基础使用
基本连接
SSH基本的连接命令是:
ssh username@hostname
这里牵扯到了两台主机
- 执行命令、运行SSH客户端的主机,我们称为本地主机A【Host A】;
- 接收连接请求、运行SSH服务器的主机,我们称为远程主机B【Host B】。
通过密码或密钥等方式验证后,SSH连接建立,主机A可以使用命令行对主机B实施远程控制。
以上命令中,username是主机B上可登录的用户名,hostname则是主机B的设备名、域名或IP等可以在网络(局域网或互联网)上定位的名称。
登录类型
- 密码登录: 服务器发送公钥给客户端,客户端使用公钥加密后回传给服务器,服务器解密验证密码。
ssh abc@xxx.xxx.xxx.xxx -p 22 - 公钥登录: 服务器发送一个随机字符串给客户端,客户端用私钥加密,服务器用公钥解密(rsa作为签名使用)
ssh -i .ssh/id_rsa abc@xxx.xxx.xxx.xxx -p 22
相关参数
- -A:密钥转发 这个参数在使用跳板机等场景非常有用,如果发现始终连不上需要检查下这个
- -i:指定密钥文件
- -p:端口号
- -C:请求压缩所有数据;
- -f:后台运行,一般与-f搭配使用
- -N:不要求分配shell,有些场景下ssh禁止账号请求shell终端,比如这个账号只是作为转发
- -g:默认这个LocalPort端口只允许本机连接,可以通过这个参数允许别的机器连接这个端口
- -T:不要求分配终端
- -o ServerAliveInterval=60:隔段时间发送保活消息
- -q:抑制一些调试性的额外输出
- -4:强制ipv4地址
- -6:强制ipv6地址
- -F:指定ssh客户端的配置文件
- -q:静默模式,所有的警告和诊断信息被禁止输出
相关命令
- ssh-keygen 用于生成密钥对
- ssh-copy-id 用于复制公钥到服务器
相关文件
~/.ssh/authorized_keys用于保存用户的公钥文件~/.ssh/known_hosts文件 保存的服务器用于辨别服务器的唯一散列码~/.ssh/id_dsa用户的私钥文件~/.ssh/id_rsa.pub默认生成的用户的公钥文件,用于将该公钥追加到需要登录的服务器authorized_keys文件/etc/ssh/ssh_confi客户端ssh配置/etc/ssh/sshd_config服务端ssh配置
端口转发
什么是端口转发?
SSH 隧道或 SSH 端口转发可以用来在客户端和服务器之间建立一个加密的 SSH 连接,通过它来把本地流量转发到服务器端,或者把服务器端流量转发到本地。
比如从本地访问服务器上的 MySQL 管理后台,或者把本地的服务暴露在公网上。
比如从公网上访问你家里的的NAS。
端口转发分为:
- 本地端口转发
- 远程端口转发.
本地端口转发
简而言之
将ssh服务器(中转服务器)上的本地端口转发到别的本地端口或者其他能连接的服务器端口
这里的本地端口就是作为中转服务器上的本地端口
本地端口转发的语法
ssh -L [LOCAL_IP:]LOCAL_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER
这时 SSH 客户端会监听本地的端口 LOCAL_PORT,把所有发给该端口的 TCP 连接都发给指定的服务器,然后再连接到目标机器。
这个目标机器通常是服务器自己,也可以是任何其他机器。
在目标机器看来,这个请求来自 SSH 服务器,相当于连到了服务器的内网。
场景1
例如你在家想连接到公司的数据库。
但是IT部门只给了你一个跳板机172.16.1.60。
你在家里用笔记本连上网就可以连上这个跳板机。
这个跳板机是通过公司防火墙NAT转换出去的。
当然跳板机是能够连接数据库的。
现在你可以连接数据库了,可是跳板机上没有你习惯使用的工具,例如navicat。
此时在不麻烦it的前提下你可以通过ssh远程端口转发来解决这个问题. (如果公司网络有堡垒机或者其他网络隔离设备可能会禁掉,这里不做讨论)
大概的架构是这样的
需要做的就是将远程的数据库3306上的服务通过对外的跳板机映射到本地,你就可以使用navicat连接数据库了。
此时,你就可以在跳板机上做一个本地端口转发的配置
ssh -N -f -L 3301:192.168.122.76:3306 172.16.1.60
- -L: 就是本地转发的标志
- -N:不要求分配shell,有些场景下ssh禁止账号请求shell终端,比如这个账号只是作为转发
- -f:后台运行,一般与-f搭配使用
注意:-N一定不能是第一个参数
这个ssh命令的意思是所有跟 跳板机 上的 3301 端口的TCP数据传输都会直接通过 跳板机 的 ssh服务 转发给数据库服务器(192.168.122.76:3306)。
也就是说将本地的3301 端口映射到了内网的3306端口。
至此你就可以使用navicat连接本地的3301 端口连接远程数据库服务了.
场景2
防火墙阻止了外部主机对服务器一些端口的连接,但服务器仍有部分端口是对外开放的。
这时外部主机如果需要访问服务器上被防火墙阻挡的端口,就可以通过 SSH连接服务器+端口转发 来进行。
在服务器上配置
ssh -N -f -L 5920:localhost:5901 cloud_user@1.1.1.1
参数不再做赘述
这里的5920就是服务器上对外开放的端口
5901是被防火墙阻挡的端口,cloud_user表示服务器上的一个用户,1.1.1.1是服务器的对外ip地址(如果是经过防火墙NAT转换的,那这里的ip就是防火墙上的出口IP)
这个命令的意思就是把对5920端口的访问通过ssh服务转发到本地的5901端口上
这个时候外部就可以通过5920端口间接访问5901端口
远程端口转发
简言之
将远程ssh服务器主机的端口转发到本地端口
远程端口转发的语法
ssh -R [REMOTE:]REMOTE_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER -p [ssh_port]
[REMOTE:]REMOTE_PORT- 远程 SSH 服务器上的 IP 和端口号。空的REMOTE意味着远程 SSH 服务器将绑定到所有接口。DESTINATION:DESTINATION_PORT- 目标机器的 IP 或主机名和端口。[USER@]SERVER_IP- 远程 SSH 用户和服务器 IP 地址。-p [ssh_port]是可选项,当ssh端口被修改,就需要加上这项
场景一
外网可以访问内部的一个服务,在任何有网络的地方(而不再限制在某台主机上,应用更广泛)都可以访问你的服务啦。
注意:
在公网上需要放行安全组8888这个端口。
在10.0.0.4上执行远程端口转发命令,该主机和公网22端口可达。(其实只要求公网能ssh到10.0.0.4就可以了,企业里面一般都是出口松进口严)
ssh -N -f -R 8888:10.0.0.3:8080 44.11.22.33
场景二
OpenSSH服务器对于远程端口转发的设定,默认只接受远程主机B本机上的应用发起的请求。
想要从其他连接到B的设备发起请求,需将【sshd_config】文件中【GatewayPorts】选项后的【no】修改为【yes】
如果长时间保持连接,那么还需要将 【TCPKeepAlive】 设置为 【yes】
手头上计算机A运行着http服务,但A没有公网IP,其他设备不能使用该服务。
恰好云服务器B有公网IP(甚至域名),便于被访问。
在不将http服务迁移至云服务器B的前提下,可以使用SSH端口转发使其他设备通过访问B的方式访问A上的http服务。
(在A上)执行端口转发命令
ssh -N -f -R 8080:localhost:80 cloud_user@server.example.com
前面的8080是B上的端口
localhost:80 是A上的端口
cloud_user@server.example.com 是B上的用户和地址或者域名
于是大家可以通过访问 http://server.example.com:8080 来访问本地计算机A提供的http服务了。