SSH (Secure Shell查坪，安全外殼協(xié)議)是一種為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議瓶盛。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序沛婴，如：ftp欺旧、pop和telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)或者進(jìn)行中間人攻擊呀忧。通過(guò)使用SSH师痕，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密并且傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣榷恕SH有很多功能胰坟，它既可以代替Telnet，又可以為FTP泞辐、PoP笔横、甚至為PPP提供一個(gè)安全的"通道"。SSH 只是一種協(xié)議咐吼，存在多種軟件實(shí)現(xiàn)狠裹，既有商業(yè)實(shí)現(xiàn)，也有開(kāi)源實(shí)現(xiàn)汽烦。比如OpenSSH，它是自由軟件莉御，應(yīng)用非常廣泛撇吞。

登錄

// 以用戶名user，登錄遠(yuǎn)程主機(jī)host礁叔，使用默認(rèn)端口22牍颈。
$ ssh user@host
// 如果本地用戶名與遠(yuǎn)程用戶名一致，登錄時(shí)可以省略用戶名琅关。
$ ssh host
// 如果ssh服務(wù)端沒(méi)有使用默認(rèn)端口煮岁，可以通過(guò)-p選項(xiàng)指定端口參數(shù)。
$ ssh -p 2222 user@host

SSH 有兩種登錄方式涣易，分別是口令登錄和公鑰登錄画机。

口令登錄

口令登錄就是在輸入上述的 SSH 登錄請(qǐng)求命令后，系統(tǒng)會(huì)要求輸入對(duì)應(yīng)用戶的密碼新症，如果密碼正確就登錄成功步氏。SSH 之所以能夠保證密碼的安全，是因?yàn)樗捎昧斯€加密徒爹。即遠(yuǎn)程主機(jī)收到用戶的登錄請(qǐng)求荚醒，把自己的公鑰發(fā)給用戶，用戶使用這個(gè)公鑰隆嗅，將登錄密碼加密后界阁，發(fā)送回去，遠(yuǎn)程主機(jī)用自己的私鑰胖喳，解密登錄密碼泡躯，如果密碼正確，就同意用戶登錄。但這里存在的一個(gè)安全隱患是精续，SSH 并沒(méi)有數(shù)字證書(shū)的概念坝锰，即客戶端無(wú)法像HTTPS中那樣驗(yàn)證遠(yuǎn)程主機(jī)的公鑰，如果有中間人攻擊重付，截獲了客戶端的登錄請(qǐng)求顷级，并返回給客戶端一個(gè)偽造的公鑰，這樣中間人就獲取了客戶端的密碼确垫，并可以用其登錄真正的遠(yuǎn)程主機(jī)弓颈。

SSH的解決辦法是，如果是第一次登錄遠(yuǎn)程主機(jī)會(huì)出現(xiàn)提示

$ ssh user@host
The authenticity of host 'host (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?

意思是無(wú)法確認(rèn)host主機(jī)的真實(shí)性删掀，只知道它的公鑰指紋(對(duì)較長(zhǎng)的公鑰進(jìn)行散列后的字符串)翔冀，需要登錄用戶自己進(jìn)行驗(yàn)證確認(rèn)。用戶驗(yàn)證的方法只能是通過(guò)其他途徑(比如官網(wǎng)等)拿到真正的公鑰并進(jìn)行比對(duì)披泪。

如果用戶確認(rèn)公鑰是正確的纤子，就輸入yes，之后會(huì)得到提示

Warning: Permanently added 'host,xxx.xxx.xxx.xxx' (RSA) to the list of known hosts.

然后款票，會(huì)要求輸入密碼控硼。如果密碼正確，就登錄成功了艾少。提示信息的意思是之前的公鑰已被確認(rèn)卡乾，并保存到了$HOME/.ssh/known_hosts，即用戶自己的known_hosts缚够。當(dāng)下次再要遠(yuǎn)程登錄該主機(jī)時(shí)幔妨，程序就可以自動(dòng)使用known_hosts中的公鑰進(jìn)行比對(duì)，用戶可以直接輸入密碼登錄了谍椅。

公鑰登錄

使用公鑰登錄可以免去輸入密碼误堡，原理是將用戶自己的公鑰儲(chǔ)存在遠(yuǎn)程主機(jī)上。登錄的時(shí)候雏吭，遠(yuǎn)程主機(jī)會(huì)向用戶發(fā)送一段隨機(jī)字符串埂伦，用戶用自己的私鑰加密后，再發(fā)回來(lái)思恐。遠(yuǎn)程主機(jī)用事先儲(chǔ)存的公鑰進(jìn)行解密沾谜，如果成功，就證明用戶是可信的胀莹，直接允許登錄shell基跑，不再要求密碼。

用戶可以通過(guò)ssh-keygen生成自己的密鑰對(duì)描焰，運(yùn)行結(jié)束以后媳否，在$HOME/.ssh/目錄下栅螟，會(huì)新生成兩個(gè)文件：id_rsa.pub和id_rsa。前者是你的公鑰篱竭，后者是你的私鑰力图。

$ ssh-keygen

將公鑰傳到遠(yuǎn)程主機(jī)上(這次是需要輸入登錄密碼的)，mac下可能需要先安裝ssh-copy-id命令brew install ssh-copy-id

$ ssh-copy-id user@host
// 可以通過(guò)-p指定非默認(rèn)端口掺逼，如果用戶有多對(duì)密鑰對(duì)吃媒，可以通過(guò)-i指定公鑰文件
$ ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22222 user@host

使用上述命令，遠(yuǎn)程主機(jī)實(shí)際上是將用戶的公鑰保存在登錄后的用戶主目錄的$HOME/.ssh/authorized_keys文件中吕喘。即使不使用ssh-copy-id命令也可以完成這一操作

ssh root@45.62.109.22 -p 26218 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub
// ssh root@45.62.109.22 -p 26218：登錄遠(yuǎn)程主機(jī)
// 單引號(hào)內(nèi)的內(nèi)容是登錄后要執(zhí)行的命令
// mkdir -p .ssh：如果用戶主目錄中的.ssh目錄不存在赘那，就創(chuàng)建一個(gè)
// 'cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub：將本地的公鑰文件~/.ssh/id_rsa.pub，重定向追加到遠(yuǎn)程文件authorized_keys的末尾氯质。

登錄成功后募舟，用戶就可以在本地shell中操作遠(yuǎn)程主機(jī)了。

相關(guān)命令

如果客戶端本地有多個(gè)秘鑰對(duì)闻察，可以通過(guò)密鑰管理器ssh-agent來(lái)管理拱礁，運(yùn)行ssh-agent以后，使用ssh-add將私鑰交給ssh-agent保管辕漂，其他程序需要身份驗(yàn)證的時(shí)候可以將驗(yàn)證申請(qǐng)交給ssh-agent來(lái)完成整個(gè)認(rèn)證過(guò)程呢灶。

// 運(yùn)行ssh-agent
$ ssh-agent
// 把專(zhuān)用密鑰添加到 ssh-agent 的高速緩存中
ssh-add ~/.ssh/id_rsa
// 從ssh-agent中刪除密鑰
ssh-add -d ~/.ssh/id_xxx.pub
// 刪除ssh-agent中的所有密鑰
ssh-add -D
// 查看ssh-agent中的密鑰
ssh-add -l