Linux-命令-远程登录

• 基于口令的安全验证

  流程:

  1> 客户端发起连接请求
  2> 远程主机收到用户的登录请求，把自己的公钥发给客户端
  3> 客户端接收远程主机的公钥，然后使用远程主机的公钥加密登录密码，紧接着将加密后的登录密码连同自己的公钥一并发送给远程主机
  4> 远程主机接收客户端的公钥及加密后的登录密码，用自己的私钥解密收到的登录密码，如果密码正确则允许登录，到此为止双方彼此拥有了对方的公钥，开始双向加密解密

  PS:

  当网络中有另一台冒牌服务器冒充远程主机时，客户端的连接请求被服务器B拦截，服务器B将自己的公钥发送给客户端，客户端就会将密码加密后发送给冒牌服务器，冒牌服务器就可以拿自己的私钥获取到密码，然后为所欲为。因此当第一次链接远程主机时，在上述步骤的第（3）步中，会提示您当前远程主机的”公钥指纹”，以确认远程主机是否是正版的远程主机，如果选择继续后就可以输入密码进行登录了，当远程的主机接受以后，该台服务器的公钥就会保存到 ~/.ssh/known_hosts文件中。

• 基于密匙的安全验证

  流程:

  这种方式你需要在当前用户家目录下为自己创建一对密匙，并把公匙放在需要登录的服务器上。当你要连接到服务器上时，客户端就会向服务器请求使用密匙进行安全验证。服务器收到请求之后，会在该服务器上你所请求登录的用户的家目录下寻找你的公匙，然后与你发送过来的公匙进行比较。如果两个密匙一致，服务器就用该公匙加密“质询”并把它发送给客户端。客户端收到“质询”之后用自己的私匙解密再把它发送给服务器。与第一种级别相比，第二种级别不需要在网络上传送口令。

  PS:

  简单来说，就是将客户端的公钥放到服务器上，那么客户端就可以免密码登录服务器了，那么客户端的公钥应该放到服务器上哪个地方呢？默认为你要登录的用户的家目录下的 .ssh 目录下的 authorized_keys 文件中（即：~/.ssh/authorized_keys）。

  步骤:

  客户机(登录机): ssh-keygen -t rsa
  服务机(被登录机): cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

---

• ssh: 是openssh套件中的客户端连接工具，可以给予ssh加密协议实现安全的远程登录服务器

  语法:

  ssh(选项)(参数)

选项:

-1：强制使用ssh协议版本1<br>
-2：强制使用ssh协议版本2<br>
-4：强制使用IPv4地址<br>
-6：强制使用IPv6地址<br>
-A：开启认证代理连接转发功能<br>
-a：关闭认证代理连接转发功能<br>
-b：使用本机指定地址作为对应连接的源ip地址<br>
-C：请求压缩所有数据<br>
-F：指定ssh指令的配置文件<br>
-f：后台执行ssh指令<br>
-g：允许远程主机连接主机的转发端口<br>
-i：指定身份文件<br>
-l：指定连接远程服务器登录用户名<br>
-N：不执行远程指令<br>
-o：指定配置选项<br>
-p：指定远程服务器上的端口<br>
-q：静默模式<br>
-X：开启X11转发功能<br>
-x：关闭X11转发功能<br>
-y：开启信任X11转发功能<br>

• ssh-keygen: 用于为“ssh”生成、管理和转换认证密钥，它支持RSA和DSA两种认证密钥

  语法:

  ssh-keygen(选项)

选项:

-b：指定密钥长度<br>
-e：读取openssh的私钥或者公钥文件<br>
-C：添加注释<br>
-f：指定用来保存密钥的文件名<br>
-i：读取未加密的ssh-v2兼容的私钥/公钥文件，然后在标准输出设备上显示openssh兼容的私钥/公钥<br>
-l：显示公钥文件的指纹数据<br>
-N：提供一个新密语<br>
-P：提供（旧）密语<br>
-q：静默模式<br>
-t：指定要创建的密钥类型

• ssh-agent: 是一种控制用来保存公钥身份验证所使用的私钥的程序。ssh-agent在X会话或登录会话之初启动，所有其他窗口或程序则以客户端程序的身份启动并加入到ssh-agent程序中。通过使用环境变量，可定位代理并在登录到其他使用ssh机器上时使用代理自动进行身份验证

  语法:

  ssh-agent [-c | -s] [-d] [-a bind_address] [-t life] [command [arg …]]
  
  ssh-agent [-c | -s] -k

选项:

-a bind_address：bind the agent to the UNIX-domain socket bind_address<br>
-c：生成C-shell风格的命令输出<br>
-d：调试模式<br>
-k：把ssh-agent进程杀掉<br>
-s：生成Bourne shell 风格的命令输出<br>
-t life：设置默认值添加到代理人的身份最大寿命

• ssh-add: 把专用密钥添加到ssh-agent的高速缓存中

  语法:

  ssh-add [-cDdLlXx] [-t life] [file …]
  
  ssh-add -s pkcs11 ssh-add -e pkcs11

选项:

-D：删除ssh-agent中的所有密钥<br>
-d：从ssh-agent中的删除密钥<br>
-e pkcs11：删除PKCS#11共享库pkcs1提供的钥匙<br>
-s pkcs11：添加PKCS#11共享库pkcs1提供的钥匙<br>
-L：显示ssh-agent中的公钥 <br>
-l：显示ssh-agent中的密钥 <br>
-t life：对加载的密钥设置超时时间，超时ssh-agent将自动卸载密钥 <br>
-X：对ssh-agent进行解锁 <br>
-x：对ssh-agent进行加锁

实例:

1. 把专用密钥添加到 ssh-agent 的高速缓存中： ssh-add ~/.ssh/id_dsa
2. 从ssh-agent中删除密钥： ssh-add -d ~/.ssh/id_xxx.pub
3. 查看ssh-agent中的密钥： ssh-add -l

---

八、绑定本地端口
既然SSH可以传送数据，那么我们可以让那些不加密的网络连接，全部改走SSH连接，从而提高安全性。
假定我们要让8080端口的数据，都通过SSH传向远程主机，命令就这样写：
　　$ ssh -D 8080 user@host
SSH会建立一个socket，去监听本地的8080端口。一旦有数据传向那个端口，就自动把它转移到SSH连接上面，发往远程主机。可以想象，如果8080端口原来是一个不加密端口，现在将变成一个加密端口。

九、本地端口转发
有时，绑定本地端口还不够，还必须指定数据传送的目标主机，从而形成点对点的”端口转发”。为了区别后文的”远程端口转发”，我们把这种情况称为”本地端口转发”（Local forwarding）。
假定host1是本地主机，host2是远程主机。由于种种原因，这两台主机之间无法连通。但是，另外还有一台host3，可以同时连通前面两台主机。因此，很自然的想法就是，通过host3，将host1连上host2。
我们在host1执行下面的命令：
　　$ ssh -L 2121:host2:21 host3
命令中的L参数一共接受三个值，分别是”本地端口:目标主机:目标主机端口”，它们之间用冒号分隔。这条命令的意思，就是指定SSH绑定本地端口 2121，然后指定host3将所有的数据，转发到目标主机host2的21端口（假定host2运行FTP，默认端口为21）。
这样一来，我们只要连接host1的2121端口，就等于连上了host2的21端口。
　　$ ftp localhost:2121
“本地端口转发”使得host1和host3之间仿佛形成一个数据传输的秘密隧道，因此又被称为”SSH隧道”。

十、远程端口转发
既然”本地端口转发”是指绑定本地端口的转发，那么”远程端口转发”（remote forwarding）当然是指绑定远程端口的转发。
还是接着看上面那个例子，host1与host2之间无法连通，必须借助host3转发。但是，特殊情况出现了，host3是一台内网机器，它可以 连接外网的host1，但是反过来就不行，外网的host1连不上内网的host3。这时，”本地端口转发”就不能用了，怎么办？
解决办法是，既然host3可以连host1，那么就从host3上建立与host1的SSH连接，然后在host1上使用这条连接就可以了。
我们在host3执行下面的命令：
　　$ ssh -R 2121:host2:21 host1
R参数也是接受三个值，分别是”远程主机端口:目标主机:目标主机端口”。这条命令的意思，就是让host1监听它自己的2121端口，然后将所有 数据经由host3，转发到host2的21端口。由于对于host3来说，host1是远程主机，所以这种情况就被称为”远程端口绑定”。
绑定之后，我们在host1就可以连接host2了：
　　$ ftp localhost:2121
这里必须指出，”远程端口转发”的前提条件是，host1和host3两台主机都有sshD和ssh客户端。