SSH快速入门：基础命令与配置速成课程

# 1. SSH的简介与工作原理

SSH（Secure Shell）是一种在不安全网络中为计算机提供安全远程登录和其他安全网络服务的协议。它为数据传输提供了加密功能，保证了数据在互联网中的安全传输。

## 1.1 SSH简介

SSH最初由芬兰网络安全专家Tatu Ylönen在1995年创建。它的第一个版本被称为SSH-1，随后出现了更多的改进版本。SSH-2是目前广泛使用的版本，提供了更加安全的连接和更丰富的功能。

## 1.2 SSH工作原理

SSH使用客户端-服务器模型，通过三次握手过程建立一个加密的隧道。这个过程主要由以下步骤组成：

1. **版本协商**：客户端和服务器首先确定使用的SSH版本。
2. **密钥交换**：使用非对称加密算法交换会话密钥。
3. **身份验证**：客户端使用服务器提供的密钥来验证身份。
4. **会话加密**：一旦认证完成，所有的会话数据都将使用会话密钥进行加密，保证数据传输的隐私性和完整性。

SSH的工作原理确保了即便在不安全的网络环境下，用户也能安全地进行远程操作和数据传输，它是IT行业进行远程管理和维护的基石。

# 2. SSH基础命令的使用

## 2.1 SSH客户端命令

### 2.1.1 建立远程连接的ssh命令

SSH客户端命令主要用于从本地计算机建立与远程服务器的安全连接。这是大多数操作中最基本的步骤。

假设用户想要使用SSH连接到名为 `remote_host` 的远程服务器，命令格式如下：

ssh [username]@remote_host

其中，`[username]` 是在远程服务器上的账户名。如果SSH端口不是默认的22，您还需要指定端口，如下所示：

ssh -p [port] [username]@remote_host

一旦执行此命令，系统会提示您输入密码。输入密码后，如果认证成功，用户将能够看到远程服务器的命令提示符，并开始进行操作。

### 2.1.2 文件传输的scp与sftp命令

文件传输是通过SSH进行远程管理的一个重要方面。`scp`（secure copy）和 `sftp`（SSH file transfer protocol）是两种常用的方法。

- `scp` 命令：

scp -r local_dir [username]@remote_host:/path/to/remote_dir

此命令将 `local_dir` 目录及其内容递归复制到远程主机 `remote_host` 上的指定目录。

- `sftp` 命令：

sftp [username]@remote_host:/path/to/remote_dir

执行 `sftp` 命令后，用户将进入一个安全的文件传输会话环境，在这里可以使用 `put` 和 `get` 命令进行文件上传和下载。例如：

sftp> put localfile.txt remote_host:/path/to/remote_dir
sftp> get remotefile.txt /local/path/

### 2.2 SSH服务器端配置

#### 2.2.1 SSH服务的安装与启动

在安装和启动SSH服务之前，需要先确定您的操作系统。不同发行版的Linux使用不同的包管理器和命令来安装和启动服务。以Ubuntu为例，可以使用以下命令：

sudo apt update
sudo apt install openssh-server
sudo systemctl enable ssh
sudo systemctl start ssh

上述命令将更新软件包索引、安装SSH服务、设置SSH服务开机自启以及启动SSH服务。

#### 2.2.2 配置文件的主要参数设置

SSH配置文件通常位于 `/etc/ssh/sshd_config`。对于这个文件的修改，需要管理员权限，而且通常建议在修改之前备份配置文件。

一些基本的参数设置如下：

- 修改默认端口：

  Port 2222

- 允许或禁止root用户登录：

  PermitRootLogin yes/no

- 修改SSH服务监听的地址：

  ListenAddress ***.***.*.*

### 2.3 SSH密钥认证机制

#### 2.3.1 创建SSH密钥对

使用SSH密钥认证，可以提高远程登录的安全性，避免密码被猜解或者暴力破解。在本地计算机上生成密钥对的命令如下：

ssh-keygen -t rsa -b 4096

该命令会提示您选择密钥存储位置、输入密码短语（可选）等。生成密钥对后，会在用户主目录下创建 `.ssh` 文件夹，其中包含公钥 `id_rsa.pub` 和私钥 `id_rsa`。

#### 2.3.2 密钥的分发与管理

一旦创建了密钥对，便可以使用 `ssh-copy-id` 命令将公钥分发到远程服务器，从而允许使用密钥认证登录：

ssh-copy-id [username]@remote_host

您也可以手动将公钥内容添加到远程服务器的 `~/.ssh/authorized_keys` 文件中。对于密钥的管理，建议定期检查权限设置，避免不必要的安全风险。

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

这些步骤可以帮助确保使用SSH密钥认证机制的安全性和可靠性。

# 3. SSH安全配置与优化

## 3.1 高级SSH安全设置

### 3.1.1 配置SSH访问控制

SSH访问控制是一种保护远程服务免受未授权访问的方法。通过配置`/etc/hosts.allow`和`/etc/hosts.deny`文件，管理员可以指定哪些主机可以访问SSH服务。使用TCP Wrapper工具来实现这个目的，它是一个基于主机的访问控制工