可以直接将某个命令在 host 上执行并退出，而不需要先进入 host 的 shell，执行命令再 exit。用 && 可以将多个命令写在一起依次执行。
• ssh xxx@xxx "cat > remote_file" < local_file 可以直接将本地文件用 ssh 直接传到 host，而不需要用 sftp。也可以用 piping，例如 cat local_file | ssh xxx@xxx "cat > remote_file"，效果一样
• ssh xxx@xxx "cat /path/to/remote_file" > /path/to/local_file 可以将 host 的文件传到本地

6. ssh 口转发

• local forwarding 的命令为 ssh -L 本地端口号:目标地址:目标端口号 用户名@转发服务器 其中 本地端口号 永远都是输入这个命令的机器的端口号。目标地址 既可以和 转发服务器 相同也可以不同。其实这个命令就是在通常的 ssh 命令中增加了 -L 本地端口号:目标地址:目标端口号
• 可以先在本地做实验，确定本地装了 open-ssh server 和 client，确保可以 ssh localhost
• 输入 ssh -L 6600:120.79.212.166:80 localhost，这样就把本地端口 6600 连接到了 wuli.wiki 的 80 端口
• 执行以后，结果相当于 ssh localhost，如果这个 session 结束，那么转发也就结束了。
• 执行以后可以在浏览器输入 localhost:6600，就相当于输入了 120.79.212.166:80
• 注意一些网站禁止 ip 访问，或者 ip 访问和域名访问有不同的结果
• 作为第二个测试，我们需要一台中转服务器，例如要从本地通过中转 ssh 到 120.79.212.166:80 (wuli.wiki)，就在本地执行 ssh -L 6500:wuli.wiki:22 用户名@中转服务器
• 再打开另一个 shell，执行 ssh -p 6500 root@localhost，其中 -p 选项用于指定端口，就相当于先 ssh 到中转服务器再 ssh 到 wuli.wiki
• 转发后，如果要使用 git，可以用 : 指定端口，注意前面要加上 ssh://。 例如 git clone ssh://root@localhost:6500/root/github/PhysWikiScan

Remote Forwarding

• 用途：例如校内网的服务器想让外网访问，那就把外网一台有公共 ip 的转发服务器的某个端口和内网的服务器的某个端口链接。“内网穿透笔记” 中会提供更常用的办法。
• ssh -R 转发服务器端口号:localhost:本地端口号 用户名@转发服务器
• 【亲测失败】ssh -N -R 中转端口:github.com:443 用户名@中转服务器 可以在本地机器上运行，也可以在中转服务器上运行。运行后，任意浏览器打开 https://中转服务器域名:中转端口 都可以访问 github。