浅谈SSH客户端配置
文章目录
【注意】最后更新于 June 12, 2021,文中内容可能已过时,请谨慎使用。
SSH客户端对于很多IT从业人员都是必备,然而很多人仅仅是用了最基本的功能。当遇到了比如RSA Key等安全措施时,不能有效利用客户端,繁琐的操作流程影响了他们的工作热情。本文就简单说明一下SSH客户端的功能,帮助大家保持高效的开发工作。
##1. 基本连接功能(端口,用户,ssh-keygen,authrorized_keys) 一个基本的ssh是这么使用的:
ssh 192.168.1.16
命令会连接192.168.1.16机器的22端口,并且使用当前机器登录的用户名称去登录。大多数情况下目标机器的用户名称都不会是你当前电脑的用户名称,所以一般需要用ssh 用户名@ip的方式去使用。
此外目前在公网的机器大多都会遇到蠕虫不断搜索ssh的端口号然后用密码字典crack的情况,因此大多机器的ssh端口号都会改到30000已上,比如36022端口。这种情况就需要指定ssh命令的端口号:
ssh -p 36022 dev@192.168.1.16
到目前为止,我们已经可以自由登录服务器了。但是我们发现每次都要输入密码,是个很麻烦的事情;能不能不输入密码登录呢?当然可以,我们可以执行ssh-keygen命令,可以一路回车,默认会在~/.ssh/下生成两个文件,id_rsa和id_rsa.pub文件,其中id_rsa是私钥,任何情况下你都不需要把这个文件给其他人;而id_rsa.pub是公钥,给谁都无所谓。然后通过正常的ssh登录到目标服务器,将id_rsa.pub的内容附加到目标机器目标用户的~/.ssh/authorized_keys文件里的单独一行,要保证~/.ssh目录的权限是700,authorized_keys的权限是600。然后再试一试,这次是不是不用密码了?
##2. ssh config(保持链接,自动跳转)
然而你会发现每次都输入用户名ip地址,真是烦。ssh也想到了,提供了ssh_config(位置~/.ssh/config)。
一个常见的配置如下:
|
|
第一行表示你ssh时的配置名,像这个配置只要ssh jumper即可;HostName是实际连接时使用的ip、机器名称,这个需要是本地ping得通的机器名;User是待连接的用户名;Port是ssh连接的端口号;IdentityFile是刚才所说的私钥文件;ForwardAgent可以持有通过验证的本地的key——如果你的登录是双因子的,它可以持用通过双因子验证或者输入了passphrase 的key,简化之后的登录行为;ServerAliveInterval用于保持ssh的连接,避免长时间不动作被服务器断开;ControlMaster则是开启了一个控制器,ControlPath是控制连接的保持文件,ControlPersist表示保持文件存活时间,如果第一次ssh之后,再次ssh同一台主机,ssh可以利用之前的连接文件,避免了二次登录,当然也不需要密码。
上边这个配置文件通常是登录跳板机时使用的,然而我们每次都需要先ssh跳板机,然后在跳板机再去ssh目标服务器,实在是不方便。能不能从本地直接通过sshconfig就登录目标服务器呢?当然是可以的啦。
|
|
Host自然还是我们ssh时的名称,但是HostName是个变量,表示我们ssh的实际地址是上边Host中的某一个——这也就表示这三个服务器名称是跳板机所能够ping通的一个地址。但是通常用户的跳板机权限很低,无法编辑/etc/hosts文件来提供服务器名称和ip地址的解析,而HostName写服务器的ip名称显得特别不方便,有没有办法呢?其实是有的,参考项目hosts,通过跳板机的~/.bashrc文件指定本地hosts文件就可以为大多数程序提供名称和ip的解析。ProxyCommand则表示ssh的过程是先通过ssh 跳板机,再执行 nc 再次执行后边的命令。因此跳板机需要保证拥有nc命令,如果没有,可以手动编译一个或者上传一个。最后的IdentityFile表示你在server里添加过公钥对应的私钥路径。如此设置以后,当你ssh server-1的时候会自动通过jumper配置到跳板机,然后通过nc命令到相应的服务器了。当然,rsync命令也能通过上述配置传送文件了,这样向某个服务器传文件或者从某个服务器down日志就不必再通过跳板机保存一次啦。需要注意的是此时目标服务器的authorized_key内放的是本地机器的公钥,而不是跳板机的公钥。
ps:nc 也可以用-W参数,形式为ProxyCommand ssh jumper -W %h:%p
不过经过实验,不能多层跳转(比如先ssh develop 再ssh jumper 再ssh server1),而nc可以做到多层跳。如果你不需要多层跳转,-W参数最容易,也不需要copy nc程序。
##3. 端口转发,数据库等工具设置
端口转发非常简单,通过ssh -D 端口号 host
命令就连接到远端服务器的同时在本地端口号开一个socket代理,通过它你可以直接访问跳板机后边的资源,浏览器也可以通过它访问一些内部的http服务。
而数据库工具也大多提供了ssh的配置,通常可以在sql客户端的ssh一栏添加跳板机的地址,ssh端口号,用户名和私钥,sql的地址和端口号就是sql服务器的内部ip地址和端口号,就可以不通过vpn访问跳板机后边隐藏的数据库啦。
目前开发人员需要的ssh配置大体就这么多啦。