SSH全称secure shell，安全外壳协议（安全的shell），是一个计算机网络协议（默认端口号为22）。通过ssh协议可以在客户端安全（提供身份认证、信息加密）的远程连接LInux服务器或其他设备。

使用广泛的Xshell软件就是基于SSH协议远程连接。

SSH远程连接之后能干什么？

SSH远程连接之后，就可以像操作本地的机器一样操作远程机器。当需要操控的机器不在本地时就可以使用ssh协议远程连接操控。

SSH协议有诸多的实现软件，广泛使用的SSH实现软件是OpenSSH。OpenSSH是SSH协议的一种开源实现，现在已经成为Linux、Unix等操作系统的SSH协议默认实现。

OpenSSH官网：点这里

官网的介绍：

OpenSSH is the premier connectivity tool for remote login with the SSH protocol. It encrypts all traffic to eliminate eavesdropping, connection hijacking, and other attacks. In addition, OpenSSH provides a large suite of secure tunneling capabilities, several authentication methods, and sophisticated configuration options.

OpenSSH软件分为两个部分：client端和server端

OpenSSH 服务端主要提供远程登录和文件传输等功能，可以被其他用户或系统通过 SSH 协议连接并访问。通过 SSH 连接到 OpenSSH 服务端后，用户可以在服务器上执行命令、上传或下载文件等操作。

OpenSSH 客户端则是用来连接远程服务端的工具。用户可以使用命令行或图形界面工具来连接到 OpenSSH 服务端，并通过 SSH 协议进行通信。OpenSSH 客户端可以通过用户名和密码、公钥验证等方式进行身份验证，一旦连接成功，用户就可以在远程服务器上执行命令、上传或下载文件等操作。

使用OpenSSH控制远程机器，需要对方安装了OpenSSH服务端。

OpenSSH基本不需要大家自己安装，大部分的Linux发行版，比如Debian、Ubuntu、CentOS等都默认安装好OpenSSH，相当于系统软件，当然如果因为某些原因没有安装OpenSSH，也可以使用下面的命令安装。

在 CentOS 或 Red Hat Enterprise Linux 中可以使用以下命令安装：

在 Ubuntu 或 Debian 中可以使用以下命令安装：

查看安装版本（可以验证是否安装）

确认SSH服务正在运行

确认安装好OpenSSH之后，就可以使用ssh远程控制其他机器了，当然被控制的机器也需要安装OpenSSH。在Linux中使用OpenSSH与其他软件相同都是通过命令的形式使用，其中进行连接的命令为ssh。

OpenSSH客户端连接服务端时需要进行身份认证，常用的认证方式有两种：密码认证和密钥认证。这里将用密码认证的方式进行基本的使用。

ssh命令进行远程连接有三种命令格式：

加深对ssh的理解：使用Linux操作系统的时候，开机完成之后的第一件事就是登录用户，输入用户名然后输入密码，这个用户是Linux中已经创建的，然后密码存储在/etc/shadow中，这是本地登录的时候的过程。

而SSH远程登录也是差不多的，只是从本地换成远程。在前两个命令中，都可以传入用户名，这个用户名要求远程机器中已经创建，命令本质就是使用这个用户名去登录远程机器，然后第三个命令形式没有用户名，它默认使用的是你当前本地机器登录的用户名去登录远程机器（第二个命令不指定效果相同），比如你当前本地机器是root用户，使用第三个命令去远程连接，则会使用root用户去登录。hostname一般为远程机器的IP地址，也可使用主机域名。

连接完成之后就可以远程控制主机。

示例：使用ssh 用户名@hostname的形式连接远程机器。

host1模拟本地机器，IP地址：192.168.94.142；host2模拟远程服务器，IP地址：192.168.94.143，连接成功之后会发现第一提示符已经变为host2，这时就可以远程操纵host2了。连接过程截图如下所示：

~/.ssh是存放SSH客户端相关配置和密钥文件的目录，但是第一次使用ssh的时候这个目录一般是空的，上述的konwn_hosts只有使用了ssh之后才会自动创建，然后其他主机发送公钥至本机之后，本机会生成authorized_keys文件用于存放相关的主机和密钥信息。如果想要对客户端的配置进行修改，也可以在该目录下创建config文件。

如果你只是想在本地控制远程机器，上述的ssh命令已经能够满足你，但是关于ssh还有很多拓展。

一般我们想要更深刻的了解Linux的软件，基本都是从它的配置文件入手。

OpenSSH分为服务端和客户端，它的配置文件也有两个，sshd_config（server配置文件）和ssh_config（client配置文件）。

ssh_config是OpenSSH客户端的配置文件，这是一个全局的配置文件，文件内容大多为远程连接时使用的参数，文件的路径/etc/ssh/ssh_config。虽然这个文件是客户端的全局配置文件，但是一般不会对这个配置文件进行修改。在配置文件中可以查看到下列内容。

由上图可知：ssh客户端的全局配置文件的优先级是最低的，优先级最高是使用命令时指定的参数，其次为单个用户的配置文件（路径设置~/.ssh/config，这个文件默认不存在，需要用户进行创建）。

基于以上的规则，修改的客户端全局配置文件并不是一个很好的选择，当需要对某一参数进行改变时，直接在使用ssh命令连接时指定相对应的参数更加方便灵活。

sshd_config是OpenSSH服务端的配置文件，路径etc/ssh/sshd_config，该文件包括服务端的安全配置等。ssh服务器的连接配置都由这个文件决定，包括SSH协议连接端口号等。

常规sshd_config文件内容：

修改端口号，修改17行内容，取消注释，将22改成其他值，然后重启刷新服务（守护进程都需要重新启动服务才能使用新的配置），这时默认端口号将会改成其他值。 例：将端口号改为23后，如何使用ssh命令连接。 这个时候连接该机器则需要使用23号端口，不然会连接不上，使用ssh命令指定相应的23端口如下所示，三种格式都是可以使用-p参数的。

19行和20行，ListenAddress，指定SSH监听的IP地址，19行是ipv4地址，20行是ipv6地址，通过更改设置，可以指定哪些IP地址的机器通过SSH连接本机（0.0.0.0和::代表监听所有IP地址）。

31行，#SyslogFacility AUTH这个是日志相关的配置，指定记录日志facility，与日志记录相关，在日志学习中可以学到。

38行，#PermitRootLogin yes设置是否允许使用root用户进行远程登录。默认为yes表示允许，去掉注释改为no则不再允许使用root用户远程登录。

43行，#PubkeyAuthentication yes设置是否允许使用密钥认证，上文提到ssh有两种认证方式：密码认证和密钥认证。设置为no禁止使用密钥认证。

142行，#PasswordAuthentication yes设置是否允许使用密码认证，设置为no则禁止密码认证。

123行，#Banner none设置欢迎横幅，就是远程登录之后，出现的文字。

其他基本不用的配置：

​ 以上是常见的关于sshd的配置。那么修改这些配置的原因是什么？直接使用默认配置就已经能够正常使用ssh协议，修改配置的意义涉及另一个方面：安全。

​ 每台Linux系统的ssh默认配置是相同的，这样所有人都知道ssh协议默认是22号端口，那么这个时候IP地址再泄露，可以通过猜密码的方式去恶意的远程控制主机。而修改这些默认设置，比如修改端口号，其他人就很难知道该主机的ssh端口号，再进一步比如禁止root用户登录，降低远程登录的权限，通过一步步的加固，可以让Linux服务器更加安全。

上文提到了ssh命令进行远程连接，这部分对ssh命令的参数进行详细的讲解。

远程登录，前面说过了，不再赘述（包括使用端口号登录）

登录同时执行命令

-t选项：提供互动式的shell，当执行命令需要一个互动的shell时使用，例如vim命令

-f和-F

-v（小写）：显示命令的详细执行过程

-q（quiet）：静默模式，不会输出警告信息（用了参数输错密码也不会提示，如下图所示）

当需要在本地和远程进行文件传输时就可以使用scp命令，scp和cp命令效果完全相同（拷贝文件，包括拷贝多个文件），只是scp是远程拷贝，而cp是本地拷贝。scp分为将远程文件拷贝到本地和将本地文件拷贝到远端。

命令格式：

将本地文件拷贝至远程机器

将远程机器文件拷贝至本地

其他参数

-v：输出更详细

-P（大写P）：指定ssh协议端口号

-l：限制传输速率（单位：kbit/s）

sftp是一种通过安全通道进行文件传输的协议。与scp命令相同，sftp命令也能够进行本地和远端的文件传输。

sftp与scp的区别：scp在拷贝完文件之后会立即退出远程控制，不会提供交互式的shell，而sftp是交互式的，不需要一次完成，并且sftp有专门的命令语法对远程和本地机器的文件拷贝进行控制，功能更强大。

命令格式：

sftp是先使用ssh协议连接到远程主机，然后提供一个交换式shell，通过这个交互式的shell运行自带的命令实现文件传输。

在sftp成功之后，会发现第一标识符变为sftp>，这时已经切换到交互式shell：

当第一标识符变为sftp之后，就可使用sftp自带的命令进行文件传输。

sftp自带命令与平常的Linux命令十分相似，然后控制本地主机和远程主机命令是一致的，唯一的区别：控制本地机器时需要在命令之前加!，不加!控制远程机器。

命令如下所示：

部分操作演示：

在host1/root创建文件test，然后使用sftp远程连接host2，host2/root不创建test目录

将host1的test文件传输至host2

最开始介绍了ssh的密码认证，ssh还有另一种更方便更安全的常用认证方式：密钥认证。在进行相关配置之后，连接比密码认证更便捷，只需配置一次，之后就不需要像密码认证一般每次连接输入密码（免密通道），而密码认证，每次都需要输入密码进行认证，有泄露密码的风险。

ssh密钥认证算法原理使用了非对称加密算法原理，通过使用公钥和私钥来实现。

非对称加密是一种使用不同的密钥进行加密和解密的加密算法，另外还有使用相同密钥加密解密的算法——对称加密算法。在非对称加密中，有两个密钥：公钥（Public Key）和私钥（Private Key）。公钥用于加密数据，而私钥用于解密数据，使用不同的密钥进行加密解密安全性更高。

非对称加密通信过程：

在两台主机进行数据通信时，接受方将生成的公钥传送给发送方，发送方使用接收方的公钥对数据加密传输给接收方，接收方使用私钥进行解密。使用非对称加密时，只将公钥传输给对方，私钥不发送，并且只有私钥能够对信息进行解密，对比对称加密，安全性更高。

常用的非对称加密算法：rsa，dsa等

虽然ssh密钥认证使用非对称加密的原理，但是ssh密钥认证过程并不是与非对称加密通信过程完全相同，而是和数字签名的过程的比较相似，数字签名也使用了非对称加密，但是它是私钥加密，公钥解密，用于识别发送方的身份和验证数据的完整性。 ssh使用数字签名相似的原理进行了身份验证。

在SSH密钥认证中，客户端会生成一对密钥：私钥和公钥。私钥保存在客户端本地，而公钥则传输到服务器上。当客户端尝试连接到服务器时，客户端会使用私钥对一个挑战（challenge）进行加密，并将加密结果发送给服务器。服务器端会使用之前保存的公钥来验证客户端发送的数据。如果验证成功，服务器就确认客户端的身份，允许其登录。

使用ssh公钥认证时请确保ssh服务器开启了公钥认证权限配置，下面是实现的具体步骤：

host1模拟本地机器，host2模拟远程机器

首先在ssh客户端生成公钥和私钥对

使用上述命令时，会有两次输入请求：

当生成完毕之后，可以在~/.ssh路径下可以看到新生成的密钥对（会多出两个文件），在不指定文件名称时，文件名称为加密算法名称，其中.pub结尾的为公钥：

生成完毕之后，将公钥发送给需要远程连接的机器

传输公钥时，会要求输入服务器端的用户密码

传输完成后，在host2的~/.ssh下可以看到多了个文件authorized_keys，这个文件储存有host1的公钥，如下图，图二为文件内容：

将公钥发送给服务器之后即可进行连接

这部分是一些和ssh协议有关系的操作或者命令的简单介绍

rsync命令是一个文件同步备份的命令，除了本地同步，还支持远程同步，可以将其理解为remote sync（远程同步）。除了支持远程同步备份与cp，tar等命令不同之外，rsync是一个增量同步的命令，只有数据存在差异时，才会覆盖不同的部分。

rsync命令十分好用，这个命令底层有两个实现协议：ssh协议和rsync协议。因为它也用到了ssh协议这里顺带讲一下。（只是简单提一下）

rsync和scp很相像，但是rsync的性能比scp好，还支持增量同步，而且rsync支持更复杂的参数，有更多的控制选项，rsync相当于scp的上位命令。

使用rsync命令需要两台机器都安装rsync命令。

rsync命令有几种格式：

可用参数：

rsync相较于使用ssh协议，使用更多的是rsync协议，一般称为rsync-daemon模式，这个模式更稳定，更安全，只是没有但用rsync命令那么灵活，需要在被传输机器上进行相关配置，这里就不讲解了。