生成密鑰

1. 默認(rèn)密鑰

   ssh-keygen -t rsa -C zcw1994@live.com
   

2. 生成自定義文件名密鑰

   ssh-keygen -t rsa -f ~/.ssh/id_rsa_github -C zcw1994@live.com
   

3. 多密鑰配置

   添加文件~/.ssh/config，內(nèi)容如下

   Host test-github                        #網(wǎng)站本地別稱，建議設(shè)置成網(wǎng)站域名，該行不要直接復(fù)制，具體見下文
   Hostname github.com                     #網(wǎng)站實(shí)際地址
   IdentityFile ~/.ssh/test-github         #密鑰路徑
   User zcw
   

4. 多密鑰測試

   ssh -v git@test-github
   

   @符號后面的地址需要使用config文件中的 host 的值，而不是 hostname ，所以說建議設(shè)置成一樣，測試連接 github.com 不行，這個(gè)大坑

sshd安全

vi /etc/ssh/sshd_config

X11Forwarding no  #
PermitEmptyPasswords no     # 禁止空密碼
MaxStartups  10             # 最多保持多少個(gè)未認(rèn)證的連接，防止SSH拒絕服務(wù)
PermitRootLogin no          # 禁止root登錄，否則很容易被用來暴力猜解

ssh端口轉(zhuǎn)發(fā)

場景舉例

• dev為本地開發(fā)機(jī)器，家庭寬帶，無固定公網(wǎng)ip，運(yùn)行tomcat服務(wù)，端口是8080

• A@prod為阿里云服務(wù)器，有固定公網(wǎng)ip，運(yùn)行mongodb服務(wù)，端口是27017

• B@prod為阿里云服務(wù)器，無外網(wǎng)，和A@prod在同一局域網(wǎng)，運(yùn)行mysql服務(wù)，端口是3306

1. 代理服務(wù)器

   TODO

2. 訪問本地特定端口，訪問遠(yuǎn)程指定服務(wù)

   • 需求示例1：從dev機(jī)器訪問A@prod上的mongodb服務(wù)

   # 加上-f，在后臺執(zhí)行
   ssh sshUser@106.12.13.14 -C -N -g -L 27018:localhost:27017
   

   • 需求示例2：從dev機(jī)器訪問B@prod上的mysql服務(wù)，利用A@prod作為跳板機(jī)

   ssh sshUser@106.12.13.14 -C -N -g -L 13306:192.168.0.101:3306
   

3. ssh遠(yuǎn)程端口轉(zhuǎn)發(fā)，訪問遠(yuǎn)程特定端口，訪問本地指定服務(wù)

   A@prod上需編輯/etc/ssh/sshd_config，修改GatewayPorts為yes，更多請查看man sshd_config
   

   • 需求示例：從A@prod訪問本地dev機(jī)器的tomcat服務(wù)

   ssh sshUser@106.12.13.14 -C -N -g -R \
       localhost:18080:localhost:8080  \   # 訪問遠(yuǎn)程18080端口，即本地8080的服務(wù)
       -o ExitOnForwardFailure=yes \
       -o ServerAliveInterval=60           # 客戶端每60向服務(wù)器發(fā)送一次請求，服務(wù)器響應(yīng)，從而保持連接
   

   • 自動填入密碼腳本

   set password xxx
   spawn ssh sshUser@106.12.13.14 -C -N -g -R \
       localhost:18080:localhost:8080 \
       -o ExitOnForwardFailure=yes \
       -o ServerAliveInterval=60
   expect "password" {send "$password\r"}
   interact