安全动态

远程登录SSH安全小技巧

文章来源: 51CTO        2013-04-26 09:01:13

  SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。S S H最初是U N I X系统上的一个程序,后来又迅速扩展到其他操作平台。S S H在正确使用时可弥补网络中的漏洞。客户端包含ssh程序以及像scp(远程拷贝)、slogin(远程登陆)、sftp(安全文件传输)等其他的应用程序。SSH有很多非常酷的特性,如何它是你每天的工作伴侣,那么我想你有必要了解以下16条高效使用SSH的秘籍,它们帮你节省的时间肯定会远远大于你用来配置它们的时间。
  1. 在服务器间跳转
  有些时候,你可能没法直接连接到某台服务器,而需要使用一台中间服务器进行中转,这个过程也可以自动化。首先确保你已经为服务器配置了公钥访问,并开启了agent forwarding,现在你就可以通过2条命令来连接目标服务器,不会有任何提示输入:
  $ ssh gateway
  gateway $ ssh db
  然后在你的本地SSH配置中,添加下面这条配置:
  Host db
  HostName db.internal.example.com
  ProxyCommand ssh gateway netcat -q 600 %h %p
  现在你就可以通过一条命令来直接连接目标服务器了:
  $ ssh db
  这里你可能会需要等待长一点的时间,因为SSH需要进行两次认证,,注意netcat也有可能被写成nc或者ncat或者前面还需要加上g,你需要检查你的中间服务器来确定实际的参数。
  2. 省去用户名
  如果你在远程服务器上的用户名和你本地的用户名不同,你同样可以在SSH配置中进行设置:
  Host www* mail
  HostName %h.example.com
  User simon
  现在就算我的本地用户名是 smylers,我仍然可以这样连接我的服务器:
  $ ssh www2
  SSH会使用simon账户连接你的服务器,同样,Putty可以保存这个信息在你的session中。
  3. 主机别名
  你也可以在你的SSH配置中直接定义主机别名,就像下面这样:
  Host dev
  HostName dev.internal.example.com
  你还可以使用通配符来进行分组:
  Host dev intranet backup
  HostName %h.internal.example.com
  Host www* mail
  HostName %h.example.com
  在Putty中你可以为每个主机名保存单独的session,然后双击建立连接(但是它可能没办法支持通配符)。
  4. 省略主机名
  输入服务器的完整主机名来建立一个新的SSH连接实在是太乏味无聊了,尤其是当你有一组拥有相同域名但是子域名不同的服务器需要管理时,比如下面这样:
  * www1.example.com
  * www2.example.com
  * mail.example.com
  * intranet.internal.example.com
  * backup.internal.example.com
  * dev.internal.example.com
  或许你的网络已经配置了可以直接使用短域名,比如intranet,但是如果你的网络不支持,实际上你可以自己搞定这个问题,而不用求助网络管理员。
  解决办法根据你用的操作系统而略有差异,下面是我的Ubuntu系统的配置:
  prepend domain-search “internal.example.com”, “example.com”;
  然后你需要重启网络:$ sudo restart network-manager
  不同的系统,这两条命令可能会略有差异。
  5. 连接中转
  有时候你可能需要从一个服务器连接另外一个服务器,比如在两个服务器之间直接传输数据,而不用通过本地电脑中转:
  www1 $ scp -pr templates www2:$PWD
  (顺便说一下,当你需要在两台服务器间拷贝文件时,$PWD变量时非常有用的),因为即使你已经在两台服务器上添加了你本地电脑的公钥,scp默认仍然会提示你输入密码:这是因为你用来作为跳板的那台服务器上并没有你的私钥,所以,第二胎服务器会拒绝你的公钥,但是一定不要通过将你的私钥拷贝到中转服务器上来解决这个问题,你可以使用agent forwarding来解决这个问题,只要在你的.ssh/config文件中加入下面这行代码就可以了:ForwardAgent yes或者是在Putty中勾上“Allow agent forwarding”选项,现在你的本地SSH就变成了第一台服务器的SSH代理,从第一台服务器在连接其它服务器就变和和在你本地一样简单,注意,如果要开启这个选项,前提是这个中间服务器值得你信任。
  6.别再输入密码
  如果你还在通过密码方式登录SSH,那么你或许应该试试SSH Keys,首先使用OpenSSH为自己声称一对密钥:
  $ ssh-keygen
  跟随指示,完成之后,你应该可以在你的.ssh目录下看到两个文件,id_rsa就是你的私钥,而id_ras.pub则是你的公钥,现  在你需要将你的公钥拷贝到服务器上,如果你的系统有ssh-copy-id命令,拷贝会很简单:
  $ ssh-copy-id smylers@compo.example.org
  否则,你需要手动将你的私钥拷贝的服务器上的~/.ssh/authorized_keys文件中:
  $ < ~/.ssh/id_rsa.pub ssh clegg.example.org ‘mkdir -p .ssh; cat >> .ssh/authorized_keys; chmod go-w .ssh .ssh/authorized_keys’
  现在试试重新连接到SSH服务器,或是拷贝文件,是不是已经不需要再输入密码了?
  为Putty配置SSH Key
  Putty也可以使用SSH Key,从Putty网站下载PuttyGen和Pageant,然后使用PuttyGen生成你的密钥,将公钥拷贝到服务器的’.ssh/authorized_keys’目录,然后运行Pageant,导入你的私钥,让它在后台运行,险隘你就可以使用Putty通过公钥直接登录服务器了,你可以在Putty手册的第8,9章了解关于这一特性的详细介绍。
  7. 长连接
  如果你发现自己每条需要连接同一个服务器无数次,那么长连接选项就是为你准备的:
  ControlPersist 4h
  现在你每次通过SSH与服务器建立连接之后,这条连接将被保持4个小时,即使在你退出服务器之后,这条连接依然可以重用,因此,在你下一次(4小时之内)登录服务器时,你会发现连接以闪电般的速度建立完成,这个选项对于通过scp拷贝多个文件提速尤其明显,因为你不在需要为每个文件做单独的认证了。
  8. 多条连接共享
  如果你需要在多个窗口中打开到同一个服务器的连接,而不想每次都输入用户名,密码,或是等待连接建立,那么你可以配置SSH的连接共享选项,在本地打开你的SSH配置文件,通常它们位于~/.ssh/config,然后添加下面2行:
  ControlMaster auto
  ControlPath /tmp/ssh_mux_%h_%p_%r
  现在试试断开你与服务器的连接,并建立一条新连接,然后打开一个新窗口,再创建一条连接,你会发现,第二条连接几乎是在瞬间就建立好了。
  Windows用户
  如果你是Windows用户,很不幸,最流行的开源SSH客户端Putty并不支持这个特性,但是Windows上也有OpenSSH的实现,比如这个Copssh,如果你觉得下面的一些技巧对你很有帮助,或许你应该试试Copssh。
  文件传输
  连接共享不止可以帮助你共享多个SSH连接,如果你需要通过SFTP与服务器传输文件,你会发现,它们使用的依然是同一条连接,如果你使用的Bash,你会发现,你甚至SSH甚至支持Tab对服务器端文件进行自动补全,共享连接选项对于那些需要借助SSH的工具,比如rsync,git等等也同样有效。
  9. 加速连接
  如果你确保你和某个服务器之间的连接是安全的(比如通过公司内网连接),那么你就可以通过选择arcfourencryption算法来让数据传输更快一些:
  Host dev
  Ciphers arcfour
  注意这个加速是以牺牲数据的“加密”性为代价的,所以如果你连接的是位于网上的服务器,千万不要打开这个选项,并且确保你是通过VPN建立的连接。
  10. 减少延迟
  如果每次连接服务器都意味着你需要等待几十秒而无所事事,那么你或许应该试试在你的SSH配置中加入下面这条:
  GSSAPIAuthentication no
  如果这条命令有效的话,你应该通知你的系统管理员让他在服务器上禁用这个选项,这样其他人就不用再分别添加这条配置到它们的本地配置了。

 

分享到: 0
关闭窗口
版权所有:安徽智圣通信技术股份有限公司 皖ICP备11014159号
销售热线:0551-65359383 技术热线:0551-65359385