如何使用SSH远程登录服务器

1. 如何通过ssh远程登录linux系统

通缓唤过ssh远程登录linux系统步骤如下：

1、启动软件，点击快速连接，我们要选择连接的协议。

2. SSH 之远程登录

从客户端来看，SSH提供两种级别的安全验证。

对于第二种级别，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。第二种级别不仅加密所有传送的数据，而且“中间人”这铅乎种攻击方式也是不可能的（因为他没有用户的私人密匙）。但是整个登录的过程可能需要10秒。

将本地用户生成的公钥推送至远程服务器后，远程主机将用户的公钥，保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串，只要把它追加在authorized_keys文件的末尾就行了。
这里不使用ssh--id命令，改用下面的命令，来解释公钥的保存过程：

输入命令 ssh user@host ，然后根据提示输入远程服务器的登录密码

也可在配置文件/etc/ssh/ssh_config 中设置user和host(ip), 来简化命令, 配置如下：

配置后, 登录请求时只需输入如洞悉下命令：

使用密码登录，每次都必须输入密码，非常麻烦。好在SSH还提供了公钥登录，可以省去输入密码的步骤。
公钥登录原理 ：就是用户将自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果解密验证成功，就证明用户是可信的，直接允许登录shell，不再要求密码。

执行上述命令首先会让你输入生成密钥的文件名： myPemKey (自定义)，之后一路回车。

配置后，登录远槐颤悉程服务器时只需输入一下命令，便可直接登录成功：

修改后重启ssh服务

则远程连接时指定端口

(1) 通过iptables设置ssh端口的白名单,如下设置只允许192.168.1.0/24网段的客户机可以远程连接本机

(2) 通过/etc/hosts.allow里面进行限制(如下)，/etc/hosts.deny文件不要任何内容编辑，保持默认！

例如：

修改远程服务器ssh服务配置文件/etc/ssh/sshd_config

修改远程服务器配置文件/etc/ssh/sshd_config， 如下：

如果本机系统有些账号没有设置密码，而ssh配置文件里又没做限制，那么远程通过这个空密码账号就可以登陆了，这是及其不安全的，所以一定要禁止空密码登陆。
修改远程服务器配置文件/etc/ssh/sshd_config，如下：

参考：

3. 请教如何用ssh连接远程服务器

目前，远程连接服务器的类型有以下几种：
① 文字接口的明文传输：Telnet、RSH为主，很少用到。
② 文字接口的加密传输：以SSH为主，已经取代了上面的明文传输方式。
③ 图形接口：XDMCP、VNC、XRDP等较为常见。
这篇文章只为实战，不为普及概念性知识。所以我只讲解在工作中最常用到的技术SSH。关于SFTP技术和VNC技术，请查阅我的其他博客。
好，先来看一下SSH的相关技术：
SSH，英文全程是Secure Shell Protocol(安全的壳程序协议)。SSH是现在公司基本上都在使用的一种文字接口的加密传输技术，采用的是非对称秘钥系统。

对于SSH的原理，你们可以参考我的另外一篇博客，我把链接贴在这里：
SSH原理

⑴来吧，我们先来查看一下sshd这个服务（这就是SSH的远程连接必须开启的服务，属于系统自带），注意，一般这个sshd服务是默认自动开启的。

注意：切记authorized_keys这个文件的权限必须是644

4. SSH原理 and SSH远程登录

Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force) 制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议，可有效弥补网络中的漏洞。通过SSH，可以把所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。目前已经成为Linux系统的标准配置。

SSH只是一种协议，存在多种实现，既有商业实现，也有开源实现。本文主要介绍OpenSSH免费开源实现在Ubuntu中的应用，如果要在Windows中使用SSH，需要使用另一个软件PuTTY。

SSH之所以能够保证安全，原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。

传统的网络服务程序，如FTP、Pop和Telnet其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。

第二种级别（基于密钥的安全验证）：你必须为自己创建一对密钥，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密钥进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公钥，然后把它和你发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。与第一种级别相比，第二种级别不仅加密所有传输的数据，也不需要在网络上传送口令，因此安全性更高，可以有效防止中间人攻击。

SSH分为客户端 openssh-client 和服务器 openssh-server，可以利用以下命令确认电脑上是否安装了客户端和服务器。

如果只是想远程登陆别的机器只需要安装客户端（Ubuntu默认安装了客户端），如果要开放本机的SSH服务就需要安装服务器。

首先确认ssh-server是否已经启动了

如图，sshd 表示ssh-server已经启动了。如果没有启动，可以使用如下命令启动：

停止和重启ssh服务的命令如下：

接下来就可以进行使用客户机远程登录服务器了~

口令登录非常简单，只需要一条命令，命令格式为： **ssh 客户端用户名@服务器ip地址 **eg:

如果需要 调用图形界面程序 可以使用 -X 选项

如果客户机的用户名和服务器的 用户名相同 ，登录时 可以省略 用户名。

还要说明的是，SSH服务的 默认端口是22 ，也就是说，如果你不设置端口的话登录请求会自动送到远程主机的22端口。我们可以使用** -p 选项来修改端口号**，比如连接到服务器的1234端口：

客户机必须要知道服务器的 ip地址 。可以在服务器端电脑上利用** ifconfig** 命令查看该机的ip地址：

如果是第一次登录远程主机，系统会给出下面提示：

意思是，该远程主机的真实性无法确定，其公钥指纹为 SHA256:s8pZiuKQr7k7f+57j22lk/IdWC8143VQKR+EabeP5，确定想要继续连接吗？

输入yes 即可。这时系统会提示远程主机被添加到已知主机列表。

然后会要求我们输入 远程主机的密码 ，输入的密码正确就可以成功登录了。命令提示符会修改为远程主机的提示符，现在开始，终端中输入的命令都将在服务器中执行。

我们可以通过** Ctrl+D** 或者 exit 命令 退出远程登录 。

每次登录远程主机都需要输入密码是很不方便的，如果想要省去这一步骤，可以利用密钥对进行连接，还可以提高安全性。

1、在本机生成密钥对

使用ssh-keygen命令生成密钥对：

ssh-keygen -t rsa #-t表示类型选项，这里采用rsa加密算法
然后根据提示一步步的按enter键即可（其中有一个提示是要求设置私钥口令passphrase，不设置则为空，这里看心情吧，如果不放心私钥的安全可以设置一下），执行结束以后会在 /home/当前用户 目录下生成一个 .ssh 文件夹,其中包含私钥文件 id_rsa 和公钥文件 id_rsa.pub。

2、将公钥复制到远程主机中

使用ssh--id命令将公钥复制到远程主机。ssh--id会将公钥写到远程主机的 ~/ .ssh/authorized_key 文件中

ssh--id [email protected]
经过以上两个步骤，以后再登录这个远程主机就不用再输入密码了。

1）已获取登录实例的管理员帐号及密码（或密钥）。
2）云服务器实例已开通22号端口。

—使用密码登录

Host Name（or IP address） ：服务器的IP地址；
Port ：服务器的端口，必须设置为22；
Connect type ：选择 “SSH”；
Saved Sessions ：填写会话名称，例如 test。 配置 “Host Name” 后，再配置 “Saved Sessions” 并保存，则后续使用时您可直接双击 “Saved Sessions” 下保存的会话名称即可登录服务器；

登录完成后，命令提示符左侧将显示当前登录云服务器的信息。

—使用密钥登录

Ps: 当不存在私钥文件时，可以选择Conversions > Import key 导入公钥(.pem)文件来生成私钥文件(.ppk)

Host Name (IP address) ：服务器的IP；
Port ：服务器的端口，必须填 22；
Connect type ：选择 “SSH”；
Saved Sessions ：填写会话名称，例如 test。 配置 “Host Name” 后，再配置 “Saved Sessions” 并保存，则后续使用时您可直接双击 “Saved Sessions” 下保存的会话名称即可登录服务器；

登录完成后，命令提示符左侧将显示当前登录服务器的信息。

5. SSH 登录流程分析

登录流程

密钥登录比密码登录安全，主要是因为他使用了非对称加密，登录过程中需要用到 密钥对 。整个登录流程如下：

远程服务器持有公钥，当有用户进行登录，服务器就会随机生成一串字符串，然后发送给正在进行登录的用户。

用户收到远程服务器发来的字符串，使用与 远程服务器公钥配对的私钥 对字符串进行加密，再发送给远程服务器。

服务器使用公钥对用户发来的加密字符串进行解密，得到的解密字符串如果与第一步中发送给客户端的随机字符串一样，那么判断为登录成功。

整个登录的流程就是这么简单，但是在实际使用 ssh 登录中还会碰到一些小细节历亮，这里演示一遍 ssh 远程登录来展示下这些细节问题。

生成密钥对

使用ssh-keygen就可以直接生成登录需要的密钥对。ssh-keygen是 Linux 下的命令，不添加任何参数就可以生成密钥对。

➜  ~ ssh-keygenGenerating public/private rsa key pair.Enter fileinwhichto save the key (/home/jaychen/.ssh/id_rsa):#1Enter passphrase (emptyforno passphrase):#2Enter same passphrase again:#3

执行ssh-keygen会出现如上的提示，在#1处这里链睁提示用户输入生成的私钥的名称，如果不填，默认私钥保存在/home/jaychen/.ssh/id_rsa文件中。这里要注意两点：

生成的密钥，会放在 执行ssh-keygen命令的用户的家目录 下的.ssh文件夹中。即$HOME/.ssh/目录下。

生成的公钥的文件名，通常是私钥的文件名后面加.pub的后缀。

#2处，提示输入密码，注意这里的密码是用来保证私钥的安全的。如果填写了密码，那么在使用密钥进行登录的时候，会让你输入密码，这样子保证了如果私钥丢失了不至于被恶意使用。 话是这么说，但是平时使用这里我都是直接略过。

#3是重复#2输入的密码，这里就不废话了。

生成密钥之后，就可以在/home/jaychen/.ssh/下看到两个文件了(我这里会放在/home/jaychen下是因为我使用 jaychen 用户来执行ssh-keygen命令)

➜  .ssh ls

total 16K

drwx------ 2 jaychen jaychen 4.0K 12月  7 17:57 .

drwx------ 9 jaychen jaychen 4.0K 12月  7 18:14 ..

-rw------- 1 jaychen jaychen 1.7K 12月  7 17:57 id_rsa.github

-rw-r--r-- 1 jaychen jaychen 390 12月  7 17:57 id_rsa.github.pub

生成的私钥还要注意一点： 私钥的权限应该为rw-------，如果私钥的权限过大，那么私钥任何人都可以读写就会变得不安全。ssh 登录就会失败。

首次 ssh 登录

登录远程服务器的命令是

ssh 登录用户@服务器ip

这里开始要注意两个用户的概念：

本地执行这条命令的用户，即当前登录用户，我这里演示的用户名称是 jaychen。

要登录到远程服务器的用户。

在开始登录之前，我们棚烂岁要首先要把生成 公钥 上传到服务器。

公钥的内容要保存到 要登录的用户的家目录下的.ssh/authorized_keys 文件中。假设你之后要使用 root 用户登录远程服务器，那么公钥的内容应该是保存在/root/.ssh/authorized_keys中。注意authorized_keys文件是可以保存多个公钥信息的，每个公钥以换行分开。

上传完毕之后，执行

ssh root@远程服务器ip

这个时候，如上面说的，远程服务器会发送一段随机字符串回来，这个时候需要使用私钥对字符串进行加密。而这个私钥会去 执行该命令的用户的家目录下的.ssh目录 读取私钥文件，默认私钥文件为id_rsa文件。即$HOME/.ssh/id_rsa文件。假设在生成密钥的时候对私钥进行了加密，那么这个时候就需要输入密码。

上面的流程用户登录的时候是不会感知的，ssh 在背后完成了所有的校验操作，如果密钥匹配的话，那么用户就可以直接登录到远程服务器，但是如果是 首次登录 的话，会出现类似下面的提示：

➜  .ssh ssh [email protected] authenticityofhost'192.168.1.1 (192.168.1.1)' can't be established.ECDSAkeyfingerprintisSHA256:61U/SJ4n/.Are you sure you wanttocontinueconnecting (yes/no)?

这句话的意思是，远程服务器的真实身份无法校验，只知道公钥指纹(公钥的 MD5 值)为61U/SJ4n/，是否真的要建立连接。出现上面的提示是因为避免存在 中间人攻击 。

中间人攻击

中间人攻击的前提是，你第一次登录一台远程服务器，你除了用户名、用户名对应的公钥私钥以及服务器 ip 之外，对远程服务器丝毫不了解的情况下。假设你 ssh 远程登录 192.168.1.1 的远程主机，在连接过程中被第三者拦截，第三者假冒自己为 192.168.1.1 的主机，那么你就会直接连接到其他人的服务器上。这就是中间人攻击。

为了避免中间人攻击，ssh 在首次登录的时候会返回公钥指纹，用户需要自己手动去 比对你要登录的远程服务器的公钥的公钥指纹和 ssh 返回的公钥指纹是否一样 。

经过比较公钥指纹，确认该服务器就是你要登录的服务器，输入yes之后就可以成功登录。整个登录流程结束。

known_hosts 文件

第一次登录之后，在本机的$HOME/.ssh/目录下就会生成一个known_hosts的文件，内容类似下面

➜  .ssh cat known_hosts192.168.1.1ecdsa-sha2-nistp256 GV0rFcI0z/DHZizN5l/ajApsgx+UcOOh51liuyBRRCIyF+BR56Le0lP0Pn6nzvLjbqMqg=

这个文件记录了远程主机 ip 和远程主机对应的公钥指纹，那么在下次登录的时候，远程主机发送过来的公钥指纹，直接和known_hosts文件中对应 ip 的公钥指纹比较即可。

config 配置

很多时候，我们开发可能需要连接多台远程服务器，并且需要配置 git 服务器的私钥。那么这么多的服务器不能共用一套私钥，不同的服务器应该使用不同的私钥。但是我们从上面的连接流程可以看到，ssh 默认是去读取$HOME/.ssh/id_rsa文件作为私钥登录的。如果想要不同的服务器使用不同的私钥进行登录，那么需要在.ssh目录下编写config文件来进行配置。

config的配置很简单，只要指明哪个用户登录哪台远程服务器需要使用哪个私钥即可。下面给出一个配置示例。

Host github.com

           User jaychen

            IdentityFile ~/.ssh/id_rsa.github

Host 192.168.1.1

             User ubuntu

IdentityFile ~/.ssh/id_rsa.xxx

上面config文件字段含义如下：

Host 指明了远程主机的 ip，除了使用 ip 地址，也可以直接使用网址。

User 指的是登录远程主机的用户。

IdentityFile 指明使用哪个私钥文件。

6. 如何使用SSH登录远程服务器

你好，
默认配置
Windows下有很多SSH工具。在这里我是用的是Putty。如果安装了Git并配置使用Putty的话，就不需要另外在安装Putty了。使用SSH连接服务器的命令如下：
ssh IP地址

一般来说为了安全性考虑，端口号等一些参数并不会使用默认值。这样的话命令就变成这样：
ssh 用户名@IP地址 -p 端口号

如果连接成功的话会提示你输入远程服务器的密码。全部成功之后SSH就会显示远程服务器的提示符，这时候就说明连接成功了。
密钥登录
每次登录SH都需要输入密码很麻烦，而且可能不太安全。SSH还能使用另外一种登录方式，也就是使用密钥登录。这种登录方式需要客户端生成一堆公钥私钥对，然后将公钥添加到服务器中，这样下次就可以直接登录了。
首先生成SSH密钥，依照提示输入信息即可。默认生成在用户主目录中的.ssh文件夹中。带pub的是公钥，接下来需要添加到服务器中。
ssh-keygen

然后将本地公钥添加到服务器中，需要使用另一个命令：
scp -P 端口号 本地文件路径 用户名@远程服务器地址:远程路径

然后登陆服务器，找到复制进去的公钥，将公钥名字改为authorized_keys并添加到对应的.ssh文件夹中。然后退出SSH重新登陆试试，成功的话不需要输入密码就会直接进入远程服务器。

7. 使用 SSH-Key 登录远程服务器

ssh 提供两种级别的安全认证：

需要知道用户名和密码即可登录，该连接是加凯缺密的，但客户端不能确认目标主机是否为“伪造的”，也不能保证口令安全。

远程主机的 /etc/ssh/sshd_config 需配置：

重启 sshd 使改动生效：

需要用户持有“公钥/私钥对”，庆裤远程服务器持有公钥，本地持有私钥。

客户端向服务器发出请求。服务器收到请求之后，先在用户的主目录下找到该用户的公钥，然后对比用户发送过来的公钥。如果一致，服务器用公钥加密“质询”并发送给客户端。客户端收到“质询”后用私钥解密，再发还给服务器。认证结束。

生成 ssh-key，选加密算法（rsa、dsa），给秘钥命名（可选）：

passphrase 是证书口令，以加强安全性，避免证书被恶意复制。

会在 ~.ssh 下生成 id_rsa , id_rsa.pub 两个文件，分誉孙简别是 私钥/公钥。

公钥需保存到远程服务器 ~/.ssh/authorized_keys 里，私钥由客户端本地留存。

要保证 .ssh 和 authorized_keys 都只有用户自己有写权限。否则验证无效。

简单情况下，通过手动指定私钥文件登录

觉得麻烦可以配置客户端的 /etc/ssh/ssh_config

你也可以使用 SSH Agent，下面以使用 GitHub 为场景简单介绍。

创建 ~/.ssh/config

配置完成后，在连接非默认账号的仓库时，远端地址要修改为

8. ssh 命令怎么用

ssh命令用法：ssh+加要执行的命令，需在SSH 2客户端上使用。x0dx0a1、SSH客户端版本查看。x0dx0a有裂族时需确认SSH客户端及其相应的版本号。使用ssh -V命令可以得到版本号。注意,Linux一般自带的是OpenSSH: 下面例子即表明该系统正在使用OpenSSH:x0dx0a$ ssh -V OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003。x0dx0a下面的例子表明该系统正在使用SSH2:x0dx0a$ ssh -V ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on i686-pc-linux-gnu。x0dx0a2、用SSH登录到远程主机。x0dx0a当第一次使用ssh登录远程主机时,会出现没有找到主机密钥的提示信息。输入"yes"后,系统会将远程主机的密钥加入到主目录下.ssh/hostkeys下,这样就可继续操作。x0dx0a3、调试SSH客户端会话。x0dx0a当ssh连接出现问题时,需通过查看调试信息来定位这些错误。使用v选项(注意:是小写的v),即可查看调试信息。x0dx0a4、用SSH退出符切换SSH会话。x0dx0a远程登陆到一台主机A,然后从A登陆到B,如希望在A上做操作,还得再开一个终端。x0dx0a当使用ssh从本机登录到远程主机时,希望切换到本地做一些操作,然后再重新回到远程主机。这时,不需中断ssh连接,只需按照如下步骤操作即可:x0dx0a当已经登录到了远程主机时,可能想要回到本地主机进行段源圆一些操作,然后又继续回到远程主机。x0dx0a（1）登入远程主机:x0dx0alocalhost$ ssh -l jsmith remotehost。x0dx0a（2）已连接远程主机:x0dx0aremotehost$。x0dx0a（3）要临时回到本握塌地主机,输入退出符号:“~”与“Control-Z”组合。x0dx0a当输入“~”不会立即在屏幕上看到,按下并且按回车之后一起显示。如下,在远程主机中以此输入“~”remotehost$ ~^Z [1]+ Stopped ssh -l jsmith remotehost localhost$。x0dx0a（4）已经退回到本地主机,ssh远程客户端会话就在UNIX后台中运行,可向下面那样查看它:x0dx0alocalhost$ jobs [1]+ Stopped ssh -l jsmith remotehost。x0dx0a（5）可将后台运行的ssh会话进程切换到前台,重新回到远程主机,而无需输入密码：localhost$ fg %1 ssh -l jsmith remotehost remotehost$。x0dx0a5、用SSH退出字符会话,显示信息。x0dx0a要取得一些关于当前会话有用信息,可按以下方式完成。这只能在SSH 2客户端上使用。x0dx0a登录到远程服务器：localhost$ ssh -l jsmith remotehost。x0dx0a在远程服务器上,输入ssh退出字符~并输入s。会显示出很多有关当前ssh连接的有用信息。

9. 配置ssh远程登录

本地和远程服务器都创建

在创建密钥的时候，可以定义加密类型和长局斗度，具体可以参考ssh-keygen命令帮助。创建的过程中，首先会提示你 保存的位置 和 文件名 ，再提示你 给密钥加个密码 ，也可以直接回桐差磨车不要密码。

公钥和私钥默认保存这用户目录的 /.ssh/ 文件夹下。默认情况下， id_rsa 为私钥， id_rsa.pub 为公钥。

此时 还是需要用用户名和密码登录远程Linux服务器。使用vi编辑 /etc/ssh/sshd_config 文件，先打开 PubkeyAuthentication 和 PermitRootLogin ，一般只要把这几个参数庆丛前面的#（注释符）删掉即可。

重启ssh服务

在macOS端操作以下命令，把公钥上传到远程服务器，会提示输入远程的Linux服务器的密码。

在远程Linux服务器上，操作以下命令，把公钥 追加 到服务器ssh认证文件中：

如果没有 authorized_keys 这个文件，请到 .ssh 文件夹下创建一个，并把权限设置为600。

追加好后，如果要禁止用户名密码登录，再编辑 /etc/ssh/sshd_config 文件，把 PasswordAuthentication 设置为no。

重启SSH服务（每次修改ssh配置都需要重启）

如果没有设置密钥密码，直接这终端输入 ssh root@IP 即可登录远程服务器。如果该用户下没有公钥，则会提示Permission denied。