又露怯了【一】【SSH】

怎样在两个远程Linux服务器之间传输数据？下到本地在上传？还是用scp吧！

** SSH 是什么

SSH(the Secure Shell)， 由 IETF 的网络工作小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的安全协议。它是一个很流行的、强大的、基于软件的网络安全工具。任何时候，只要电脑向网络上发送数据，SSH都会自动加密。当接受到数据时，SSH会自动解密。这就是所谓的透明加密：用户象往常一样工作，并不会意识到他们的网络通讯受到了安全加密的保护。另外，SSH使用了现代的安全加密算法，可以用于大公司的关键应用。 SSH 为 Secure Shell 的缩写，传统的网络服务程序，如FTP、POP和Telnet其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。 

SSH采用了client/server体系结构。管理员在服务器上运行SSH server, 用户使用SSH client向服务器发出请求，比如“让我登录吧”，“传送个文件给我”，“请执行这个命令”。client与server之间的所有通讯都进行了安全加密，以防被人修改。

基于SSH的产品可以是client或server, 也可以两者都包括。Uinx上的产品通常包含client和server两者；其它平台通常只有client，现在也出现了基于Windows的服务器。

如果你是unix用户，你可以把SSH想象成unix r-commands(rsh, rlogin, rcp)的安全版本。

** SSH 不是什么

虽然SSH代表Secure Shell, 但是它并不是真正意义上的shell，他不是命令解释器，也不提供通配符扩展，命令历史等等。SSH的作用是创建一个“通道”，以便在远程计算机上运行 shell，类似于unix的rsh命令，但是在本地与远程计算机之间增加了端对端的加密。

SSH也不是一个完整的安全解决方案，不过所谓“完整的安全解决方案”是不存在的。它也不能防止“尝试闯入攻击”或“拒绝服务攻击”。它也无法消除病毒、木马、把咖啡洒到键盘上等其它危害。但是，它的确提供了稳固的、用户友好的加密与认证。

** SSH 协议

SSH是一个协议，不是一个产品。它说明了在网络上如何进行安全通讯。

SSH协议覆盖了认证、加密、网络数据传送的完整性等方面。

SSH协议框架中最主要的部分是三个协议：

 1.传输层协议（The Transport Layer Protocol）：传输层协议提供服务器认证，数据机密性，信息完整性等的支持。 
       2.用户认证协议（The User Authentication Protocol）：用户认证协议为服务器提供客户端的身份鉴别。 
       3.连接协议（The Connection Protocol）：连接协议将加密的信息隧道复用成若干个逻辑通道，提供给更高层的应用协议使用。
      同时还有为许多高层的网络安全应用协议提供扩展的支持。各种高层应用协议可以相对地独立于 SSH 基本体系之外，并依靠这个基本框架，通过连接协议使用 SSH 的安全机制。在客户端来看，SSH提供两种级别的安全验证。

第一种级别（基于密码的安全验证），知道帐号和密码，就可以登录到远程主机，并且所有传输的数据都会被加密。但是，可能会有别的服务器在冒充真正的服务器，无法避免被“中间人”攻击。

第二种级别（基于密匙的安全验证），需要依靠密匙，也就是你必须为自己创建一对密匙，并把公有密匙放在需要访问的服务器上。客户端软件会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在你在该服务器的用户根目录下寻找你的公有密匙，然后把它和你发送过来的公有密匙进行比较。如果两个密匙一致，服务器就用公有密匙加密“质询”（challenge）并把它发送给客户端软件。从而避免被“中间人”攻击。在服务器端，SSH也提供安全验证。

在第一种方案中，主机将自己的公用密钥分发给相关的客户端，客户端在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有密钥来解密数据，从而实现主机密钥认证，确定客户端的可靠身份。 在第二种方案中，存在一个密钥认证中心，所有提供服务的主机都将自己的公开密钥提交给认证中心，而任何作为客户端的主机则只要保存一份认证中心的公开密钥就可以了。在这种模式下，客户端必须访问认证中心然后才能访问服务器主机。

SSH协议框架中设计了大量可扩展的冗余能力，比如用户自定义算法、客户自定义密钥规则、高层扩展功能性应用协议。这些扩展大多遵循 IANA 的有关规定，特别是在重要的部分，像命名规则和消息编码方面。

简而言之，SSH在计算机之间构建网络连接，确保连接双方身份的真实性，同时，它还保证在此连接上传送的数据到达时不会被人更改，不会被他人窃听。

*** 协议、产品、客户端等术语

很多操作系统上都有基于SSH的产品，也就是实现了SSH协议的产品。既有自由发布的产品，也有商业产品。

** SSH 特点概述

那么，SSH能干什么呢？我们用几个例子来演示SSH的主要特点，例如，安全的远程登录，安全的文件拷贝，安全的远程命令调用等。

*** 安全远程登录

假设你在好几台机器上有帐号。典型的情况是这样的，你用家中的PC连接到你的ISP，然后使用telnet程序登录到其它机器上的帐号。糟糕的是， telnet程序在internet上用明文传送你的用户名和密码，怀有恶意的第三方可以截获它们。另外，你的整个telnet会话都可以被网络嗅听器监听。

SSH完全可以避免这些问题。你可以运行SSH客户程序ssh, 来代替不安全的telnet程序。例如，为了登录远程主机host.example.com，帐号的用户名为smith, 可以使用如下命令：

$ ssh -l simth host.example.com

客户端采用加密连接，为你在远程主机的SSH服务器上进行认证，就是说，你的用户名和密码离开本地机器之前进行了加密。随后，SSH服务器允许你登录，你的整个登录会话在client和server之间传送的时候都是被加密了的。因为加密是透明的，你感觉不到这与telnet登录之间有什么不同。

*** 安全的文件传送

假定你在两台Internet机器上有帐号，me@fisrtaccount.com 和metoo@secoundaccount.com, 现在你想把一个文件从第一个帐号传送给第二个帐号。文件中含有商业机密，必须防止被人窥视。传统的文件传输程序（ftp, rcp,email等）并不具有安全性。当数据包在网络上传送的时候，第三方可以截获并读取。为了解决这个问题，你可以用类似PGP这样的程序对 firstaccout.com上的那个文件进行加密，然后用传统方式进行传送，最后在secondaccout.com上解密。但是这个过程很枯燥，而且对用户来说是不透明的。

scp 就是 secure copy, 是用来进行远程文件拷贝的 . 数据传输使用 ssh1, 并且和 ssh1 使用相同的认证方式 , 提供相同的安全保证 . 与 rcp 不同的是 ,scp 会要求你输入密码如果需要的话 .

最简单的应用如下 :

scp 本地用户名 @IP 地址 : 文件名 1 远程用户名 @IP 地址 : 文件名 2

　　[ 本地用户名 @IP 地址 :] 可以不输入 , 可能需要输入远程用户名所对应的密码 .

　　可能有用的几个参数 :

　　-v 和大多数 linux 命令中的 -v 意思一样 , 用来显示进度 . 可以用来查看连接 , 认证 , 或是配置错误 .

　　-C 使能压缩选项 .

　　-P 选择端口 . 注意 -p 已经被 rcp 使用 .

　　-4 强行使用 IPV4 地址 .

　　-6 强行使用 IPV6 地址 .

　　-r Recursively copy entire directories.

　　如——

　　copy 本地的档案到远程的机器上

　　scp /etc/lilo.conf my@www.upsdn.net:/home/my

　　会将本地的 /etc/lilo.conf 这个档案 copy 到 www.upsdn.net，使用者my 的家目录下。

　　=====================================================

　　copy远程机器上的档案到本地来

　　scp my@www.upsdn.net:/etc/lilo.conf /etc

　　会将 http://www.upsdn.net 中 /etc/lilo.conf 档案 copy 到本地的 /etc 目录下。

*** 安全的远程命令执行

假如你是个系统管理员，需要在很多机器上运行同样的命令。你想观察局域网上4台不同机器（grape, lemon, kiwi, 和melon）上的用户活动情况，你可以用unix命令 /usr/ucb/w，干这个事儿。传统上，人们使用rsh, 假定rsh daemon(rshd)在远程计算机上的配置没问题的话，那么管理员可以用下面这个简单的脚本完成任务：

#! /bin/sh

for machine in grape lemon kiwi melon

do

rsh $machine /usr/ucb/w

done

虽然这个方法可以完成任务，但它是不安全的。/usr/ucb/w的执行结果在网络上是用明文传送的；如果你认为这个信息是机密的，那么所冒的风险是无法令人接受的。更糟的是，rsh的认证机制极其不安全，很容易被攻破。如果使用ssh命令，那么你只要：

#!/bin/sh

for machine in grape lemon kiwi melon

do

ssh $machine /usr/ucb/w

done

语法基本相同，输出也是相同的，但是在底层，命令本身及其执行结果都是加密传输的，与远程主机连接时可以采用更强壮的认证技术。

*** 密钥与认证代理

假设你在网络上的很多台机器上拥有帐号。出于安全考虑，你为不同的帐号选择了不同的密码；但是记住这么多密码是很困难的。而且，这本身就是一个安全问题。你键入密码的次数越多，输错密码的可能性就越大。（你是不是有时候本该输入用户名的时候输入了密码？糟糕，大家全看见了！在很多系统上，这种输入错误都会被记录在日志文件当中，这样你的密码就会以明文的形式泄露出去。）能不能只进行一次认证，然后就能安全地访问所有的帐号，不再重复地输入密码呢？

SSH具备各种认证机制，最安全的方式是基于密钥的，而不是基于密码的。所谓密钥就是一个可以唯一标识SSH用户身份的数字。处于安全考虑，密钥也是加密保存的；只有输入了秘密的passphrase才能把它解密。

使用密钥，以及一个叫做认证代理的程序，SSH可以替你在所有机器帐号上进行安全认证，而不用你记住许多密码再不厌其烦地输入这些密码。

工作过程是这样的：

1. 事先把一个叫做公钥的特殊文件放在你的远程机器帐号下（这个过程做一次就行了）。这样你就可以使用SSH客户程序访问远程帐号了。

2. 在你的本地机器上运行ssh-agent程序，这个程序在后台运行。

3. 选择登录会话需要的密钥（一个或多个）

4. 用ssh-add程序装入密钥。这个过程需要知道每个密钥的passphrase。

这时，ssh-agent程序已经在你的本地机器上运行了，你的密钥被保存在内存中。现在好了，你访问远程帐号时，根本就不用输入任何密码了！除非你从本地机器上退出登录或者终止ssh-gent程序，这个设置一直都不会变。

*** 访问控制

假如你想让别人使用你的计算机帐号，但只是用于特定目的。例如，当你出门的时候，想让秘书阅读你的邮件，但不想让秘书用你的帐号干别的事儿。有了SSH，你不用泄露或更改密码，就可以让秘书使用你的帐号，而且可以只允许她运行email程序。设置这种受限访问，不需要系统管理员权限。

*** 端口转发

SSH可以增强其它基于TCP/IP的应用程序(比如telnet, ftp, X Window)的安全性。有种叫做端口转发(port forwarding)或者安全隧道(tunneling)的技术，可以改变TCP/IP连接的递送路线，让它通过SSH连接，透明地进行端对端的加密。端口转发还可以让应用程序穿透防火墙，有时候防火墙禁止使用这些程序，利用端口转发可以绕开防火墙的阻拦。

假定你登录的机器离办公室很远，而你想访问办公室的内部新闻服务器,news.yoyodyne.com。yoyodyne网络是与Internet相连的，但是网络防火墙阻挡了大部分入境端口，特别是新闻端口：119。但是，防火墙允许入境的SSH连接，因为SSH的安全性很高，yoyodnye网络的那个近乎偏执的网管也对它深信不疑。SSH可以建立一个安全隧道，把任意的本地TCP端口（比如3002）与远程主机的新闻端口连接起来。用下面这条命令就行了：

$ ssh -L 3002:localhost:119 news.yoyodyne.com

这条命令的意思是：“ssh，请在本地机器的TCP端口3002与news.yoyodyne.com的新闻端口（TCP端口22）之间建立一个安全连接。”现在，只要让你的新闻阅读程序连接到本地机器的3002端口，就可以安全地阅读新闻了。ssh创建的安全隧道，自动地与 news.yoyodyne.com 上的新闻服务器通讯，通过隧道的新闻数据受到了加密保护。

附：ssh使用技巧(http://blog.chinaunix.net/u/25102/showart_197571.html)

        一 前言

关于 ssh 的好处, 相信不用我多说了吧?
简而言之, 之前的 rpc command 与 telnet 都全可用 ssh 代替.
比方如下的这些常见功能:
- 远程登录
ssh user@remote.machine
- 远程执行
ssh user@remote.machine 'command ...'
- 远程复制
scp user@remote.machine:/remote/path /local/path
scp /local/path user@remote.machine:/remote/path
- X forward
ssh -X user@remote.machine
xcommand ...
- Tunnel / Portforward
ssh -L 1234:remote.machine:4321 user@remote.machine
ssh -R 1234:local.machine:4321 user@remote.machine
ssh -L 1234:other.machine:4321 user@remote.machine

 

二, 实作

 

1) 禁止 root 登录

# vi /etc/ssh/sshd_config
PermitRootLogin no

2) 废除密码登录, 强迫使用 RSA 验证(假设 ssh 账户为 user1 )

# vi /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile   .ssh/authorized_keys
PasswordAuthentication no
# service sshd restart
# su - user1
$ mkdir ~/.ssh 2>/dev/null
$ chmod 700 ~/.ssh
$ touch ~/.ssh/authorized_keys
$ chmod 644 ~/.ssh/authorized_keys

--------------------------------------------------
转往 client 端:
$ ssh-keygen -t rsa
(按三下 enter 完成﹔不需设密码，除非您会用 ssh-agent 。)
$ scp ~/.ssh/id_rsa.pub user1@server.machine:id_rsa.pub
(若是 windows client, 可用 puttygen.exe 产生 public key,
然后复制到 server 端后修改之, 使其内容成为单一一行.)
---------------------------------------------------

回到 server 端:
$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
$ rm ~/id_rsa.pub
$ exit

3) 限制 su / sudo 名单:

# vi /etc/pam.d/su
auth required /lib/security/$ISA/pam_wheel.so use_uid
# visudo
%wheel ALL=(ALL)   ALL
# gpasswd -a user1 wheel

4) 限制 ssh 使用者名单

# vi /etc/pam.d/sshd
auth     required   pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
# echo user1 >> /etc/ssh_users

5) 封锁 ssh 联机并改用 web 控管清单

# iptables -I INPUT -p tcp --dport 22 -j DROP
# mkdir /var/www/html/ssh_open
# cat > /var/www/html/ssh_open/.htaccess < AuthName "ssh_open"
AuthUserFile /var/www/html/ssh_open/.htpasswd
AuthType basic
require valid-user
END
# htpasswd -c /var/www/html/ssh_open/.htpasswd user1
(最好还将 SSL 设起来, 或只限 https 联机更佳, 我这里略过 SSL 设定, 请读者自补.)
(如需控制联机来源, 那请再补 Allow/Deny 项目, 也请读者自补.)
# cat > /var/www/html/ssh_open/ssh_open.php < //Set dir path for ip list
$dir_path=".";

//Set filename for ip list
$ip_list="ssh_open.txt";

//Get client ip
$user_ip=$_SERVER['REMOTE_ADDR'];

//allow specifying ip if needed
if (@$_GET['myip']) {
$user_ip=$_GET['myip'];
}

//checking IP format
if ($user_ip==long2ip(ip2long($user_ip))) {

//Put client ip to a file
if(@!($file = fopen("$dir_path/$ip_list","w+")))
{
    echo "Permission denied!!
";
    echo "Pls Check your rights to dir $dir_path or file $ip_list";
}
else
{
    fputs($file,"$user_ip");
    fclose($file);
    echo "client ip($user_ip) has put into $dir_path/$ip_list";
}
} else {
echo "Invalid IP format!!
ssh_open.txt was not changed.";
}
?>
END
# touch /var/www/html/ssh_open/ssh_open.txt
# chmod 640 /var/www/html/ssh_open/*
# chgrp apache /var/www/html/ssh_open/*
# chmod g+w /var/www/html/ssh_open/ssh_open.txt
# chmod o+t /var/www/html/ssh_open
# service httpd restart
# mkdir /etc/iptables
# cat > /etc/iptables/sshopen.sh < #!/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

list_dir=/var/www/html/ssh_open
list_file=$list_dir/ssh_open.txt
chain_name=ssh_rules
mail_to=root

# clear chain if exits, or create chain.
iptables -L -n | /bin/grep -q "^Chain $chain_name" && {
    iptables -F $chain_name
    true
} || {
    iptables -N $chain_name
    iptables -I INPUT -p tcp --dport 22 -j $chain_name
}

# clear chain when needed
[ "$1" = clear ] && {
    iptables -F $chain_name
    exit 0
}

# do nothing while list is empty
[ -s $list_file ] || exit 1

# add rule
iptables -A $chain_name -p tcp --dport 22 -s $(< $list_file) -j ACCEPT && \
echo "ssh opened to $(< $list_file) on $(date)" | mail -s "sshopen" $mail_to
END
# chmod +x /etc/iptables/sshopen.sh
# echo -e 'sshopen\t\t1234/tcp' >> /etc/services
# cat > /etc/xinetd.d/sshopen < service sshopen
{
    disable = no
    socket_type   = stream
    protocol     = tcp
    wait         = no
    user         = root
    server       = /etc/iptables/sshopen.sh
}
# iptables -I INPUT -p tcp --dport 1234 -j ACCEPT
# cat > /etc/cron.d/sshopen < */5 * * * *   root   /etc/iptables/sshopen.sh clear
END

---------------------------
转往 client 端
在 browser URL 输入:
http://server.machine/ssh_open/ssh_open.php?myip=1.2.3.4
(若不指定 ?myip=1.2.3.4 则以 client 当时 IP 为准, 若没经 proxy 的话.)
如此, server 端的 ssh_open.txt 文件只有单一记录, 每次盖写.
接着:
$ telnet server.machine 1234
然后你有最多 5 分钟时间用 ssh 联机 server !
---------------------------

此步骤的基本构思如下:
5.1) 将 sshd 的 firewall 联机全部 block 掉.
5.2) 然后在 httpd 那设一个 directory, 可设 ssl+htpasswd+allow/deny control,
然后在目录内写一个 php 将 browser ip 记录于一份 .txt 文字文件里.
视你的转写能力, 你可自动抓取 browser 端的 IP, 也可让 browser 端传入参数来指定.
文字文件只有单一记录, 每次盖写.
5.3) 修改 /etc/services , 增加一个新项目(如 xxx), 并指定一个新 port(如 1234)
5.4) 再用 xinetd 监听该 port , 并启动令一只 script, 设定 iptables , 从 step2 的清单里取得 IP, 为之打开 ssh 联机.
5.5) 设 crontab 每数分中清理 iptables 关于 ssh 联机的规则. 这并不影响既有联机, 若逾时再连, 则重复上述.

 

6) 要是上一步骤没设定, 你或许会担心过多的人来 try 你的 ssh 服务的话:
# cat > /etc/iptables/sshblock.sh < #!/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

LOG_FILE=/var/log/secure
KEY_WORD="Illegal user"
KEY_WORD1="Failed password for root"
PERM_LIST=/etc/firewall/bad.list.perm
LIMIT=5
MAIL_TO=root
IPT_SAV="$(iptables-save)"
bad_list=$(egrep "$KEY_WORD" $LOG_FILE | awk '{print $NF}' | xargs)
bad_list1=$(egrep "$KEY_WORD1" $LOG_FILE | awk '{print $11}' | xargs)
bad_list="$bad_list $bad_list1"

for i in $(echo -e "${bad_list// /\n}" | sort -u)
do
    hit=$(echo $bad_list | egrep -o "$i" | wc -l)
    [ "$hit" -ge "$LIMIT" ] && {
          echo "$IPT_SAV" | grep -q "$i .*-j DROP" || {
              echo -e "\n$i was dropped on $(date)\n" | mail -s "DROP by ${0##*/}: $i" $MAIL_TO
              iptables -I INPUT -s $i -j DROP
          }
          egrep -q "^$i$" $PERM_LIST || echo $i >> $PERM_LIST
    }
done
END
# chmod +x /etc/firewall/sshblock.sh
# cat >> /etc/hosts.allow < sshd: ALL: spawn ( /etc/firewall/sshblock.sh )& : ALLOW
END

这样, 那些乱 try SSH 的家伙, 顶多能试 5 次(LIMIT 可调整), 然后就给 BLOCK 掉了.
此外, 在 PERM_LIST 的 ip, 也可提供给 iptables 的初始 script , 来个永久性封闭:
for i in $(< $PERM_LIST)
do
    /sbin/iptables -I INPUT -s $i -j DROP
done  

7) 还有, 你想知道有哪些人对你做 full range port scan 的话:

# iptables -I INPUT -p tcp --dport 79 -j ACCEPT
cat > /etc/xinetd.d/finger < service finger
{
    socket_type   = stream
    wait         = no
    user         = nobody
    server       = /usr/sbin/in.fingerd
    disable       = no
}
END
# cat >> /etc/hosts.allow < in.fingerd: ALL : spawn ( echo -e "\nWARNING %a was trying finger.\n$(date)" | mail -s "finger from %a" root ) & : DENY
END

这里, 我只是设为发信给 root.
事实上, 你可修改为起动 firewall 将 %a 这个传回值给 ban 掉也行.
不过, 对方要是有选择性的做 port scan , 没扫到 finger 的话, 那当然就没用了...

 

 

SSH客户端命令
Submitted by amxku on 2006, June 14, 11:35 PM. 帝国系统
ssh –l user –p 22 upsdn.net

输入密码即可登录

l login_name

指定登入于远程机器上的使用者，若没加这个选项，而直接打 ssh lost 也是可以的，它是以读者目前的使用者去做登入的动作。 例如： ssh –l root http://www.upsdn.net

===================================================

-c blowfish|3des

在期间内选择所加密的密码型式。预设是3des，3des(作三次的资料加密) 是用三种不同的密码键作三次的加密-解密-加密。 blowfish 是一个快速区块密码编制器，它比3des更安全以及更快速。

===================================================

-v

Verbose 模式。使ssh 去印出关于行程的除错讯息，这在连接除错，认 证和设定的问题上有很的帮助。

===================================================

-f

要求ssh 在背景执行命令，假如ssh要询问密码或通行证，但是使用者 想要它在幕后执行就可以用这个方式，最好还是加上-l user 例如在远程场所上激活 X11，有点像是 ssh –f host xterm 。

===================================================

-i identity_file

选择所读取的 RSA 认证识别的档案。预设是在使用者的家目录 中的 .ssh/identity

===================================================

-n

重 导 stdin 到 /dev/null (实际上是避免读取 stdin)。必须当 ssh 在幕后执行时才使用。常见的招数是使用这选项在远程机器上去执行 X11 的程序 例如，ssh -n shadows.cs.hut.fi emacs &，将在 shadows.cs.hut.fi 上激活 emace，并且 X11 连接将自动地在加密的信道上发送。ssh 程序将把它放 在幕后。(假如ssh需要去询问密码时，这将不会动作)

===================================================

-t

强制配置 pseudo-tty。这可以在远程机器上去执行任意的 screen-based 程 式，例如操作 menu services。

===================================================

-C

要 求压缩所有资料(包含 stdin, stdout,stderr 和 X11 和 TCP/IP 连接) 压缩演算规则与 gzip 相同，但是压缩的等级不能控制。在调制解调器或 联机速度很慢的地方，压缩是个很好的选择，但如果读者的网络速路很 快的话，速度反而会慢下来。

=====================================================

-p port

连接远程机器上的 port。 不用这个选项，默认就是22

======================================================

-P

使用非特定的 port 去对外联机。如果读者的防火墙不淮许从特定的 port去联机时，就可以使用这个选项。注意这个选项会关掉 RhostsAuthentication 和 RhostsRSAAuthentication。

=====================================================

-L listen-port:host:port

指派本地的 port 到达端机器地址上的 port。

====================================================

-R listen-port:host:port

指派远程上的 port 到本地地址上的 port。

-2 强制 ssh 去使用协议版本 2。

-4 强制 ssh 去使用 IPv4 地址。

-6 强制 ssh 去使用 IPv6 地址。

=====================================================

-g

允许远程主机去连接本地指派的 ports。

-a

关闭认证代理联机。

-e character

设定跳脱字符

 

scp 使用 scp 在远程机器上 copy 档案

======================================================

copy 本地的档案到远程的机器上

scp /etc/lilo.conf my@www.upsdn.net:/home/my

会将本地的 /etc/lilo.conf 这个档案 copy 到 www.upsdn.net，使用者my 的家目录下。

=====================================================

copy远程机器上的档案到本地来

scp my@www.upsdn.net:/etc/lilo.conf /etc

会将 http://www.upsdn.net 中 /etc/lilo.conf 档案 copy 到本地的 /etc 目录下。

=====================================================

保持从来源 host 档案的属性

scp –p my@www.upsdn.net:/etc/lilo.conf /etc

ssh-keygen

产生公开钥 (pulib key) 和私人钥 (private key)，以保障 ssh 联机的安性.

当 ssh 连 shd 服务器，会交换公开钥上，系统会检查 /etc/ssh_know_hosts 内储存的 key，如果找到客户端就用这个 key 产生一个随机产生的session key 传给服务器，两端都用这个 key 来继续完成 ssh 剩下来的阶段。

它会 产生 identity.pub、identity 两个档案，私人钥存放于identity，公开钥 存放于 identity.pub 中，接下来使用 scp 将 identity.pub copy 到远程机器的家目录下.ssh下的authorized_keys。 .ssh/authorized_keys(这个 authorized_keys 档案相当于协议的 rhosts 档案)，之后使用者能够不用密码去登入。RSA的认证绝对是比 rhosts 认证更来的安全可靠。

执行：

scp identity.pub my@sohu.com:.ssh/authorized_keys

若在使用 ssh-keygen 产生钥匙对时没有输入密码，则如上所示不需输入密码即可从 http://www.upsdn.net去登入 sohu.com。

在此，这里输入的密码可以跟帐号的密码不同，也可以不输入密码。

 

SSH protocol version 1：

每一部主机都可以使用 RSA 加密方式来产生一个 1024-bit 的 RSA Key ，这个 RSA 的加密方式，主要就是用来产生公钥与私钥的演算方法！这个 version 1 的整个联机的加密步骤可以简单的这么看：

1. 当每次 SSH daemon (sshd) 激活时，就会产生一支 768-bit 的公钥(或称为 server key)存放在 Server 中；

2. 若有 client 端的需求传送来时，那么 Server 就会将这一支公钥传给 client ，而 Client 藉由比对本身的 RSA 加密方式来确认这一支公钥；

3. 在 Client 接受这个 768-bit 的 server key 之后，Client 自己也会随机产生一支 256-bit 的私钥(host key)，并且以加密的方式将 server key 与 host key 整合成一支完整的 Key ，并且将这支 Key 也传送给 server ；

4. 之后，Server 与 Client 在这次的联机当中，就以这一支 1024-bit 的 Key 来进行资料的传递！

当然啦，因为 Client 端每次的 256-bit 的 Key 是随机取的，所以你这次的联机与下次的联机的 Key 就会不一样啦！

　

==============================================

SSH protocol version 2：

与 version 1 不同的是，在 version 2 当中将不再产生 server key 了，所以，当 Client 端联机到 Server 端时，两者将藉由 Diffie-Hellman key 的演算方式来产生一个分享的 Key ，之后两者将藉由类似 Blowfish 的演算方式进行同步解密的动作！

每一个 sshd 都提供这两个版本的联机，而决定这两种模式联机的，就必需要在 client 端联机时选择联机的模式才能确认。目前预设情况下，会自动使用 version 2 的联机模式喔！而由于我们的联机资料中，经过了这个 Public 与 Private Key 的加密、解密动作，所以在中间的传送过程中，当然就比较安全的多啰！

如果直接以 ssh hostname 来连接进入 hostname 这个主机时，则进入 hostname 这个主机的『帐号名称』将会是目前你所在的这个环境当中的使用者帐号！以上面为例，因为我是以 root 的身份在执行，所以如果我执行了『 ssh host.domain.name 』时，那么对方 host.domain.name 这部主机，就会以 root 的身份来让我进行密码确认的登入动作！因此，为了避免这样的麻烦，通常我都是以简单的 e-mail 的写法来登入远方的主机，例如『ssh user@hostname 』即表示，我是以 user 这个帐号去登入 hostname 这部主机的意思。当然，也可以使用 -l username 这样的形式来书写！登入对方主机之后，其它的所有执行行为都跟在 Linux 主机内没有两样～所以，真的是很简单吧！ ^_^ 这样就可以达到远程控管主机的目的了！此外，在预设的情况下， SSH 是『允许你以 root 的身份登入』喔！呵呵！更是爽快啦！此外，请特别留意的是，当您要连接到对方的主机时，如果是首次连接，那么 Server 会问你，你的联机的 Key 尚未被建立，要不要接受 Server 传来的 Key ，并建立起联机呢？呵呵！这个时候请『务必要输入 yes 而不是 y 或 Y』，这样程序才会接受

sftp -l username hostname 或者 sftp user@hosname

进入到 sftp 之后，那就跟在一般 FTP 模式下的操作方法没有两样

cd

ls dir

mkdir

rmdir

pwd

chgrp

chown

chmod

ln oldname newname

rm path

rename oldname newname

exit bye