Linux下10個常用的SSH命令選項

SSH（全稱 Secure Shell)是一種加密的網路協定。使用該協定的資料將被加密，如果在傳輸中間資料洩漏，也可以確保沒有人能讀取出有用資訊。要使用 SSH，目標機器應該安裝 SSH 伺服器端應用程式，因為 SSH 是基於客戶-服務模式的。 當你想安全的遠端連線到主機，可中間的網路（比如因特網）並不安全，通常這種情況下就會使用 SSH。

安裝 SSH

Linux 系統預設已經安裝了 SSH。可以手工來安裝一下。最簡單的方式就是使用 Linux 包管理器。 

基於 Debian / Ubuntu 的系統 : 

安裝 ssh-client

$ sudo apt-get install openssh-client

安裝 ssh-server

$ sudo apt-get install openssh-server

基於 RedHat / CentOS 的系統 :

# yum install openssh-server openssh-clients

SSH 一旦安裝上，我們就可以在終端下輸入 ssh 來檢查下安裝的是否正常。

linuxidc@linuxidc:~$ ssh
usage: ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
          [-D [bind_address:]port] [-E log_file] [-e escape_char]
          [-F configfile] [-I pkcs11] [-i identity_file] [-L address]
          [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
          [-Q query_option] [-R address] [-S ctl_path] [-W host:port]
          [-w local_tun[:remote_tun]] [user@]hostname [command]

使用 SSH

提供了許多可使用的選項。這篇文章會介紹一些我們在日常操作中經常使用的選項。 

1. 無選項引數執行 SSH

通常使用 SSH 的方式就是不加任何選項引數,僅僅輸入 “ssh”。下面是範例：

$ ssh 192.168.0.103

第一次連線目標主機時，ssh 會讓你確認目標主機的真實性。如果你回答的是 NO，SSH 將不會繼續連線，只有回答 Yes 才會繼續。 

下一次再登陸此主機時，SSH 就不會提示確認訊息了。對此主機的真實驗證資訊已經預設儲存在每個使用者的 /home/user/.ssh 檔案裡。 

2. 指定登陸使用者

預設的，ssh 會嘗試用當前使用者作為使用者名稱來連線。在上面的範例命令中，ssh 會嘗試用使用者名稱叫 pungki 的使用者身份來登入伺服器，這是因為使用者 pungki 正在客戶機上使用 ssh 用戶端軟體。

假如目標主機上沒有叫 pungki 的使用者，這時你就必須提供一個目標主機上存在的使用者名稱。從一開始就要指定使用者名稱的，可以使用 -l 選項引數。

$ ssh -l linuxmi 192.168.0.103

也可以這樣輸入：

$ ssh linuxmi@192.168.0.0103

3. 指定埠

SSH 預設使用的埠號是 22。大多現代的 Linux 系統 22 埠都是開放的。如果你執行 ssh 程式而沒有指定埠號，它直接就是通過 22 埠傳送請求的。

一些系統管理員會改變 SSH 的預設埠號。要連上那主機，就要使用-p選項，後面在加上 SSH 埠號。

$ ssh 192.168.0.103-p 1234

要改變埠號，我們需要修改 /etc/ssh/ssh_config 檔案，找到此行：

Port22

把它換成其他的埠號，比如上面範例的 1234 埠，然後重新啟動 SSH 服務。 

4.對所有資料請求壓縮

有了這個選項，所有通過 SSH 傳送或接收的資料將會被壓縮，並且仍然是加密的。要使用 SSH 的壓縮功能，使用 -C 選項。

$ ssh -C 192.168.0.103

如果你的連網速度很慢的話，比如用 modem 上網，這個選項非常有用。但如果你使用的是像 LAN 或其它更高階網路的話，壓縮反而會降低你的傳輸速度。可以使用* -o* 選項加上壓縮級別引數來控制壓縮的級別，但這個選項僅僅只在SSH-1下起作用。

5. 指定一個加密演算法

SSH 提供了一些可用的加密演算法。可以在 /etc/ssh/ssh_config or ~/.ssh/config  檔案中看到（如果存在的話）。

SSH cipher configuration example

如果想使用 blowfish 演算法來加密你的 SSH 對談，只要把這一行加入你的/etc/ssh/ssh_config or ~/.ssh/config 檔案就可以：

Cipher blowfish

預設的，SSH 會使用 3des 演算法。

6. 開啟偵錯模式

因為某些原因，我們想要追蹤偵錯我們建立的 SSH 連線情況。SSH 提供的 -v 選項引數正是為此而設的。

$ ssh -v 192.168.0.103

7. 係結源地址

如果你的用戶端有多於兩個以上的 IP 地址，你就不可能分得清楚在使用哪一個 IP 連線到 SSH 伺服器。

為了解決這種情況，我們可以使用 -b 選項來指定一個IP 地址。這個 IP 將會被使用做建立連線的源地址。

$ ssh -b 192.168.0.200-l linuxmi 192.168.0.103

伺服器端，我們可以使用 netstat 命令來檢查到服務的連線是否建立。

8. 使用其他組態檔

預設情況下，ssh 會使用位於 /etc/ssh/ssh_config 的組態檔。這個組態檔作用於系統的所有使用者。但你想要為特定的使用者指定特殊的設定的話，可以把設定放入 ~/.ssh/config 檔案中。如果此檔案不存在，可以手工建立一個。

下面是一個通用 ssh_config 檔案設定的例子。這組態檔位於 /home/pungki 目錄下。

Host192.168.0.*
ForwardX11 yes
PasswordAuthentication yes
ConnectTimeout10
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Protocol2
HashKnownHosts yes
1234567

要使用指定的組態檔，可以使用 -F 選項。

$ ssh -F /home/pungki/my_ssh_config 192.168.0.101

9. 使用 SSH X11 Forwarding 伺服器端應用程式顯示到用戶端

某些時候，你可能想把伺服器端的 X11 應用程式顯示到用戶端計算機上，SSH 提供了 -X 選項。但要啟用這功能，我們需要做些準備，下面是它的設定：

在伺服器端，你需要使 /etc/ssh/ssh_config 檔案中的行設定成 ForwardX11 yes 或者 X11Forwad yes，以啟用 X11 Forwarding，重新啟動 SSH 服務程式。

然後在用戶端，輸入 ssh -X user@host:

$ ssh -X linuxmi@192.168.0.101

一旦登陸，可以輸入：

$ echo $DISPLAY

來檢查，你應該可以看到向如下所示的

localhost:10:0

隨後就可以執行應用了，僅僅只能輸入應用程式的命令。讓我們試試，比如想執行 xclock 程式，輸入：

$ xclock

它就執行起來了，xclock 確實是執行在遠端系統的，但它在你的本地系統裡顯示了。

10. 可信任的 X11 轉發

如果你敢肯定你的網路是安全的，那麼你可以使用可信任的 X11 轉發機制。這意味著遠端的 X11 用戶端可以完全的存取源 X11 顯示內容。要使用此功能，可以使用 -Y 選項。

$ ssh -Y linuxmi@192.168.0.101

SSH 給使用者提供了網路連線的極大安全性和靈活性。通常我們都會輸入 man ssh 和 man ssh_config 來顯示它的使用者手冊及檢視更多的細節。

Linux公社的RSS地址：https://www.linuxidc.com/rssFeed.aspx

本文永久更新連結地址：https://www.linuxidc.com/Linux/2018-09/154289.htm