openssh套件中的客戶端連接工具
ssh命令 是openssh套件中的客戶端連接工具,可以給予ssh加密協議實現安全的遠程登錄服務器。
ssh(選項)(參數)
-1:強制使用ssh協議版本1;
-2:強制使用ssh協議版本2;
-4:強制使用IPv4地址;
-6:強制使用IPv6地址;
-A:開啟認證代理連接轉發功能;
-a:關閉認證代理連接轉發功能;
-b:使用本機指定地址作為對應連接的源ip地址;
-C:請求壓縮所有數據;
-F:指定ssh指令的配置文件;
-f:后臺執行ssh指令;
-g:允許遠程主機連接主機的轉發端口;
-i:指定身份文件;
-l:指定連接遠程服務器登錄用戶名;
-N:不執行遠程指令;
-o:指定配置選項;
-p:指定遠程服務器上的端口;
-q:靜默模式;
-X:開啟X11轉發功能;
-x:關閉X11轉發功能;
-y:開啟信任X11轉發功能。
# ssh 用戶名@遠程服務器地址
ssh user1@172.24.210.101
# 指定端口
ssh -p 2211 root@140.206.185.170
# ssh 大家族
ssh user@ip -p22 # 默認用戶名為當前用戶名,默認端口為 22
ssh-keygen # 為當前用戶生成 ssh 公鑰 + 私鑰
ssh-keygen -f keyfile -i -m key_format -e -m key_format # key_format: RFC4716/SSH2(default) PKCS8 PEM
ssh-copy-id user@ip:port # 將當前用戶的公鑰復制到需要 ssh 的服務器的 ~/.ssh/authorized_keys,之后可以免密登錄
英文:Tatu Ylonen
編譯:Linux中國/kenxx
來源:https://linux.cn/article-8476-1.html
為什么 SSH(安全終端)的端口號是 22 呢,這不是一個巧合,這其中有個我(Tatu Ylonen,SSH 協議的設計者)未曾訴說的故事。
1995 年春我編寫了 SSH 協議的最初版本,那時候 telnet 和 FTP 正被廣泛使用。
當時我設計 SSH 協議想著是為了替代 telnet(端口 23)和 ftp(端口21)兩個協議的,而端口 22 是空閑的。我想當然地就選擇了夾在 telnet 和 ftp 的端口中間的數字。我覺得端口號雖然是個小事但似乎又存在著某種信念。但我到底要怎么拿到那個端口號呢?我未曾擁有過任何一個端口號,但我卻認識幾個擁有端口號的人!
在那時取得端口號的事情其實說來挺簡單的。畢竟當時的因特網(Internet)并不是很大,是因特網爆炸的早期。端口號分配的活兒是 IANA(Internet Assigned Numbers Authority,互聯網數字分配機構)干的。在那時這機構可相當于是因特網先驅 Jon Postel 和 Joyce K. Reynolds 一般的存在。Jon 參與編寫了多項主要的協議標準,例如 IP(RFC 791)、ICMP(RFC 792)和 TCP(RFC 793)等一些你應該早有耳聞的協議。
我可以說是敬畏 Jon 先生的,他參與編寫了幾乎所有主要的因特網標準文檔(Internet RFC)!
1995 年 7 月,就在我發布 ssh-1.0 前,我發送了一封郵件給 IANA:
From ylo Mon Jul 10 11:45:48 +0300 1995
From: Tatu Ylonen
To: Internet Assigned Numbers Authority
Subject: 請求取得一個端口號
Organization: 芬蘭赫爾辛基理工大學親愛的機構成員:
我寫了個可以在不安全的網絡環境中安全地從一臺機器登錄到另一臺機器的程序。它主要是對現有的 telnet 協議以及 rlogin 協議的功能性提升和安全性改進。說的具體些,就是可以防御 IP、DNS > 或路由等欺騙行為。我打算將我的軟件免費地發布在因特網上,以得到廣泛地使用。
我希望為該軟件注冊一個特權端口號,要是這個端口號在 1 到 255 > 之間就更好了,這樣它就可以用在名字服務器的 WKS 字段中了。
我在附件中附上了協議標準的草案。這個軟件已經在本地運行了幾個月了,我已準備在獲得端口號后就發布。如果端口號分配一事安排的及時,我希望這周就將要發布的軟件準備好。我目前在 beta 版測試時使用的端口號是 > 22,如果要是能夠分配到這個端口,我就不用做什么更改了(目前這個端口在列表中還是空閑的)。
軟件中服務的名稱叫 ssh(系 Secure Shell 的縮寫)。
您最真誠的,
Tatu Ylonen
(LCTT 譯注:DNS 協議中的 WKS 記錄類型意即“眾所周知的業務描述”,是類似于 A、MX 這樣的 DNS 記錄類型,用于描述某個 IP 所提供的服務,目前鮮見使用。參見: https://docs.oracle.com/cd/E19683-01/806-4077/dnsintro-154/index.html 。)
第二天,我就收到了 Joyce 發來的郵件:
Date: Mon, 10 Jul 1995 15:35:33 -0700
From: jkrey@ISI.EDU
To: ylo@cs.hut.fi
Subject: 回復:請求取得一個端口號
Cc: iana@ISI.EDU
Tatu,
我們將端口號 22 分配給 ssh 服務了,你目前是該服務的主要聯系人。
Joyce
這就搞定了!SSH 的端口正式使用 22!!!
1995 年 7 月 12 日上午 2 點 21 分,我給我在赫爾辛基理工大學的測試者們宣布了 SSH 的最后 beta 版本。當日下午 5 點 23 分,我給測試者們宣布了 ssh-1.0.0 版本。1995 年 7 月 12 日,下午 5 點 51 分,我將一份 SSH(安全終端)的宣告發給了 cypherpunks@toad.com 的郵件列表,此外我還將其發給了一些新聞組、郵件列表和一些在因特網上討論相關話題的人們。
SSH 服務器是默認運行在 22 號端口上的。然而,由于某些原因需要,它也可以運行在別的端口上。比如為了方便測試使用,又比如在同一個宿主機上運行多個不同的配置。當然,極少情況下,不使用 root 權限運行它也可以,比如某些必須運行在非特權的端口的情況(端口號大于等于 1024)。
端口號可以在配置文件 /etc/ssh/sshd_config 中將 Port 22 更改。也可以使用 -p 選項運行 sshd。SSH 客戶端和 sftp 程序也可以使用 -p 選項。
SSH 是少數通常被許可穿越防火墻的協議之一。通常的做法是不限制出站的 SSH 連接,尤其常見于一些較小的或者比較技術型的組織中,而入站的 SSH 連接通常會限制到一臺或者是少數幾臺服務器上。
在防火墻中配置出站的 SSH 連接十分簡單。如果完全限制了外發連接,那么只需要創建一個允許 TCP 端口 22 可以外發的規則即可。如果你想限制目標地址,你可以限制該規則僅允許訪問你的組織放在云端的外部服務器或保護該云端的跳板服務器即可。
其實不限制出站的 SSH 連接雖然是可以的,但是是存在風險的,SSH 協議是支持 通道訪問 的。最初的想法是在外部服務器搭建一個 SSH 服務監聽來自各處的連接,將進入的連接轉發到組織,并讓這個連接可以訪問某個內部服務器。
在某些場景下這當然非常的方便。開發者和系統管理員經常使用它打開一個通道以便于他們可以遠程訪問,比如在家里或者在旅行中使用筆記本電腦等場景。
然而通常來講這些做法是違背安全策略的,跳過了防火墻管理員和安全團隊保護的控制無疑是違背安全策略的,比如這些: PCI、HIPAA、NIST SP 800-53 等。它可以被黑客和外國情報機構用來在組織內留下后門。
CryptoAuditor 是一款可以控制通道穿過防火墻或者一組云端服務器入口的產品。該款產品可以配合 通用 SSH 密鑰管理器(Universal SSH Key Manager) 來獲得對 主機密鑰(host keys)的訪問,以在啟用防火墻并阻擋未授權轉發的場景中解密 SSH 會話。
對于入站訪問而言,這里有幾點需要說一下:
配置防火墻,并轉發所有去往 22 端口的連接只能流向到一個特定的內部網絡 IP 地址或者一個 DMZ 主機。在該 IP 上運行 CryptoAuditor 或者跳板機來控制和審查所有訪問該組織的連接。 在防火墻上使用不同的端口訪問不同的服務器。 只允許使用 IPsec 協議這樣的 VPN(虛擬專用網)登錄后連接 SSH 服務。
iptables 是一款內建在 Linux 內核的宿主防火墻。通常配置用于保護服務器以防止被訪問那些未明確開啟的端口。
如果服務器上啟用了 iptables,使用下面的命令將可以允許進入的 SSH 訪問,當然命令需要以 root 身份運行。
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
如果你想將上述命令創建的規則持久地保存,在某些系統版本中,可使用如下命令:
service iptables save