Tag Archive: linux,ssh

三月 28th, 2017

SSH (指 SSH 客户端)是一个用于访问远程主机的程序,它使得用户能够 在远程主机上执行命令。这是在登录远程主机中的最受推崇的方法之一,因为其设计目的就是在非安全网络环境上为两台非受信主机的通信提供安全加密。

SSH 使用系统全局以及用户指定(用户自定义)的配置文件。在本文中,我们将介绍如何创建一个自定义的 ssh 配置文件,并且通过特定的选项来连接到远程主机。

先决条件:

  1. 你必须 在你的桌面 Linux 上安装好 OpenSSH 客户端
  2. 了解通过 ssh 进行远程连接的常用选项。

SSH 客户端配置文件

以下为 ssh 客户端配置文件:

  1. /etc/ssh/ssh_config 为默认的配置文件,属于系统全局配置文件,包含应用到所有用户的 ssh 客户端的设置。
  2. ~/.ssh/config 或者 $HOME/.ssh/config 为用户指定/自定义配置文件,这个文件中的配置只对指定的用户有效,因此,它会覆盖掉默认的系统全局配置文件中的设置。这也是我们要创建和使用的文件。

默认情况下,用户是通过在 ssh 中输入密码来获取验证的,你可以以一个简单的步骤来 使用 Keygen 来设置 ssh 无密码登录

注:如果你的系统上不存在 ~/.ssh 目录,那就手动创建它,并设置如下权限:

  1. $ mkdir -p ~/.ssh
  2. $ chmod 0700 ~/.ssh

以上的 chmod 命令表明,只有目录属主对该目录有读取、写入和执行权限,这也是 ssh 所要求的设置。

如何创建用户指定的 SSH 配置文件

该文件并不会被默认创建的,所以你需要使用具有读取/写入权限的用户来创建它。

  1. $ touch ~/.ssh/config
  2. $ chmod 0700 ~/.ssh/config

上述文件包含由特定主机定义的各个部分,并且每个部分只应用到主机定义中相匹配的部分。

~/.ssh/config 文件的常见格式如下,其中所有的空行和以 ‘#’ 开头的行为注释:

  1. Host host1
  2. ssh_option1=value1
  3. ssh_option2=value1 value2
  4. ssh_option3=value1
  5. Host host2
  6. ssh_option1=value1
  7. ssh_option2=value1 value2
  8. Host *
  9. ssh_option1=value1
  10. ssh_option2=value1 value2

如上格式详解:

  1. Host host1 为关于 host1 的头部定义,主机相关的设置就从此处开始,直到下一个头部定义 Host host2 出现,这样形成一个完整的定义。
  2. host1 和 host2 是在命令行中使用的主机别名,并非实际的远程主机名。
  3. 其中,如 sshoption1=value1、sshoption2=value1 value2 等配置选项将应用到相匹配的主机,可以缩进以看起来更整齐些。
  4. 对于 ssh_option2=value1 value2 这样的选项,ssh 执行时会按照顺序优先使用 value1 的值。
  5. 头部定义 Host * (其中 * 为匹配模式/通配符,匹配零个或多个字符) 会匹配零个或者多个主机。

仍旧以上述的格式为例,ssh 也是也这样的形式类读取配置文件的。如果你执行 ssh 命令来访问远程主机 host1,如下:

  1. $ ssh host1

以上 ssh 命令会进行一下动作:

  1. 匹配配置文件中主机别名 host1,并使用头部定义中的各个设置项。
  2. 继续匹配下一个主机定义,然后发现命令行中提供的主机名没有匹配的了,所以接下来的各个设置项会被略过。
  3. 最后执行到最后一个主机定义 Host *, 这会匹配所有的主机。这里,会将接下来的所有设置选项应用到所有的主机连接中。但是它不会覆写之前已经有主机定义的那些选项。
  4. ssh host2 与此类似。

如何使用用户指定的 SSH 配置文件

在你理解了 ssh 客户端配置文件的工作方式之后,你可以通过如下方式来创建它。记得使用你的服务器环境中对应的选项、值 (主机别名、端口号、用户名等)。

通过你最喜欢的编辑器来打开配置文件:

  1. $ vi ~/.ssh/config

并定义必要的部分:

  1. Host fedora25
  2. HostName 192.168.56.15
  3. Port 22
  4. ForwardX11 no
  5. Host centos7
  6. HostName 192.168.56.10
  7. Port 22
  8. ForwardX11 no
  9. Host ubuntu
  10. HostName 192.168.56.5
  11. Port 2222
  12. ForwardX11 yes
  13. Host *
  14. User tecmint
  15. IdentityFile ~/.ssh/id_rsa
  16. Protocol 2
  17. Compression yes
  18. ServerAliveInterval 60
  19. ServerAliveCountMax 20
  20. LogLevel INFO

以上 ssh 配置文件的详细解释:

  1. HostName – 定义真正要登录的主机名,此外,你也可以使用数字 IP 地址,不管是在命令行或是 HostName 定义中都允许使用其中任一种。
  2. User – 指定以哪一个用户来登录。
  3. Port – 设置连接远程主机的端口,默认是 22 端口。但必须是远程主机的 sshd 配置文件中定义的端口号。
  4. Protocol – 这个选项定义了优先使用 ssh 支持的协议版本。常用的值为 ‘1’ 和 ‘2’,同时使用两个协议版本则必须使用英文逗号隔开。
  5. IdentityFile – 指定一个用于读取用户 DSA、Ed25519、ECDSA 等授权验证信息的文件。
  6. ForwardX11 – 定义 X11 连接是否自动重定向到安全通道和 DISPLAY 设置。有两个可以设置的值,即 yes 或 no
  7. Compression – 默认值为 no,如果设置为 yes,则在连接远程主机过程中使用压缩进行传输。
  8. ServerAliveInterval – 设置当没有收到服务器响应 (或者数据))时的超时时间,单位为秒,ssh 会通过加密信道发送信息,请求服务器响应。默认值为 0,这意味着 ssh 不会向服务器发送响应请求;如果定义了 BatchMode 选项,则默认是 300 秒。
  9. ServerAliveCountMax – 设置服务器在没有接收到服务器的任何响应时,由服务器发送的活动信息数量。
  10. LogLevel – 定义 ssh 登录信息的的日志冗余级别。允许的值为:QUIETFATALERRORINFOVERBOSEDEBUGDEBUG1DEBUG2DEBUG3,默认为 INFO

连接任意远程主机的标准方法是在上述两个文件中定义第二个部分(我连接的是 CentOS 7)。一般情况下,我们这样输入命令:

  1. $ ssh -i ~/.ssh/id_rsa -p 22 tecmint@192.168.56.10

然而,使用了 ssh 客户端配置文件之后,我们还可以这样:

  1. $ ssh centos7

你也可以在 man 帮助页面寻找更多的设置选项和使用实例:

  1. $man ssh_config

至此,文毕。我们在文中向你介绍了在 Linux 中如何使用用户指定 (自定义) 的 ssh 客户端配置文件。通过下方的反馈表单来写一些与本文的相关的想法吧。

 

原文链接:https://linux.cn/article-8306-1.html

三月 24th, 2017

SSH (指 SSH 客户端)是一个用于访问远程主机的程序,它使得用户能够 在远程主机上执行命令。这是在登录远程主机中的最受推崇的方法之一,因为其设计目的就是在非安全网络环境上为两台非受信主机的通信提供安全加密。

SSH 使用系统全局以及用户指定(用户自定义)的配置文件。在本文中,我们将介绍如何创建一个自定义的 ssh 配置文件,并且通过特定的选项来连接到远程主机。

先决条件:

  1. 你必须 在你的桌面 Linux 上安装好 OpenSSH 客户端
  2. 了解通过 ssh 进行远程连接的常用选项。

SSH 客户端配置文件

以下为 ssh 客户端配置文件:

  1. /etc/ssh/ssh_config 为默认的配置文件,属于系统全局配置文件,包含应用到所有用户的 ssh 客户端的设置。
  2. ~/.ssh/config 或者 $HOME/.ssh/config 为用户指定/自定义配置文件,这个文件中的配置只对指定的用户有效,因此,它会覆盖掉默认的系统全局配置文件中的设置。这也是我们要创建和使用的文件。

默认情况下,用户是通过在 ssh 中输入密码来获取验证的,你可以以一个简单的步骤来 使用 Keygen 来设置 ssh 无密码登录

注:如果你的系统上不存在 ~/.ssh 目录,那就手动创建它,并设置如下权限:

  1. $ mkdir -p ~/.ssh
  2. $ chmod 0700 ~/.ssh

以上的 chmod 命令表明,只有目录属主对该目录有读取、写入和执行权限,这也是 ssh 所要求的设置。

如何创建用户指定的 SSH 配置文件

该文件并不会被默认创建的,所以你需要使用具有读取/写入权限的用户来创建它。

  1. $ touch ~/.ssh/config
  2. $ chmod 0700 ~/.ssh/config

上述文件包含由特定主机定义的各个部分,并且每个部分只应用到主机定义中相匹配的部分。

~/.ssh/config 文件的常见格式如下,其中所有的空行和以 ‘#’ 开头的行为注释:

  1. Host host1
  2. ssh_option1=value1
  3. ssh_option2=value1 value2
  4. ssh_option3=value1
  5. Host host2
  6. ssh_option1=value1
  7. ssh_option2=value1 value2
  8. Host *
  9. ssh_option1=value1
  10. ssh_option2=value1 value2

如上格式详解:

  1. Host host1 为关于 host1 的头部定义,主机相关的设置就从此处开始,直到下一个头部定义 Host host2 出现,这样形成一个完整的定义。
  2. host1 和 host2 是在命令行中使用的主机别名,并非实际的远程主机名。
  3. 其中,如 sshoption1=value1、sshoption2=value1 value2 等配置选项将应用到相匹配的主机,可以缩进以看起来更整齐些。
  4. 对于 ssh_option2=value1 value2 这样的选项,ssh 执行时会按照顺序优先使用 value1 的值。
  5. 头部定义 Host * (其中 * 为匹配模式/通配符,匹配零个或多个字符) 会匹配零个或者多个主机。

仍旧以上述的格式为例,ssh 也是也这样的形式类读取配置文件的。如果你执行 ssh 命令来访问远程主机 host1,如下:

  1. $ ssh host1

以上 ssh 命令会进行一下动作:

  1. 匹配配置文件中主机别名 host1,并使用头部定义中的各个设置项。
  2. 继续匹配下一个主机定义,然后发现命令行中提供的主机名没有匹配的了,所以接下来的各个设置项会被略过。
  3. 最后执行到最后一个主机定义 Host *, 这会匹配所有的主机。这里,会将接下来的所有设置选项应用到所有的主机连接中。但是它不会覆写之前已经有主机定义的那些选项。
  4. ssh host2 与此类似。

如何使用用户指定的 SSH 配置文件

在你理解了 ssh 客户端配置文件的工作方式之后,你可以通过如下方式来创建它。记得使用你的服务器环境中对应的选项、值 (主机别名、端口号、用户名等)。

通过你最喜欢的编辑器来打开配置文件:

  1. $ vi ~/.ssh/config

并定义必要的部分:

  1. Host fedora25
  2. HostName 192.168.56.15
  3. Port 22
  4. ForwardX11 no
  5. Host centos7
  6. HostName 192.168.56.10
  7. Port 22
  8. ForwardX11 no
  9. Host ubuntu
  10. HostName 192.168.56.5
  11. Port 2222
  12. ForwardX11 yes
  13. Host *
  14. User tecmint
  15. IdentityFile ~/.ssh/id_rsa
  16. Protocol 2
  17. Compression yes
  18. ServerAliveInterval 60
  19. ServerAliveCountMax 20
  20. LogLevel INFO

以上 ssh 配置文件的详细解释:

  1. HostName – 定义真正要登录的主机名,此外,你也可以使用数字 IP 地址,不管是在命令行或是 HostName 定义中都允许使用其中任一种。
  2. User – 指定以哪一个用户来登录。
  3. Port – 设置连接远程主机的端口,默认是 22 端口。但必须是远程主机的 sshd 配置文件中定义的端口号。
  4. Protocol – 这个选项定义了优先使用 ssh 支持的协议版本。常用的值为 ‘1’ 和 ‘2’,同时使用两个协议版本则必须使用英文逗号隔开。
  5. IdentityFile – 指定一个用于读取用户 DSA、Ed25519、ECDSA 等授权验证信息的文件。
  6. ForwardX11 – 定义 X11 连接是否自动重定向到安全通道和 DISPLAY 设置。有两个可以设置的值,即 yes 或 no
  7. Compression – 默认值为 no,如果设置为 yes,则在连接远程主机过程中使用压缩进行传输。
  8. ServerAliveInterval – 设置当没有收到服务器响应 (或者数据))时的超时时间,单位为秒,ssh 会通过加密信道发送信息,请求服务器响应。默认值为 0,这意味着 ssh 不会向服务器发送响应请求;如果定义了 BatchMode 选项,则默认是 300 秒。
  9. ServerAliveCountMax – 设置服务器在没有接收到服务器的任何响应时,由服务器发送的活动信息数量。
  10. LogLevel – 定义 ssh 登录信息的的日志冗余级别。允许的值为:QUIETFATALERRORINFOVERBOSEDEBUGDEBUG1DEBUG2DEBUG3,默认为 INFO

连接任意远程主机的标准方法是在上述两个文件中定义第二个部分(我连接的是 CentOS 7)。一般情况下,我们这样输入命令:

  1. $ ssh -i ~/.ssh/id_rsa -p 22 tecmint@192.168.56.10

然而,使用了 ssh 客户端配置文件之后,我们还可以这样:

  1. $ ssh centos7

你也可以在 man 帮助页面寻找更多的设置选项和使用实例:

  1. $man ssh_config

至此,文毕。我们在文中向你介绍了在 Linux 中如何使用用户指定 (自定义) 的 ssh 客户端配置文件。通过下方的反馈表单来写一些与本文的相关的想法吧。


原文链接:https://linux.cn/article-8306-1.html?utm_source=index&utm_medium=more

 

三月 24th, 2017

SSH 用户会话限制访问到特定的目录内,特别是在 web 服务器上,这样做有多个原因,但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录,我们可以使用 chroot 机制。

在诸如 Linux 之类的类 Unix 系统中更改 root(chroot)是将特定用户操作与其他 Linux 系统分离的一种手段;使用称为 chrooted 监狱 的新根目录更改当前运行的用户进程及其子进程的明显根目录。

在本教程中,我们将向你展示如何限制 SSH 用户访问 Linux 中指定的目录。注意,我们将以 root 用户身份运行所有命令,如果你以普通用户身份登录服务器,请使用 sudo 命令

步骤 1:创建 SSH chroot 监狱

1、 使用 mkdir 命令开始创建 chroot 监狱:

  1. # mkdir -p /home/test

2、 接下来,根据 sshd_config 手册找到所需的文件,ChrootDirectory 选项指定在身份验证后要 chroot 到的目录的路径名。该目录必须包含支持用户会话所必需的文件和目录。

对于交互式会话,这需要至少一个 shell,通常为 sh 和基本的 /dev 节点,例如 nullzerostdinstdoutstderrtty 设备:

  1. # ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}

列出所需文件

列出所需文件

3、 现在,使用 mknod 命令创建 /dev 下的文件。在下面的命令中,-m 标志用来指定文件权限位,c 意思是字符文件,两个数字分别是文件指向的主要号和次要号。

  1. # mkdir -p /home/test/dev/
  2. # cd /home/test/dev/
  3. # mknod -m 666 null c 1 3
  4. # mknod -m 666 tty c 5 0
  5. # mknod -m 666 zero c 1 5
  6. # mknod -m 666 random c 1 8

创建 /dev 和所需文件

创建 /dev 和所需文件

4、 在此之后,在 chroot 监狱中设置合适的权限。注意 chroot 监狱和它的子目录以及子文件必须被 root 用户所有,并且对普通用户或用户组不可写:

  1. # chown root:root /home/test
  2. # chmod 0755 /home/test
  3. # ls -ld /home/test

设置目录权限

设置目录权限

步骤 2:为 SSH chroot 监狱设置交互式 shell

5、 首先,创建 bin 目录并复制 /bin/bashbin 中:

  1. # mkdir -p /home/test/bin
  2. # cp -v /bin/bash /home/test/bin/

复制文件到 bin 目录中

复制文件到 bin 目录中

6、 现在,识别 bash 所需的共享库,如下所示复制它们到 lib64 中:

  1. # ldd /bin/bash
  2. # mkdir -p /home/test/lib64
  3. # cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,ld-linux-x86-64.so.2} /home/test/lib64/

复制共享库文件

复制共享库文件

步骤 3:创建并配置 SSH 用户

7、 现在,使用 useradd 命令创建 SSH 用户,并设置安全密码:

  1. # useradd tecmint
  2. # passwd tecmint

8、 创建 chroot 监狱通用配置目录 /home/test/etc 并复制已更新的账号文件(/etc/passwd 和 /etc/group)到这个目录中:

  1. # mkdir /home/test/etc
  2. # cp -vf /etc/{passwd,group} /home/test/etc/

复制密码文件

复制密码文件

注意:每次向系统添加更多 SSH 用户时,都需要将更新的帐户文件复制到 /home/test/etc 目录中。

步骤 4:配置 SSH 来使用 chroot 监狱

9、 现在打开 sshd_config 文件。

  1. # vi /etc/ssh/sshd_config

在此文件中添加或修改下面这些行。

  1. # 定义要使用 chroot 监狱的用户
  2. Match User tecmint
  3. # 指定 chroot 监狱
  4. ChrootDirectory /home/test

配置 SSH chroot 监狱

配置 SSH chroot 监狱

保存文件并退出,重启 sshd 服务:

  1. # systemctl restart sshd
  2. 或者
  3. # service sshd restart

步骤 5:测试 SSH 的 chroot 监狱

10、 这次,测试 chroot 监狱的设置是否如希望的那样成功了:

  1. # ssh tecmint@192.168.0.10
  2. -bash-4.1$ ls
  3. -bash-4.1$ date
  4. -bash-4.1$ uname

测试 SSH 用户 chroot 监狱

测试 SSH 用户 chroot 监狱

从上面的截图上来看,我们可以看到 SSH 用户被锁定在了 chroot 监狱中,并且不能使用任何外部命令如(lsdateuname 等等)。

用户只可以执行 bash 以及它内置的命令(比如:pwdhistoryecho 等等):

  1. # ssh tecmint@192.168.0.10
  2. -bash-4.1$ pwd
  3. -bash-4.1$ echo "Tecmint - Fastest Growing Linux Site"
  4. -bash-4.1$ history

SSH 内置命令

SSH 内置命令

步骤 6: 创建用户的主目录并添加 Linux 命令

11、 从前面的步骤中,我们可以看到用户被锁定在了 root 目录,我们可以为 SSH 用户创建一个主目录(以及为所有将来的用户这么做):

  1. # mkdir -p /home/test/home/tecmint
  2. # chown -R tecmint:tecmint /home/test/home/tecmint
  3. # chmod -R 0700 /home/test/home/tecmint

创建 SSH 用户主目录

创建 SSH 用户主目录

12、 接下来,在 bin 目录中安装几个用户命令,如 lsdatemkdir

  1. # cp -v /bin/ls /home/test/bin/
  2. # cp -v /bin/date /home/test/bin/
  3. # cp -v /bin/mkdir /home/test/bin/

向 SSH 用户添加命令

向 SSH 用户添加命令

13、 接下来,检查上面命令的共享库并将它们移到 chroot 监狱的库目录中:

  1. # ldd /bin/ls
  2. # cp -v /lib64/{libselinux.so.1,libcap.so.2,libacl.so.1,libc.so.6,libpcre.so.1,libdl.so.2,ld-linux-x86-64.so.2,libattr.so.1,libpthread.so.0} /home/test/lib64/

复制共享库

复制共享库

步骤 7:测试 sftp 的 用 chroot 监狱

14、 最后用 sftp 做一个测试;测试你先前安装的命令是否可用。

/etc/ssh/sshd_config 中添加下面的行:

  1. # 启用 sftp chroot 监狱
  2. ForceCommand internal-sftp

保存并退出文件。接下来重启 sshd 服务:

  1. # systemctl restart sshd
  2. 或者
  3. # service sshd restart

15、 现在使用 ssh 测试,你会得到下面的错误:

  1. # ssh tecmint@192.168.0.10

测试 SSH Chroot 监狱

测试 SSH Chroot 监狱

试下使用 sftp:

  1. # sftp tecmint@192.168.0.10

测试 sFTP SSH 用户

测试 sFTP SSH 用户

建议阅读: 使用 chroot 监狱将 sftp 用户限制在主目录中

就是这样了!在文本中,我们向你展示了如何在 Linux 中限制 ssh 用户到指定的目录中( chroot 监狱)。请在评论栏中给我们提供你的想法。

 

原文链接:https://linux.cn/article-8313-1.html?utm_source=index&utm_medium=more

十二月 30th, 2016

如说你只允许10.0.0.2这个ip进入,其它都禁止:

vim /etc/ssh/sshd_config

添加一行:

allowusers root@10.0.0.2

注:root为你用来登入服务器的用户名

最后sshd重启

service sshd restart


原文链接:http://www.linuxde.net/2013/06/14589.html
十二月 30th, 2016

大家有时候会发现 ssh 挂在那里没有响应了,可能是客户端的问题,也可能是服务器端的问题,也可能是客户端和服务器之间的网络问题;可能是客户端电脑休眠后连接断了、可能是网络断了、可能是 WiFi 信号不好、可能是网络延迟大了、可能是服务器挂了、也可能是服务器上的 sshd 进程挂了,…,可能是技术问题,也可能是非技术问题,可以找出无数可能。

我常遇到或者说每天都遇到的情形是,离开办公桌前忘了退出 ssh 会话。工作的时候长时间 ssh 到服务器上,工作完盖上 Mac 走人,回家后发现那些没退出的 ssh 会话还挂在那里,无法退出、无法 Ctrl+C、无法做任何操作。我的粗暴做法通常是直接关闭 Terminal 后重新开一个新的;如果用的不是图形系统,没有窗口可以关闭,那还要启用另一个终端找到相关进程后 kill 掉,如果每天都要搞这么几次还是挺烦人的。今天无意中从同事那里学到了一个小技巧,在那些没退出的 ssh 会话里用 ~. “优雅” 的断开连接。

~.

查看一下 man 帮助文件发现已经有说明,惭愧的是用了这么多年 ssh 才发现有这么一招:

$ man ssh
...
ESCAPE CHARACTERS
     ...

     The supported escapes (assuming the default `~') are:

     ~.      Disconnect.


原文链接:http://www.linuxde.net/2013/08/15020.html
TAGS: ,
十二月 30th, 2016

使用ssh客户端(如:putty)连接Linux服务器,可能会等待10-30秒才有提示输入密码,严重影响工作效率。登录很慢,登录上去后速度正常,这种情况主要有两种可能的原因:

1. DNS反向解析问题

OpenSSH在用户登录的时候会验证ip,它根据用户的IP使用反向DNS找到主机名,再使用DNS找到IP地址,最后匹配一下登录的IP是否合法。如果客户机的IP没有域名,或者DNS服务器很慢或不通,那么登录就会很花时间。

解决办法:

在目标服务器上修改sshd服务器端配置,并重启sshd

vi /etc/ssh/sshd_config
UseDNS no

2. 关闭ssh的gssapi认证

用ssh -v user@server 可以看到登录时有如下信息:

debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information

注:ssh -vvv user@server 可以看到更细的debug信息

解决办法:

修改sshd服务器端配置

vi /etc/ssh/ssh_config
GSSAPIAuthentication no

可以使用ssh -o GSSAPIAuthentication=no user@server登录
GSSAPI ( Generic Security Services Application Programming Interface) 是一套类似Kerberos 5的通用网络安全系统接口,该接口是对各种不同的客户端服务器安全机制的封装,以消除安全接口的不同,降低编程难度,但该接口在目标机器无域名解析时会有问题,使用strace查看后发现,ssh在验证完key之后,进行authentication gssapi-with-mic,此时先去连接DNS服务器,在这之后会进行其他操作。

原文转载自《Linux就该这么学》:http://www.linuxprobe.com/ssh-login-slowly/