(ssh) - openssh套件中的客户端连接工具

ssh

openssh套件中的客户端连接工具

补充说明

ssh命令 是openssh套件中的客户端连接工具,可以给予ssh加密协议实现安全的远程登录服务器。

语法

ssh(选项)(参数)

选项

-1:强制使用ssh协议版本1;
-2:强制使用ssh协议版本2;
-4:强制使用IPv4地址;
-6:强制使用IPv6地址;
-A:开启认证代理连接转发功能;
-a:关闭认证代理连接转发功能;
-b:使用本机指定地址作为对应连接的源ip地址;
-C:请求压缩所有数据;
-F:指定ssh指令的配置文件;
-f:后台执行ssh指令;
-g:允许远程主机连接主机的转发端口;
-i:指定身份文件;
-l:指定连接远程服务器登录用户名;
-N:不执行远程指令;
-o:指定配置选项;
-p:指定远程服务器上的端口;
-q:静默模式;
-X:开启X11转发功能;
-x:关闭X11转发功能;
-y:开启信任X11转发功能。

参数

  • 远程主机:指定要连接的远程ssh服务器;
  • 指令:要在远程ssh服务器上执行的指令。

实例

# ssh 用户名@远程服务器地址
ssh user1@172.24.210.101
# 指定端口
ssh -p 2211 root@140.206.185.170

# ssh 大家族
ssh user@ip -p22 # 默认用户名为当前用户名,默认端口为 22
ssh-keygen # 为当前用户生成 ssh 公钥 + 私钥
ssh-keygen -f keyfile -i -m key_format -e -m key_format # key_format: RFC4716/SSH2(default) PKCS8 PEM
ssh-copy-id user@ip:port # 将当前用户的公钥复制到需要 ssh 的服务器的 ~/.ssh/authorized_keys,之后可以免密登录

背后故事

英文:Tatu Ylonen 编译:Linux中国/kenxx 来源:https://linux.cn/article-8476-1.html

为什么 SSH(安全终端)的端口号是 22 呢,这不是一个巧合,这其中有个我(Tatu Ylonen,SSH 协议的设计者)未曾诉说的故事。

将 SSH 协议端口号设为 22 的故事

1995 年春我编写了 SSH 协议的最初版本,那时候 telnet 和 FTP 正被广泛使用。

当时我设计 SSH 协议想着是为了替代 telnet(端口 23)和 ftp(端口21)两个协议的,而端口 22 是空闲的。我想当然地就选择了夹在 telnet 和 ftp 的端口中间的数字。我觉得端口号虽然是个小事但似乎又存在着某种信念。但我到底要怎么拿到那个端口号呢?我未曾拥有过任何一个端口号,但我却认识几个拥有端口号的人!

在那时取得端口号的事情其实说来挺简单的。毕竟当时的因特网(Internet)并不是很大,是因特网爆炸的早期。端口号分配的活儿是 IANA(Internet Assigned Numbers Authority,互联网数字分配机构)干的。在那时这机构可相当于是因特网先驱 Jon PostelJoyce K. Reynolds 一般的存在。Jon 参与编写了多项主要的协议标准,例如 IP(RFC 791)、ICMP(RFC 792)和 TCP(RFC 793)等一些你应该早有耳闻的协议。

我可以说是敬畏 Jon 先生的,他参与编写了几乎所有主要的因特网标准文档(Internet RFC)!

1995 年 7 月,就在我发布 ssh-1.0 前,我发送了一封邮件给 IANA:

From ylo Mon Jul 10 11:45:48 +0300 1995 From: Tatu Ylonen To: Internet Assigned Numbers Authority Subject: 请求取得一个端口号 Organization: 芬兰赫尔辛基理工大学

亲爱的机构成员:

我写了个可以在不安全的网络环境中安全地从一台机器登录到另一台机器的程序。它主要是对现有的 telnet 协议以及 rlogin 协议的功能性提升和安全性改进。说的具体些,就是可以防御 IP、DNS > 或路由等欺骗行为。我打算将我的软件免费地发布在因特网上,以得到广泛地使用。

我希望为该软件注册一个特权端口号,要是这个端口号在 1 到 255 > 之间就更好了,这样它就可以用在名字服务器的 WKS 字段中了。

我在附件中附上了协议标准的草案。这个软件已经在本地运行了几个月了,我已准备在获得端口号后就发布。如果端口号分配一事安排的及时,我希望这周就将要发布的软件准备好。我目前在 beta 版测试时使用的端口号是 > 22,如果要是能够分配到这个端口,我就不用做什么更改了(目前这个端口在列表中还是空闲的)。

软件中服务的名称叫 ssh(系 Secure Shell 的缩写)。

您最真诚的, Tatu Ylonen

(LCTT 译注:DNS 协议中的 WKS 记录类型意即“众所周知的业务描述”,是类似于 A、MX 这样的 DNS 记录类型,用于描述某个 IP 所提供的服务,目前鲜见使用。参见: https://docs.oracle.com/cd/E19683-01/806-4077/dnsintro-154/index.html 。)

第二天,我就收到了 Joyce 发来的邮件:

Date: Mon, 10 Jul 1995 15:35:33 -0700 From: jkrey@ISI.EDU To: ylo@cs.hut.fi Subject: 回复:请求取得一个端口号 Cc: iana@ISI.EDU Tatu, 我们将端口号 22 分配给 ssh 服务了,你目前是该服务的主要联系人。 Joyce

这就搞定了!SSH 的端口正式使用 22!!!

1995 年 7 月 12 日上午 2 点 21 分,我给我在赫尔辛基理工大学的测试者们宣布了 SSH 的最后 beta 版本。当日下午 5 点 23 分,我给测试者们宣布了 ssh-1.0.0 版本。1995 年 7 月 12 日,下午 5 点 51 分,我将一份 SSH(安全终端)的宣告发给了 cypherpunks@toad.com 的邮件列表,此外我还将其发给了一些新闻组、邮件列表和一些在因特网上讨论相关话题的人们。

如何更改 SSH 服务的端口号

SSH 服务器是默认运行在 22 号端口上的。然而,由于某些原因需要,它也可以运行在别的端口上。比如为了方便测试使用,又比如在同一个宿主机上运行多个不同的配置。当然,极少情况下,不使用 root 权限运行它也可以,比如某些必须运行在非特权的端口的情况(端口号大于等于 1024)。

端口号可以在配置文件 /etc/ssh/sshd_config 中将 Port 22 更改。也可以使用 -p 选项运行 sshd。SSH 客户端和 sftp 程序也可以使用 -p 选项。

配置 SSH 协议穿越防火墙

SSH 是少数通常被许可穿越防火墙的协议之一。通常的做法是不限制出站的 SSH 连接,尤其常见于一些较小的或者比较技术型的组织中,而入站的 SSH 连接通常会限制到一台或者是少数几台服务器上。

出站的 SSH 连接

在防火墙中配置出站的 SSH 连接十分简单。如果完全限制了外发连接,那么只需要创建一个允许 TCP 端口 22 可以外发的规则即可。如果你想限制目标地址,你可以限制该规则仅允许访问你的组织放在云端的外部服务器或保护该云端的跳板服务器即可。

反向通道是有风险的

其实不限制出站的 SSH 连接虽然是可以的,但是是存在风险的,SSH 协议是支持 通道访问 的。最初的想法是在外部服务器搭建一个 SSH 服务监听来自各处的连接,将进入的连接转发到组织,并让这个连接可以访问某个内部服务器。

在某些场景下这当然非常的方便。开发者和系统管理员经常使用它打开一个通道以便于他们可以远程访问,比如在家里或者在旅行中使用笔记本电脑等场景。

然而通常来讲这些做法是违背安全策略的,跳过了防火墙管理员和安全团队保护的控制无疑是违背安全策略的,比如这些: PCI、HIPAA、NIST SP 800-53 等。它可以被黑客和外国情报机构用来在组织内留下后门。

CryptoAuditor 是一款可以控制通道穿过防火墙或者一组云端服务器入口的产品。该款产品可以配合 通用 SSH 密钥管理器(Universal SSH Key Manager) 来获得对 主机密钥(host keys)的访问,以在启用防火墙并阻挡未授权转发的场景中解密 SSH 会话。

入站的 SSH 访问

对于入站访问而言,这里有几点需要说一下:

配置防火墙,并转发所有去往 22 端口的连接只能流向到一个特定的内部网络 IP 地址或者一个 DMZ 主机。在该 IP 上运行 CryptoAuditor 或者跳板机来控制和审查所有访问该组织的连接。 在防火墙上使用不同的端口访问不同的服务器。 只允许使用 IPsec 协议这样的 VPN(虚拟专用网)登录后连接 SSH 服务。

通过 iptables 服务限制 SSH 访问

iptables 是一款内建在 Linux 内核的宿主防火墙。通常配置用于保护服务器以防止被访问那些未明确开启的端口。

如果服务器上启用了 iptables,使用下面的命令将可以允许进入的 SSH 访问,当然命令需要以 root 身份运行。

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

如果你想将上述命令创建的规则持久地保存,在某些系统版本中,可使用如下命令:

service iptables save

热点新闻

通用电气计划利用世界上第二快的超级计算机来推动美国海上风电开发

通用电气计划利用世界上第二快的超级计算机来推动美国海上风电开发。IBM位于美国能源部橡树岭国家实验室的Summit超级计算机将使GE能够以该公司以前从未有过的方式模拟气流。最终,这项研究可以影响未来风力涡轮机的设计、控制和运行。它还旨在通过让研究人员更好地掌握大西洋的可用风力资源,推动美国东海岸的风力发电发展。据GE称,Summit将运行的模拟可以填补一些历史数据的空白。 阅读全文

发布于:2020-08-06T03:14:30Z  |  90次阅读  |  详细内容 »

理想汽车回应车辆起火事件:初步判断为疑似铁片击穿高压油管

北京时间8月7日凌晨消息,今日凌晨理想汽车在官方微博发布事故说明称,2020年8月6日16点09分左右,发生在广东省肇庆市二广高速四会、连州方向的车辆起火事故,原因初步判断为疑似铁片的物体被高速行驶的车辆卷起,并击穿了高压油管,造成燃油喷溅并被排气管高温引燃。具体的事故原因及详细分析结果,有待事故现场的详细勘察及分析。 阅读全文

发布于:2020-08-07T04:14:42Z  |  88次阅读  |  详细内容 »

TikTok今天公布新的内容政策 更好地保护其平台免受错误虚假信息影响

TikTok今天建立了新的内容政策,以更好地保护其平台在2020年美国大选前免受错误信息、选举干预和其他形式的操纵性内容影响。该公司表示,在受到美国禁令威胁后,目前正与微软进行前所未有的收购谈判,该公司现在明确禁止Deepfakes。Deepfakes是人工智能驱动的音频和视频操作,旨在误导人们对某人可能做过或说过的事情。 阅读全文

发布于:2020-08-06T01:45:38Z  |  83次阅读  |  详细内容 »

特朗普:微软等有意收购TikTok的公司同意向美政府付钱

北京时间8月6日消息,美国总统特朗普声称,微软和其他有意收购TikTok美国业务的公司已同意,如果最终敲定这笔收购交易,将向美国财政部“支付大笔款项”。特朗普周三对媒体表示:“如果你收购(TikTok),美国将使收购成为可能,因为没有我们,他们将无能为力。(需要)适当地支付一笔非常大的款项。这笔钱会流入美国财政部。顺便说一句,正在研究(收购)的微软和其他公司都同意了。” 阅读全文

发布于:2020-08-06T01:45:38Z  |  82次阅读  |  详细内容 »

小米十周年旗舰 常程晒小米10至尊纪念版包装盒

8月6日消息,小米集团副总裁常程晒出了小米超大杯小米10至尊纪念版包装盒。如图所示,小米10至尊纪念版包装盒与小米海报一致,主题突出“小米十周年(2010-2020)”,包装盒为银色设计,不排除小米10至尊纪念版推出银色的可能。 阅读全文

发布于:2020-08-06T20:15:11Z  |  80次阅读  |  详细内容 »

消息称台积电和富士康也有意投资ARM 苹果已放弃

多位知情人士今日称,包括台积电和富士康在内的苹果公司的主要供应商,都有兴趣投资英国芯片设计公司ARM。四年前,软银集团以320亿美元收购了ARM。如今,软银和银行家们已经接触了几家科技巨头,商讨潜在的ARM出售事宜。 阅读全文

发布于:2020-08-06T01:45:39Z  |  79次阅读  |  详细内容 »

App Annie:7月《王者荣耀》收入降至第3位 Pokémon Go夺冠

8月6日下午消息,7 月全球热门游戏下载排行榜与上月相比,Outfit7 的《汤姆猫总动员》下载热度不减,依然稳坐 Top 1 宝座;来自 Voodoo 的新作《搬砖我最强》紧随其后,继上月空降榜单第 5 名后,凭借其在印度市场优异成绩,拿下本月下载亚军。 阅读全文

发布于:2020-08-06T17:16:14Z  |  78次阅读  |  详细内容 »

三星和微软为Galaxy设备带来Xbox游戏

三星认为,下一个证明其手机威力的方式是与微软Xbox合作。这家科技巨头表示,它正在与微软合作,将流媒体游戏技术带到其手机和平板电脑上,首先是Galaxy Note 20和Galaxy Tab S7。三星总裁兼移动通信业务负责人TM Roh周三在三星直播的Unpacked活动上宣布新设备时表示,新设备的设计是像电脑一样工作,像游戏机一样玩游戏。 阅读全文

发布于:2020-08-06T03:14:28Z  |  76次阅读  |  详细内容 »

Galaxy Buds Live 外媒体验:佩戴舒适,降噪划水

在 8 月 5 日举办的“Galaxy Unpacked 2020”活动中,三星正式推出了新一代真无线耳机。这款名为 Galaxy Buds Live 的无线耳机最早于今年年初就被曝光,宛如“蚕豆”的独特外观设计让人眼前一亮,也因此衍生出了“腰子”“豆子”等调侃的称号。 阅读全文

发布于:2020-08-06T20:15:40Z  |  73次阅读  |  详细内容 »

科学家发难以置信的高密度行星 挑战行星形成理论

研究人员发现了一颗密度惊人的年轻系外行星,它正在围绕Hyades星团中的一颗年轻恒星运行。研究人员表示,这颗行星的大小和质量都异常密集。据估计,它的质量为25个地球,比海王星略小。这颗行星的存在使它与领先的行星形成理论不一致。 阅读全文

发布于:2020-08-06T01:45:38Z  |  73次阅读  |  详细内容 »

谷歌下架2500个被指与中国有关的YouTube频道

据外媒报道,谷歌表示,它已经删除了2500多个被指跟中国有关的YouTube频道。这家Alphabet旗下的公司表示,“作为持续调查相关协作影响力行动的部分举措(coordinated influence operation)”,这些频道在4月至6月间被删除。 阅读全文

发布于:2020-08-06T12:15:46Z  |  70次阅读  |  详细内容 »

柯达7.65亿美元联邦贷款引发争议 众议院民主党人启动调查

北京时间8月6日消息,美国众议院民主党人已启动一项对伊士曼柯达公司获得7.65亿美元联邦政府贷款的调查,并正寻求从一家参与发放资金的美国机构处获得相关文件。众议院金融服务委员会主席Maxine Waters等民主党议员表示,他们已寻求从美国国际开发金融公司获取有关该贷款的所有信息。 阅读全文

发布于:2020-08-06T03:14:29Z  |  70次阅读  |  详细内容 »

Firefox 79稳定版导致部分Mac用户陷入不明卡顿

Firefox 79 是 Mozilla 目前提供的最新稳定版本,包含了功能和安全性方面的全面保障。在 Windows 平台上,Firefox 79 的 WebRender 可充分发挥 Intel 和 AMD 显卡的性能。然而在 macOS 上,Firefox 79 的改进不仅不明显(主要集中在底层),甚至还引入了一个奇怪的 bug 。 阅读全文

发布于:2020-08-07T16:47:13Z  |  68次阅读  |  详细内容 »

微软等科技巨头已响应白宫发起的量子信息科学教育倡议

路透社报道称,微软已经加入了白宫发起的一项倡议,以促进全美 K-12 学校的量子信息科学教育(简称 QIS)。由美国国家科学基金会主持的这项工作,吸引了包括微软、亚马逊云服务、波音、Alphabet(谷歌)、IBM、洛克希德·马丁、伊利诺伊和芝加哥大学等公私机构合作伙伴,此外该基金会还向 QIS 教育项目提供了百万美元的拨款。 阅读全文

发布于:2020-08-06T09:14:55Z  |  68次阅读  |  详细内容 »

美银下调苹果股票评级至中性 称5G iPhone存风险

美国银行将苹果公司从其美国第一首选股列表中剔除,并将苹果股票评级由买入下调至中性,目标价从420美元上调至470美元。美银分析师Wamsi Mohan指出,自6月份以来,苹果公司的股价一直在快速上涨,而对2021年的预估几乎保持不变。 阅读全文

发布于:2020-08-06T01:45:37Z  |  68次阅读  |  详细内容 »

《福布斯》:Facebook山寨TikTok太过仓促

据《福布斯》报道,TikTok前途未卜之际,Facebook趁机在法国、日本、德国、英国和美国等全球50多个国家推出自己的短视频Instagram Reels,然而据Instagram用户曝光,除了图标不一样,该应用几乎是TikTok的翻版,两者的体验完全一致。 阅读全文

发布于:2020-08-06T17:16:29Z  |  67次阅读  |  详细内容 »

热门Linux命令