Secure Shell用于通过加密连接从客户端远程访问服务器。OpenSSH作为Telnet连接的加密安全连接替代方案，可以实现远程访问shell终端。大多数GNU/Linux发行版默认都安装了OpenSSH客户端，用于连接服务器。

这些例子展示了如何使用SSH套件接受SSH连接并连接到另一台主机。

1: 连接到远程服务器

To connect to a server we must use SSH on the client as follows,

要连接到服务器，我们必须在拥有SSH客户端的机器上使用ssh命令来进行远程连接，ssh的使用格式如下所示：

# ssh [-p port] [user]@<server-address>

• port - SSH服务端监听的端口 (默认为 22)。如果连接的是默认的22端口，-p port通常可以省略
• user - 必须是远程连接过去的服务器上存在的用户。如果你本地机器的用户名和远程的用户名一致，也可以省略@前面的用户名和@符号。
• server-address - 远程服务器的IP、域名，如果本地有做IP和主机名的映射，也可以用主机名。

下面是一个连接到服务器的例子

[sean@MacBook-Pro ~]$ ssh -p 22 demouser@192.168.10.144
demouser@192.168.10.144's password:
Welcome to Ubuntu 24.04.1 LTS (GNU/Linux 6.8.0-48-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

扩展安全维护（ESM）Applications 未启用。

0 更新可以立即应用。

启用 ESM Apps 来获取未来的额外安全更新
请参见 https://ubuntu.com/esm 或者运行: sudo pro status

Last login: Tue Nov  5 10:26:20 2024 from 192.168.10.174

举一个可能存在于生产环境的例子，假设你正在制作一个网站。您选择托管站点的公司告诉您，服务器位于web- server.com，自定义端口60022，并且已选择您的帐户名称usr1来在服务器上创建具有SSH权限的用户。在这种情况下，使用的SSH命令将是这样的

# ssh -p 60022 usr1@web-servers.com

如果远程系统上的帐户名与本地客户端相同，可以省略该用户名。所以如果你在两个系统上都是usr1，那么你只需使用web- server.com而不是usr1@web-servers.com。

当您想要连接的服务器不能直接访问时，您可以尝试使用ProxyJump的选项，通过您可以访问的另一个服务器连接到它，该服务器可以连接到所需的服务器。

# ssh -J usr1@10.0.0.1:60022 usr2@10.0.0.2 -p 2222

这将允许您通过服务器10.0.0.1（在端口60022上运行ssh）连接到服务器10.0.0.2（在端口2222上运行ssh）。当然，你需要在两个服务器上都有账户。OpenSSH 7.3版本中引入了-J 选项。

2: 安装OpenSSH服务组件

远程接受SSH连接的服务器和发起SSH连接的客户端都需要安装openssh

Debian:

# apt install -y openssh-server

Arch Linux:

# pacman -S openssh

Yum:

# yum install openssh

3: 配置 SSH 服务器以接受连接

首先我们必须编辑SSH守护进程的配置文件。尽管在不同的Linux发行版中，它可能位于不同的目录中，但通常存储在/etc/ssh/sshd_config下

使用文本编辑器修改这个文件中设置的值，所有以#开头的行都被注释掉，必须删除这个字符才能生效。下面是一些建议。

Port (chose a number between 0 - 65535, normaly greater than four digits)
PasswordAuthentication yes
AllowUsers user1 user2 ...etc

请注意，最好禁用密码登录，并使用SSH密钥来提高安全性，如本文档所述。

4: 无密码连接（使用密钥对）

首先，你需要一个密钥对。如果你还没有，看看下一节的 生成公钥和私钥

你的密钥对由一个私钥（id_rsa）和一个公钥（id_rsa.pub）组成。你要做的就是将公钥复制到远程主机，并将其内容添加到~/。ssh / authorized_keys文件中。

一个简单的方法是：

ssh <user>@<ssh-server> 'cat >> ~/.ssh/authorized_keys' < id_rsa.pub

一旦公钥被正确地放在用户的主目录中，你只需要使用相应的私钥登录：

ssh <user>@<ssh-server> -i id_rsa

5: 生成公钥和私钥

为SSH客户端生成密钥：

ssh-keygen [-t rsa | rsa1 | dsa ] [-C <comment>] [-b bits]

例如:

ssh-keygen -t rsa -b 4096 - C myemail@email.com

默认情况下私钥是~/.ssh /id_rsa 而公钥是 ~/. ssh /id_rsa.pub

6: 关闭ssh服务

如果你确定有这样的需求，你可以关闭SSH服务器的服务，这样做的话，客户端将无法通过SSH连接从远程连接到服务器。

Ubuntu

sudo service ssh stop
sudo systemctl disable sshd.service

Debian

sudo /etc/init.d/ssh stop
sudo systemctl disable sshd.service

Arch Linux

sudo killall sshd
sudo systemctl disable sshd.service