使用SSH+SFTP操作終端全解析，告別XShell

1.前言

在Windows系統下操作遠端伺服器的方式很多，比如XShell+XFTP組合，亦或是PuTTY+WinSCP組合，但在Mac系統下登陸遠端伺服器，並沒有這些工具供我們使用。相比較而言，在Mac下更多的是依賴終端輸入SSH命令登陸遠端伺服器。

使用SSH命令列的好處就是可以近距離接觸底層，用的越多，用的越溜，對SSH的原理就越瞭解。相反，使用現成的SSH工具（PuTTY、XShell），我們其實並不會有涉及使用ssh命令的機會，對大多數人而言，怕是隻知道最基本的ssh root@ip。

本文將帶大家瞭解ssh的原理與使用技巧，幫助更多終端愛好者更方便更隨心所欲的使用終端。

2.SSH是什麼

SSH服務其實是一個守護程式(demon)，系統後臺會監聽客戶端的連線，ssh服務端的程式名為sshd，負責實時監聽客戶端的請求(IP 22埠)，包括公共祕鑰等交換等資訊。SSH服務端由2部分組成： openssh(提供ssh服務)、openssl(提供加密的程式)。

3.對稱加密和非對稱加密

在學習SSH的工作機制之前，我們需要了解對稱加密和非對稱加密的原理。

對稱加密

所謂對稱加密，是採用對稱密碼編碼技術的加密措施，它的特點是檔案加密和解密都是使用相同的金鑰。

這種方法在密碼學中叫做對稱加密演算法，對稱加密演算法使用起來簡單快捷，金鑰較短，且破譯困難，除了資料加密標準（DES），另一個對稱金鑰加密系統是國際資料加密演算法（IDEA），它比DES的加密性好，而且對計算機功能要求也沒有那麼高。

非對稱加密

與對稱加密演算法不同，非對稱加密演算法需要兩個金鑰：公開金鑰（publickey）和私有金鑰（privatekey）。

公開金鑰與私有金鑰是一對，如果用公開金鑰對資料進行加密，只有用對應的私有金鑰才能解密；如果用私有金鑰對資料進行加密，那麼只有用對應的公開金鑰才能解密。

因為加密和解密使用的是兩個不同的金鑰，所以這種演算法叫作非對稱加密演算法。

3.SSH如何工作

瞭解了對稱加密和非對稱加密是什麼之後，再來了解SSH如何使用非對稱加密技術，大致流程如下：

在伺服器啟動的時候會產生一個金鑰(也就是768bit公鑰)，本地的ssh客戶端傳送連線請求到ssh伺服器，伺服器檢查連線點客戶端傳送的資料和IP地址，確認合法後傳送金鑰(768bits公鑰)給客戶端，此時客戶端將本地私鑰(256bit)和伺服器的公鑰(768bit)結合成金鑰對key(1024bit)，發回給伺服器端，服務端利用自己的私鑰解密，讀取出客戶端的本地私鑰，建立連線通過key-pair資料傳輸，在此之後，服務端與客戶端就愉快的使用客戶端私鑰進行溝通。

3.SSH命令詳解

SSH命令最簡單的用法只需要指定使用者名稱和主機名引數即可，主機名可以是 IP 地址或者域名。

ssh root@192.168.0.1

指定埠號

SSH 預設連線到目標主機的 22 埠上，我們可以使用 -p 選項指定埠號。

ssh -p 22 root@192.168.0.1

追加命令

使用 SSH 在遠端主機執行一條命令並顯示到本地，然後繼續本地工作，只需要直接連線並在後面加上要執行的命令。

ssh -p 22 root@192.168.0.1 ls -l

圖形介面

在遠端主機執行一個圖形介面的程式，只需使用SSH的-X選項，然後主機就會開啟 X11轉發功能。

ssh -X 22 root@192.168.0.1

繫結源地址

如果你的客戶端有多於兩個以上的 IP 地址，你就不可能分得清楚在使用哪一個 IP 連線到 SSH 伺服器。為了解決這種情況，我們可以使用 -b 選項來指定一個IP 地址。這個 IP 將會被使用做建立連線的源地址。

ssh -b 192.168.0.200 root@192.168.0.103

對所有資料請求壓縮

使用 -C 選項，所有通過 SSH 傳送或接收的資料將會被壓縮，並且仍然是加密的。

ssh -C root@192.168.0.103

開啟除錯模式

因為某些原因，我們想要追蹤除錯我們建立的 SSH 連線情況。SSH 提供的 -v 選項引數正是為此而設的。其可以看到在哪個環節出了問題。

ssh -v root@192.168.0.103

4.SSH免密登陸

通過SSH命令登陸遠端伺服器需要手動的每次輸入密碼，解決這個問題其實非常簡單，通過 ssh-keygen 生成本地公鑰和私鑰，將公鑰Copy到遠端伺服器就可以。

1.構建 SSH 金鑰對

使用 ssh-keygen -t +演算法名，現在大多數都使用 RSA 或者 DSA 演算法。

如果你在安裝Git時已經做過此步驟，那麼忽略這一步即可。

ssh-keygen -t rsa

2.拷貝本地公鑰給遠端伺服器

ssh-copy-id root@192.168.25.110 

你可以通過引數 -i 指定公鑰檔案

ssh-copy-id -i id_dsa.pub omd@192.168.25.110

3.檢視是否已經新增了對應主機的金鑰

使用 -F 選項

ssh-keygen -F 192.168.0.1

4.刪除主機金鑰

使用-R選項，也可以在 ~/.ssh/known_hosts 檔案中手動刪除

ssh-keygen -R 192.168.0.1

5.如何配置 SSH

SSH 的配置檔案在 /etc/ssh/sshd_config 中，你可以看到埠號，空閒超時時間等配置項。

cat /etc/ssh/sshd_config

/etc/ssh/sshd_config 配置檔案詳細說明

#############1. 關於 SSH Server 的整體設定##############
#Port 22    
##port用來設定sshd監聽的埠，為了安全起見，建議更改預設的22埠為5位以上陌生埠
#Protocol 2,1
Protocol 2
##設定協議版本為SSH1或SSH2，SSH1存在漏洞與缺陷，選擇SSH2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress用來設定sshd伺服器繫結的IP地址
##監聽的主機適配卡，舉個例子來說，如果您有兩個 IP， 分別是 192.168.0.11 及 192.168.2.20 ，那麼只想要
###開放 192.168.0.11 時，就可以設定為：ListenAddress 192.168.0.11
####表示只監聽來自 192.168.0.11 這個 IP 的SSH聯機。如果不使用設定的話，則預設所有介面均接受 SSH

#############2. 說明主機的 Private Key 放置的檔案##########　　　　　　　　　　　　　　　　　
#ListenAddress ::
##HostKey用來設定伺服器祕鑰檔案的路徑
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
##設定SSH version 1 使用的私鑰

# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
##設定SSH version 2 使用的 RSA 私鑰

#HostKey /etc/ssh/ssh_host_dsa_key
##設定SSH version 2 使用的 DSA 私鑰


#Compression yes　　　　　　
##設定是否可以使用壓縮指令

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
##KeyRegenerationInterval用來設定多長時間後系統自動重新生成伺服器的祕鑰，
###（如果使用金鑰）。重新生成祕鑰是為了防止利用盜用的金鑰解密被截獲的資訊。

#ServerKeyBits 768
##ServerKeyBits用來定義伺服器金鑰的長度
###指定臨時伺服器金鑰的長度。僅用於SSH-1。預設值是 768(位)。最小值是 512 。


# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
##SyslogFacility用來設定在記錄來自sshd的訊息的時候，是否給出“facility code”

#LogLevel INFO
##LogLevel用來設定sshd日誌訊息的級別


#################3.安全認證方面的設定################
#############3.1、有關安全登入的設定###############
# Authentication:
##限制使用者必須在指定的時限內認證成功，0 表示無限制。預設值是 120 秒。

#LoginGraceTime 2m
##LoginGraceTime用來設定如果使用者登入失敗，在切斷連線前伺服器需要等待的時間，單位為妙

#PermitRootLogin yes
##PermitRootLogin用來設定能不能直接以超級使用者ssh登入，root遠端登入Linux很危險，建議登出或設定為no

#StrictModes yes
##StrictModes用來設定ssh在接收登入請求之前是否檢查使用者根目錄和rhosts檔案的許可權和所有權，建議開啟
###建議使用預設值"yes"來預防可能出現的低階錯誤。

#RSAAuthentication yes
##RSAAuthentication用來設定是否開啟RSA金鑰驗證，只針對SSH1

#PubkeyAuthentication yes
##PubkeyAuthentication用來設定是否開啟公鑰驗證，如果使用公鑰驗證的方式登入時，則設定為yes

#AuthorizedKeysFile     .ssh/authorized_keys
##AuthorizedKeysFile用來設定公鑰驗證檔案的路徑，與PubkeyAuthentication配合使用,預設值是".ssh/authorized_keys"。
###該指令中可以使用下列根據連線時的實際情況進行展開的符號： %% 表示'%'、%h 表示使用者的主目錄、%u 表示該使用者的使用者名稱
####經過擴充套件之後的值必須要麼是絕對路徑，要麼是相對於使用者主目錄的相對路徑。

 
#############3.2、安全驗證的設定###############
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
##是否使用強可信主機認證(通過檢查遠端主機名和關聯的使用者名稱進行認證)。僅用於SSH-1。
###這是通過在RSA認證成功後再檢查 ~/.rhosts 或 /etc/hosts.equiv 進行認證的。出於安全考慮，建議使用預設值"no"。

# similar for protocol version 2
#HostbasedAuthentication no
##這個指令與 RhostsRSAAuthentication 類似，但是僅可以用於SSH-2。

# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no
##IgnoreUserKnownHosts用來設定ssh在進行RhostsRSAAuthentication安全驗證時是否忽略使用者的“/$HOME/.ssh/known_hosts”檔案
# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes
##IgnoreRhosts用來設定驗證的時候是否使用“~/.rhosts”和“~/.shosts”檔案

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
##PasswordAuthentication用來設定是否開啟密碼驗證機制，如果用密碼登入系統，則設定yes

#PermitEmptyPasswords no
#PermitEmptyPasswords用來設定是否允許用口令為空的賬號登入系統，設定no

#PasswordAuthentication yes
##是否允許使用基於密碼的認證。預設為"yes"。
PasswordAuthentication yes

# Change to no to disable s/key passwords
##設定禁用s/key密碼
#ChallengeResponseAuthentication yes
##ChallengeResponseAuthentication 是否允許質疑-應答(challenge-response)認證
ChallengeResponseAuthentication no


########3.3、與 Kerberos 有關的引數設定，指定是否允許基於Kerberos的使用者認證########
#Kerberos options
#KerberosAuthentication no
##是否要求使用者為PasswdAuthentication提供的密碼必須通過Kerberos KDC認證，要使用Kerberos認證，
###伺服器必須提供一個可以校驗KDC identity的Kerberos servtab。預設值為no

#KerberosOrLocalPasswd yes
##如果Kerberos密碼認證失敗，那麼該密碼還將要通過其他的的認證機制，如/etc/passwd
###在啟用此項後，如果無法通過Kerberos驗證，則密碼的正確性將由本地的機制來決定，如/etc/passwd，預設為yes

#KerberosTicketCleanup yes
##設定是否在使用者退出登入是自動銷燬使用者的ticket

#KerberosGetAFSToken no
##如果使用AFS並且該使用者有一個Kerberos 5 TGT,那麼開啟該指令後，
###將會在訪問使用者的家目錄前嘗試獲取一個AFS token,並嘗試傳送 AFS token 給 Server 端，預設為no

 

####3.4、與 GSSAPI 有關的引數設定，指定是否允許基於GSSAPI的使用者認證，僅適用於SSH2####
##GSSAPI 是一套類似 Kerberos 5 的通用網路安全系統介面。
###如果你擁有一套 GSSAPI庫，就可以通過 tcp 連線直接建立 cvs 連線，由 GSSAPI 進行安全鑑別。

# GSSAPI options
#GSSAPIAuthentication no
##GSSAPIAuthentication 指定是否允許基於GSSAPI的使用者認證，預設為no

GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
##GSSAPICleanupCredentials 設定是否在使用者退出登入是自動銷燬使用者的憑證快取
GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
##設定是否通過PAM驗證
UsePAM yes

# Accept locale-related environment variables
##AcceptEnv 指定客戶端傳送的哪些環境變數將會被傳遞到會話環境中。
###[注意]只有SSH-2協議支援環境變數的傳遞。指令的值是空格分隔的變數名列表(其中可以使用'*'和'?'作為萬用字元)。
####也可以使用多個 AcceptEnv 達到同樣的目的。需要注意的是，有些環境變數可能會被用於繞過禁止使用者使用的環境變數。
#####由於這個原因，該指令應當小心使用。預設是不傳遞任何環境變數。

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
AllowTcpForwarding yes

##AllowTcpForwarding設定是否允許允許tcp埠轉發，保護其他的tcp連線

#GatewayPorts no
##GatewayPorts 設定是否允許遠端客戶端使用本地主機的埠轉發功能，出於安全考慮，建議禁止

 
#############3.5、X-Window下使用的相關設定###############

#X11Forwarding no
##X11Forwarding 用來設定是否允許X11轉發
X11Forwarding yes

#X11DisplayOffset 10
##指定X11 轉發的第一個可用的顯示區(display)數字。預設值是 10 。
###可以用於防止 sshd 佔用了真實的 X11 伺服器顯示區，從而發生混淆。
X11DisplayOffset 10

#X11UseLocalhost yes

 

#################3.6、登入後的相關設定#################

#PrintMotd yes
##PrintMotd用來設定sshd是否在使用者登入時顯示“/etc/motd”中的資訊，可以選在在“/etc/motd”中加入警告的資訊

#PrintLastLog yes
#PrintLastLog 是否顯示上次登入資訊

#TCPKeepAlive yes
##TCPKeepAlive 是否持續連線，設定yes可以防止死連線
###一般而言，如果設定這專案的話，那麼 SSH Server 會傳送 KeepAlive 的訊息給 Client 端，以確保兩者的聯機正常！
####這種訊息可以檢測到死連線、連線不當關閉、客戶端崩潰等異常。在這個情況下，任何一端死掉後， SSH 可以立刻知道，而不會有殭屍程式的發生！

#UseLogin no
##UseLogin 設定是否在互動式會話的登入過程中使用。預設值是"no"。
###如果開啟此指令，那麼X11Forwarding 將會被禁止，因為login不知道如何處理 xauth cookies 。
####需要注意的是，在SSH底下本來就不接受 login 這個程式的登入，如果指UsePrivilegeSeparation ，那麼它將在認證完成後被禁用。
UserLogin no　　　　　　　

#UsePrivilegeSeparation yes
##UsePrivilegeSeparation 設定使用者的許可權
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no

#UseDNS yes
##UseDNS是否使用dns反向解析

#PidFile /var/run/sshd.pid

#MaxStartups 10
##MaxStartups 設定同時允許幾個尚未登入的聯機，當使用者連上ssh但並未輸入密碼即為所謂的聯機，
###在這個聯機中，為了保護主機，所以需要設定最大值，預設為10個，而已經建立聯機的不計算入內，
####所以一般5個即可，這個設定可以防止惡意對伺服器進行連線

#MaxAuthTries 6
##MaxAuthTries 用來設定最大失敗嘗試登陸次數為6，合理設定辭職，可以防止攻擊者窮舉登入伺服器
#PermitTunnel no

 

############3.7、開放禁止使用者設定############

#AllowUsers<使用者名稱1> <使用者名稱2> <使用者名稱3> ...
##指定允許通過遠端訪問的使用者，多個使用者以空格隔開

#AllowGroups<組名1> <組名2> <組名3> ...
##指定允許通過遠端訪問的組，多個組以空格隔開。當多個使用者需要通過ssh登入系統時，可將所有使用者加入一個組中。

#DenyUsers<使用者名稱1> <使用者名稱2> <使用者名稱3> ...
##指定禁止通過遠端訪問的使用者，多個使用者以空格隔開

#DenyGroups<組名1> <組名2> <組名3> ...
##指定禁止通過遠端訪問的組，多個組以空格隔開。

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server
ClientAliveInterval 3600
ClientAliveCountMax 0

6.SFTP是什麼

SFTP是Secure FileTransferProtocol的縮寫，安全檔案傳送協議。

SFTP和FTP是兩種協議，它們是不同的，sftp是ssh內含的協議，只要sshd伺服器啟動了，它就可用，它本身沒有單獨的守護程式，更不需要ftp伺服器啟動。

SFTP同樣是使用加密傳輸認證資訊和傳輸的資料，所以，使用SFTP是非常安全的。但是，由於這種傳輸方式使用了加密/解密技術，所以傳輸效率比普通的FTP要低得多，如果您對網路安全性要求更高時，可以使用SFTP代替FTP。

7.SFTP登陸

使用sftp登陸遠端伺服器，可以

sftp root@192.168.0.1

也可以指定埠號

sftp -oPort=22 root@192.168.0.1

8.使用SFTP進行檔案上傳下載

下載

語法

get [-afPpRr] remote [local] 

下載遠端檔案到本地目錄

get /tmp/test.c ~/

下載遠端資料夾到本地目錄

get -r /tmp/test.c ~/

上傳

語法

put [-afPpRr] local [remote]

上傳本地檔案到遠端資料夾

put ~/test.c /tmp/

上傳本地資料夾到遠端目錄（會上傳本地資料夾下的所有檔案）

put ~/test /tmp/

9.更多SFTP命令

輸入 help 或 ? 命令可以檢視sftp支援的命令操作：

sftp> help
Available commands:
bye                                退出sftp
exit                               退出sftp
quit                               退出sftp
cd path                            將遠端目錄更改為'path'
chgrp grp path                     將檔案'path'的組更改為'grp'
chmod mode path                    將檔案'path'的許可權更改為'mode'
chown own path                     將檔案'path'的所有者更改為'own'
df [-hi] [path]                    顯示當前目錄的統計資訊或包含'path'的檔案系統
get [-afPpRr] remote [local]       下載檔案
reget [-fPpRr] remote [local]      恢復下載檔案
reput [-fPpRr] [local] remote      恢復上傳檔案
help                               顯示此幫助文字
lcd path                           將本地目錄更改為'path'
lls [ls-options [path]]            顯示本地目錄列表
lmkdir path                        建立本地目錄
ln [-s] oldpath newpath            連結遠端檔案（-s用於符號連結）
lpwd                               列印本地工作目錄
ls [-1afhlnrSt] [path]             顯示遠端目錄列表
lumask umask                       將本地umask設定為'umask'
mkdir path                         建立遠端目錄
progress                           切換進度表的顯示
put [-afPpRr] local [remote]       上傳檔案
pwd                                顯示遠端工作目錄
rename oldpath newpath             重新命名遠端檔案
rm path                            刪除遠端檔案
rmdir path                         刪除遠端目錄
symlink oldpath newpath            符號連結遠端檔案
version                            顯示SFTP版本
!command                           在本地shell中執行'command'
!                                  轉到本地shell，輸入exit可退出並返回到sftp
?                                  顯示此幫助文字

執行本地命令

如果我們想在進入sftp會話環境下執行本地命令怎麼辦？只需要在本地命令之前加歎號!即可，示例如下：

!ls

當然，你可以輸入 ! 命令轉為本地shell會話，退出本地會話輸入 exit 即可返回到原sftp會話。

刪除檔案和目錄

刪除遠端檔案

rm path

刪除遠端目錄（rmdir只能刪除空目錄）

rmdir path  

注意：不可以設定引數，如 -rf。

退出會話

無論是在 ssh 還是 sftp，都可以使用 exit 退出當前會話，sftp 還可以使用 quit 、bye 命令退出。

10.結語

相信本文足以可以讓你解決使用終端過程中碰到的絕大多數問題了。

我是薛勤，我們們下期見！關注我，帶你領略更多程式設計技能！

參考：https://www.cnblogs.com/ftl1012/p/ssh.html