一、ssh命令

登录类型

  1. 密码登录: 服务器发送公钥给客户端,客户端使用公钥加密后回传给服务器,服务器解密验证密码。
  2. 公钥登录: 服务器发送一个随机字符串给客户端,客户端用私钥加密,服务器用公钥解密(rsa作为签名使用)

ssh命令相关参数

  1. -A 密钥转发 这个参数在使用跳板机等场景非常有用,如果发现始终连不上需要检查下这个
  2. -i 指定密钥文件
  3. -p 端口号
  4. -C:请求压缩所有数据;
  5. -f 后台运行
  6. -N 参数: 不要求分配shell,有些场景下ssh禁止账号请求shell终端,比如这个账号只是作为转发
  7. -g 默认这个LocalPort端口只允许本机连接,可以通过这个参数允许别的机器连接这个端口
  8. -T :不要求分配终端
  9. -o ServerAliveInterval=60 隔段时间发送保活消息
  10. -q 抑制一些调试性的额外输出
  11. -v 显示详细的调试信息,如果ssh连不上可以使用这个参数看看哪一步出问题了

相关的命令

  1. ssh-keygen 用于生成密钥对
  2. ssh-copy-id 用于复制公钥到服务器

复制公钥也可以使用:ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub


相关的文件

  1. ~/.ssh/authorized_keys 用于保存用户的公钥文件
  2. ~/.ssh/known_hosts文件 保存的服务器用于辨别服务器的唯一散列码
  3. ~/.ssh/id_dsa 用户的私钥文件
  4. ~/.ssh/id_rsa.pub 默认生成的用户的公钥文件,用于将该公钥追加到需要登录的服务器authorized_keys文件
  5. /etc/ssh/ssh_config 客户端ssh配置
  6. /etc/ssh/sshd_config 服务端ssh配置

使用模式

这里推荐一种使用的模式,在利用脚本做自动化的时候,可以利用ssh操作远程主机,这种方式可以灵活的运用管道,使用了重定向,如上面修改authorized_keys。例:

将远程主机$HOME/src/目录下面的所有文件,复制到用户的当前目录:ssh user@host 'tar cz src' | tar xzv

将$HOME/src/目录下面的所有文件,复制到远程主机的$HOME/src/目录: cd && tar czv src | ssh user@host 'tar xz'

二、端口转发

动态转发ssh -D 1080 user@host -Nfg

最广泛的用途是作为sock5代理,另外还有加密连接的附加好处,广泛使用的ss软件就是用的这个。

另外还可以作为跳板机实现,公网的服务器有些没有外网ip,通过有外网的服务器作为代理去访问那些只有内网ip的服务器。


本地转发ssh -L LocalPort:remoteHost:remotePort sshHost

注意这里remoteHost:remotePort是相对于sshHost的地址,比如remoteHost设置为localhost,实际就是sshHost本地

一般用于无法直连的场景,比如防火墙,没有开发公网端口等, 本地不能直接连接remoteHost,需要用sshHost来做中转。

当时我们公司的一个场景,我们的服务器一些后台没有开通外网端口,在公司内部我们需要访问后台,利用内网的一台服务器ssh本地转发到公网服务器,我们在内网直接访问内网服务器。


远程转发ssh -R LocalPort:remoteHost:remotePort sshHost

注意这里remoteHost:remotePort是相对于ssh命令执行的机器的和本地转发不同。

另外注意这个命令执行和机器和本地转发不同。比如我们有这么个需求,将服务器serverA的21端口映射到client的2021。

本地转发:这时我们在客户机上执行本地转发命令,ssh -L 2021:localhost:21 serverA

远程转发: 则是在服务器上运行,ssh -R 2021:localhsot:21 client,client指的是我们的客户机,也就是说client需要有sshServer

上面的本地转发和远程转发很像,同样的功能命令差在一个参数,但两者有时候不可相互取代。本地和远程从数据的出口来记:

本地:客户端连接sshServer将本地的数据转发到本地端口转发出去

远程: 客户端连接sshServer,在sshServer建立端口,数据从sshServer到本地来

一般用于公网访问局域网的场景。在局域网的机器建立远程转发让公网的服务器可以访问局域网

xsell中 菜单->查看—>隧道窗格中可以快速创建这三种类型。


三、跳板机登录

很多时候线上服务器的权限管理是通过跳板机来控制的,比如服务器a,b,c你不能直接连接,而是通过先登录跳板机再去连接。如果你现在想在本地连接服务器,有如下方案:

  1. 在本地使用动态转发,如ssh -D 1080 user@host 主机和用户使用的是跳板机,在xshell中新建连接时使用1080作为代理,此时你可以将这个连接认为是跳板机在连,比如你在连接中填写localhost,这个localhost到时就是跳板机
  2. 在本地使用本地转发,如ssh -L 2222:hosta:22 tiaobanHost,这时候我们就可以使用localhost和2222端口在连接服务器a,不需要配置代理
  3. 远程转发一般不用,因为服务器不能访问公司的局域网

上面的方法虽然可以实现登录后端服务器,但是两部操作还是有些不便,可以使用更方便的ProxyCommand。

该方法也有两种形式:

  1. ssh -o ProxyCommand="ssh user@jumpHost -W %h:%p" serverHost
  2. ssh -o ProxyCommand="nc -x jumpHost:jumpPort %h:%p" serverHost

这个命令如果经常使用可以将ProxyCommand写入到ssh的配置文件中

现在有三个机器

  1. 客户机:192.168.199.3
  2. 跳板机:192.168.199.6
  3. 目标机:192.168.199.5

第一种执行:ssh -o ProxyCommand="ssh 192.168.199.6 -W %h:%p" 192.168.199.5

注意这个-W是在新版中才加入,openssh 5.4之后才支持,相当于简化版的nc

客户机进程:

chen      50607  50529  0 17:52 pts/0    00:00:00 ssh -o ProxyCommand=ssh 192.168.199.6 -W %h:%p 192.168.199.5
chen 50608 50607 0 17:52 pts/0 00:00:00 ssh 192.168.199.6 -W 192.168.199.5:22

客户机显示的连接:

tcp        0      0 192.168.199.3:34306     192.168.199.6:22        ESTABLISHED 50608/ssh

跳板机显示的连接:

tcp        0      0 192.168.199.6:36932     192.168.199.5:22        ESTABLISHED -
tcp 0 0 192.168.199.6:22 192.168.199.3:34306 ESTABLISHED -

目标机显示的连接:

tcp        0      0 192.168.199.5:22        192.168.199.6:36932     ESTABLISHED -

从上面的结果可以看到,跳板机和两头各建立了一个连接,另外客户机是50608进程占用了这个连接


第二种执行:ssh -o ProxyCommand="ssh 192.168.199.6 nc %h %p" 192.168.199.5

这种方式和方面的一样,显示的连接也都一致。


最后说说一种nc

注意这种方式需要有个sock5代理,所以跳板机先开启代理:ssh -D 4000 192.168.199.5 -Nfg

nc支持多种代理,包活scok4,sock5和http,这种方式和上面的两种完全不同。有一点很奇怪如果跳板机没开sock5代理也没有任何报错信息,ssh并没有

并没有使用代理而是直接连接目标服务器

ssh -o ProxyCommand="nc -x 192.168.199.6:4000 %h %p" 192.168.199.5

四、scp 命令

例子:scp test.txt chen@centos:/home/chen/data/

  1. -P 指明端口
  2. -r 递归复制
  3. -i 指明密钥文件

五、rsync命令

例子: rsync -avuz ~test/ chen@centos:/home/chen/data/

rsync命令和scp类似,主要是采用'rsync'算法只同步不同的文件,支持压缩传输和断点续传,一般情况下速度更快。参数如下:

  1. -t 不更新modify time
  2. -z 压缩
  3. -P 断点续传功能,大文件用到
  4. -r 递归传递
  5. -I 强制同步
  6. -a 归档模式并保持所有文件属性, 等价于-rlptgoD (no -H,-A,-X)
  7. -v 输出传输详情
  8. -u 如果接受者上的文件比传输者的新旧不同步

指定端口,如1280端口: rsync -ravuz -e 'ssh -p 1280' 192.168.10.10:/home/chenfangzhi/ .

另外rsync还有一种服务器模式,采用rsync服务端和客户端的模型,需要长期同步文件,推荐使用这种模式,这种模式的账号和linux系统账号是分开的,更加安全。

六、 ssh-agent

最后说的这个东西是非常有用的,如果经常使用的ssh的肯定会遇到需要用多个私钥的场景和私钥被加密的场景。如果私钥被加密,每次连接还是需要输入密码,

当在各个服务器之间穿可能需要多次id_rsa密码,很是繁琐,另外多个多个主机采用不同的私钥的时候需要指定私钥,ssh-agent就是用来解决这个问题的。

这个功能需要在sshd配置文件中配置AllowAgentForwarding,ssh配置文件中配置ForwardAgent

  1. eval `ssh-agent -s` :开启agent,这里必须使用eval
  2. ssh-add id_rsa_file:用来添加密钥,这里如果不指定文件则添加的是~/.ssh/id_rsa文件

七、ssh执行命令不退出问题

我们在批量执行服务器命令经常会用到ssh host command命令,但是在有时候发现这个命令不能正常退出,说下这种模式下命令正常退出的条件:

  1. 远程的执行的进程执行完成或者放入后台运行
  2. 如果是放入后台运行要保证该进程或子进程的标准输入输出和当前ssh进程没有联系

这种问题经常出现的场景是,我去批量启动服务器上的服务,调用start.sh脚本之后(ssh host "bash start.sh &"),发现无法退出。这时候我采用了

ssh host "nohup bash start.sh &",发现还是不能正常退出。最后查了下就是上面的两个原因,因为start.sh脚本中启动了新的进程,子进程继承了bash进程文件描述符,

也就是输入输出都和bash相同,和ssh进程还有联系。所以改写为:ssh host "bash start.sh &>out.log &"成功运行。

另外说说nohup这个命令,在这里其实nohup是完全没必要使用的,一方面是因为nohup是为了忽略SIGHUP信号,但是如果是使用ssh host command这种模式的话,进程是不会和终端绑定也就是进程不会

收到SIGHUP信号。另一方面是nohup是在执行的进程的标准输入和输出绑定了终端时会重定向,但是这个场景下,标准输入输出已经被重定向到了管道。

ssh有个-t参数,如果加入这个参数,则会默认分配一个终端,上面的逻辑就变了,需要使用nohup来进行重定向。但是我发现如果是使用ssh -t host "nohup bash start.sh &>out.log &"启动进程还会导致进程无法启动的问题,网上说是ssh进程退出的太快了,导致nohup被杀死。但是&后面不能sleep函数,语法报错。一种方法是start.sh中启动服务地方加入&,然后上面改写成ssh -t host "nohup bash start.sh &>out.log;sleep 1"

重定向的问题参看上面红字

我在虚拟机的实验结果如下:

[chen@cc1 ~]$ ssh root@192.168.199.5  "TMPSPID=\$(ps -ef | grep -v grep |grep -e 'sshd.*notty' | awk '{print \$2}');echo \$TMPSPID;ls -l /proc/\$TMPSPID/fd;echo \$\$;ls -l /proc/\$\$/fd"
root@192.168.199.5's password:
14719
total 0
lrwx------. 1 root root 64 May 28 21:37 0 -> /dev/null
lrwx------. 1 root root 64 May 28 21:37 1 -> /dev/null
l-wx------. 1 root root 64 May 28 21:37 11 -> pipe:[122988]
lr-x------. 1 root root 64 May 28 21:37 12 -> pipe:[122989]
lr-x------. 1 root root 64 May 28 21:37 14 -> pipe:[122990]
lrwx------. 1 root root 64 May 28 21:37 2 -> /dev/null
lrwx------. 1 root root 64 May 28 21:37 3 -> socket:[122854]
lrwx------. 1 root root 64 May 28 21:37 4 -> socket:[122951]
lr-x------. 1 root root 64 May 28 21:37 5 -> pipe:[122954]
l-wx------. 1 root root 64 May 28 21:37 6 -> /run/systemd/sessions/94.ref
l-wx------. 1 root root 64 May 28 21:37 7 -> pipe:[122954]
14725
total 0
lr-x------. 1 root root 64 May 28 21:37 0 -> pipe:[122988]
l-wx------. 1 root root 64 May 28 21:37 1 -> pipe:[122989]
l-wx------. 1 root root 64 May 28 21:37 2 -> pipe:[122990]

八、sz和rz命令

这两个命令十分方便,在Windows下使用xshell客户端,如果遇到跳板机这种场景,需要频繁的穿来穿去,这两个命令可以自动穿隧道,十分方便,命令本省十分简单。

  1. -e 采用二进制传输,这个非常重要,有时候在传输可执行文件时
  2. -y 如果存在则覆盖原文件,默认是生成一个

参考文章

  1. SSH原理与运用(一):远程登录
  2. SSH原理与运用(二):远程操作与端口转发
  3. Linux ssh命令详解
  4. ssh -W and ssh nc
  5. ssh远程执行nohup命令不退出

SSH命令总结的更多相关文章

  1. 【转】25个必须记住的SSH命令

    1.复制SSH密钥到目标主机,开启无密码SSH登录 ssh-copy-id user@host 如果还没有密钥,请使用ssh-keygen命令生成. 2.从某主机的80端口开启到本地主机2001端口的 ...

  2. ssh 命令

    常用的ssh命令 cd 切换目录 1.查看日志:举例: tail -f tomcat/apache-tomcat-6.0.26/logs/catalina.2010-11-10.out 2.pwd   ...

  3. 使用Cygwin通过ssh命令行来访问Windows8

    安装Cygwin可以参考<如何在Windows中通过Cygwin来使用Linux命令>. 在Win8下貌似有个bug,需要将cygwin\bin\mintty 修改为cygwin\bin\ ...

  4. ssh命令

    使用ssh命令登陆远程系统 ssh [ip/address] -l [登陆用户名] 如: ssh www.xyz.cn -l root

  5. linux 学习之七-部分ssh命令

    ssh命令 /etc/init.d/sshd restart|start|stop   重启|开始|关闭SSH的服务 ssh IP地址 连接SSH Linux scp命令用于Linux之间复制文件和目 ...

  6. man ssh翻译(ssh命令中文手册)

    本文为命令ssh的man文档翻译,翻译了90%的内容,剩余是一些没必要翻译的东西,请见谅. 如此文有所疑惑,希望我的另一篇文章能解惑: SSH(1)                    BSD Ge ...

  7. 解Linux SSH命令大全,新手必看SSH命令

    下面介绍一些基本的常用的Linux SSH命令,都是一些很简单的Linux SSH命令,新手掌握了这几个,一般管理一般的vps或者linux主机就可以了!     我们的教程介绍了putty的使用方法 ...

  8. Teamviewer远程ssh命令行更改密码启动

    Teamviewer远程ssh命令行更改密码启动 设置密码 $ sudo teamviewer passwd [NewPasswd ] 查看teamviewer信息 $ teamviewer info ...

  9. ssh命令详解

    1.简介: Secure Shell(缩写为SSH),由IETF的网络工作小组(Network Working Group)所制定:SSH为一项创建在应用层和传输层基础上的安全协议,为计算机上的She ...

  10. 第1章 ssh命令和SSH服务详解

    基础服务类系列文章:http://www.cnblogs.com/f-ck-need-u/p/7048359.html 本文对SSH连接验证机制进行了非常详细的分析,还详细介绍了ssh客户端工具的各种 ...

随机推荐

  1. python爬虫基础18-Chrome调试前端工具

    01 Chrome调试 抓包工具原理 Chrome 开发者工具是一套内置在Google Chrome中Web开发和调试工具.使用开发者工具来重演,调试和剖析您的网站. 其中常用的有Elements(元 ...

  2. leetcode-16-greedyAlgorithm

    455. Assign Cookies 解题思路: 先将两个数组按升序排序,然后从后往前遍历,当s[j] >= g[i]的时候,就把s[j]分给g[i],i,j都向前移动,count+1;否则向 ...

  3. Leetcode 81. 搜索旋转排序数组 II

    题目链接 https://leetcode-cn.com/problems/search-in-rotated-sorted-array-ii/description/ 题目描述 假设按照升序排序的数 ...

  4. centos配置jdk

    ########## config jdk ########## export JAVA_HOME=/usr/local/java/jdk1.7.0_79 export CLASSPATH=.:${J ...

  5. Linux学习-Boot Loader: Grub2

    boot loader 的两个 stage 在 BIOS 读完信息后,接下来就是会到第一个开机装置 的 MBR 去读取 boot loader 了.这个 boot loader 可以具有选单功能.直接 ...

  6. Spider爬虫-get、post请求

    1:概念: 爬虫就是通过编写程序,模拟浏览器上网,然后让其去互联网上抓取数据的过程. 2:python爬虫与其他语言的比较: (1)php爬虫弊端:多进程多线程支持的不好 (2)java:代码臃肿,重 ...

  7. 【Luogu】P2536病毒检测(Trie上DP)

    题目链接 这道题我写了个01DP,f[i][j]表示跑到Trie上第i个节点,匹配到字符串第j位行不行 然后重点在*号无限匹配怎么处理 经过一番脑洞我们可以发现*号无限匹配可以拆成两种情况: 1:匹配 ...

  8. P1438 无聊的数列 (线段树)

    题目链接 Solution 直接维护一个差分的线段树就好了. 其中线段树的节点代表 \(r\) 比 \(l\) 多多少. Code #include<bits/stdc++.h> #def ...

  9. 关于ubuntu的对拍

    感谢夏天dl的blog,写的十分清楚,但是本人对于ubuntu十分不熟悉 所以不怎么会使用. 对拍的可执行文件是sh,就是bash语言 #!bin/bash while true; do ./date ...

  10. Linux System Programming 学习笔记(二) 文件I/O

    1.每个Linux进程都有一个最大打开文件数,默认情况下,最大值是1024 文件描述符不仅可以引用普通文件,也可以引用套接字socket,目录,管道(everything is a file) 默认情 ...