[[420096]]

學(xué)會使用安全外殼協(xié)議連接遠(yuǎn)程計算機(jī)。

使用 Linux，你只需要在鍵盤上輸入命令，就可以巧妙地使用計算機(jī)（甚至這臺計算機(jī)可以在世界上任何地方），這正是 Linux 最吸引人的特性之一。有了 OpenSSH，POSIX 用戶就可以在有權(quán)限連接的計算機(jī)上打開安全外殼協(xié)議，然后遠(yuǎn)程使用。這對于許多 Linux 用戶來說可能不過是日常任務(wù)，但從沒操作過的人可能就會感到很困惑。本文介紹了如何配置兩臺計算機(jī)的 安全外殼協(xié)議secure shell（簡稱 SSH）連接，以及如何在沒有密碼的情況下安全地從一臺計算機(jī)連接到另一臺計算機(jī)。

相關(guān)術(shù)語

在討論多臺計算機(jī)時，如何將不同計算機(jī)彼此區(qū)分開可能會讓人頭疼。IT 社區(qū)擁有完善的術(shù)語來描述計算機(jī)聯(lián)網(wǎng)的過程。

• 服務(wù)service： 服務(wù)是指在后臺運行的軟件，因此它不會局限于僅供安裝它的計算機(jī)使用。例如，Web 服務(wù)器通常托管著 Web 共享 服務(wù)。該術(shù)語暗含（但非絕對）它是沒有圖形界面的軟件。
• 主機(jī)host： 主機(jī)可以是任何計算機(jī)。在 IT 中，任何計算機(jī)都可以稱為 主機(jī)，因為從技術(shù)上講，任何計算機(jī)都可以托管host對其他計算機(jī)有用的應(yīng)用程序。你可能不會把自己的筆記本電腦視為 主機(jī)，但其實上面可能正運行著一些對你、你的手機(jī)或其他計算機(jī)有用的服務(wù)。
• 本地local： 本地計算機(jī)是指用戶或某些特定軟件正在使用的計算機(jī)。例如，每臺計算機(jī)都會把自己稱為 localhost。
• 遠(yuǎn)程remote： 遠(yuǎn)程計算機(jī)是指你既沒在其面前，也沒有在實際使用的計算機(jī)，是真正意義上在 遠(yuǎn)程 位置的計算機(jī)。

現(xiàn)在術(shù)語已經(jīng)明確好，我們可以開始了。

在每臺主機(jī)上激活 SSH

要通過 SSH 連接兩臺計算機(jī)，每個主機(jī)都必須安裝 SSH。SSH 有兩個組成部分：本地計算機(jī)上使用的用于啟動連接的命令，以及用于接收連接請求的 服務(wù)器。有些計算機(jī)可能已經(jīng)安裝好了 SSH 的一個或兩個部分。驗證 SSH 是否完全安裝的命令因系統(tǒng)而異，因此最簡單的驗證方法是查閱相關(guān)配置文件：

$ file /etc/ssh/ssh_config
/etc/ssh/ssh_config: ASCII text

如果返回 No such file or directory 錯誤，說明沒有安裝 SSH 命令。

SSH 服務(wù)的檢測與此類似（注意文件名中的 d）：

$ file /etc/ssh/sshd_config
/etc/ssh/sshd_config: ASCII text

根據(jù)缺失情況選擇安裝兩個組件：

$ sudo dnf install openssh-clients openssh-server

在遠(yuǎn)程計算機(jī)上，使用 systemd 命令啟用 SSH 服務(wù)：

$ sudo systemctl enable --now sshd

你也可以在 GNOME 上的 系統(tǒng)設(shè)置 或 macOS 上的 系統(tǒng)首選項 中啟用 SSH 服務(wù)。在 GNOME 桌面上，該設(shè)置位于 共享 面板中： 

在 GNOME 系統(tǒng)設(shè)置中激活 SSH

開啟安全外殼協(xié)議

現(xiàn)在你已經(jīng)在遠(yuǎn)程計算機(jī)上安裝并啟用了 SSH，可以嘗試使用密碼登錄作為測試。要訪問遠(yuǎn)程計算機(jī)，你需要有用戶帳戶和密碼。

遠(yuǎn)程用戶不必與本地用戶相同。只要擁有相應(yīng)用戶的密碼，你就可以在遠(yuǎn)程機(jī)器上以任何用戶的身份登錄。例如，我在我的工作計算機(jī)上的用戶是 sethkenlon ，但在我的個人計算機(jī)上是 seth。如果我正在使用我的個人計算機(jī)（即作為當(dāng)前的本地計算機(jī)），并且想通過 SSH 連接到我的工作計算機(jī)，我可以通過將自己標(biāo)識為 sethkenlon 并使用我的工作密碼來實現(xiàn)連接。

要通過 SSH 連接到遠(yuǎn)程計算機(jī)，你必須知道其 IP 地址或可解析的主機(jī)名。在遠(yuǎn)程計算機(jī)上使用 ip 命令可以查看該機(jī)器的 IP 地址：

$ ip addr show | grep "inet "
inet 127.0.0.1/8 scope host lo
inet 10.1.1.5/27 brd 10.1.1.31 [...]

如果遠(yuǎn)程計算機(jī)沒有 ip 命令，可以嘗試使用 ifconfig 命令（甚至可以試試 Windows 上通用的 ipconfig 命令）。

127.0.0.1 是一個特殊的地址，它實際上是 localhost 的地址。這是一個環(huán)回loopback地址，系統(tǒng)使用它來找到自己。這在登錄遠(yuǎn)程計算機(jī)時并沒有什么用，因此在此示例中，遠(yuǎn)程計算機(jī)的正確 IP 地址為 10.1.1.5。在現(xiàn)實生活中，我的本地網(wǎng)絡(luò)正在使用 10.1.1.0 子網(wǎng)，進(jìn)而可得知前述正確的 IP 地址。如果遠(yuǎn)程計算機(jī)在不同的網(wǎng)絡(luò)上，那么 IP 地址幾乎可能是任何地址（但絕不會是 127.0.0.1），并且可能需要一些特殊的路由才能通過各種防火墻到達(dá)遠(yuǎn)程。如果你的遠(yuǎn)程計算機(jī)在同一個網(wǎng)絡(luò)上，但想要訪問比自己的網(wǎng)絡(luò)更遠(yuǎn)的計算機(jī)，請閱讀我之前寫的關(guān)于 在防火墻中打開端口 的文章。

如果你能通過 IP 地址 或 主機(jī)名 ping 到遠(yuǎn)程機(jī)器，并且擁有登錄帳戶，那么就可以通過 SSH 接入遠(yuǎn)程機(jī)器：

$ ping -c1 10.1.1.5
PING 10.1.1.5 (10.1.1.5) 56(84) bytes of data.
64 bytes from 10.1.1.5: icmp_seq=1 ttl=64 time=4.66 ms
$ ping -c1 akiton.local
PING 10.1.1.5 (10.1.1.5) 56(84) bytes of data.

至此就成功了一小步。再試試使用 SSH 登錄：

$ whoami
seth
$ ssh sethkenlon@10.1.1.5
bash$ whoami
sethkenlon

測試登錄有效，下一節(jié)會介紹如何激活無密碼登錄。

創(chuàng)建 SSH 密鑰

要在沒有密碼的情況下安全地登錄到另一臺計算機(jī)，登錄者必須擁有 SSH 密鑰?？赡苣愕臋C(jī)器上已經(jīng)有一個 SSH 密鑰，但再多創(chuàng)建一個新密鑰也沒有什么壞處。SSH 密鑰的生命周期是在本地計算機(jī)上開始的，它由兩部分組成：一個是永遠(yuǎn)不會與任何人或任何東西共享的私鑰，一個是可以復(fù)制到任何你想要無密碼訪問的遠(yuǎn)程機(jī)器上的公鑰。

有的人可能會創(chuàng)建一個 SSH 密鑰，并將其用于從遠(yuǎn)程登錄到 GitLab 身份驗證的所有操作，但我會選擇對不同的任務(wù)組使用不同的密鑰。例如，我在家里使用一個密鑰對本地機(jī)器進(jìn)行身份驗證，使用另一個密鑰對我維護(hù)的 Web 服務(wù)器進(jìn)行身份驗證，再一個單獨的密鑰用于 Git 主機(jī)，以及又一個用于我托管的 Git 存儲庫，等等。在此示例中，我將只創(chuàng)建一個唯一密鑰，以在局域網(wǎng)內(nèi)的計算機(jī)上使用。

使用 ssh-keygen 命令創(chuàng)建新的 SSH 密鑰：

$ ssh-keygen -t ed25519 -f ~/.ssh/lan

-t 選項代表 類型 ，上述代碼設(shè)置了一個高于默認(rèn)值的密鑰加密級別。-f 選項代表 文件，指定了密鑰的文件名和位置。運行此命令后會生成一個名為 lan 的 SSH 私鑰和一個名為 lan.pub 的 SSH 公鑰。

使用 ssh-copy-id 命令把公鑰發(fā)送到遠(yuǎn)程機(jī)器上，在此之前要先確保具有遠(yuǎn)程計算機(jī)的 SSH 訪問權(quán)限。如果你無法使用密碼登錄遠(yuǎn)程主機(jī)，也就無法設(shè)置無密碼登錄：

$ ssh-copy-id -i ~/.ssh/lan.pub sethkenlon@10.1.1.5

過程中系統(tǒng)會提示你輸入遠(yuǎn)程主機(jī)上的登錄密碼。

操作成功后，使用 -i 選項將 SSH 命令指向?qū)?yīng)的密鑰（在本例中為 lan）再次嘗試登錄：

$ ssh -i ~/.ssh/lan sethkenlon@10.1.1.5
bash$ whoami
sethkenlon

對局域網(wǎng)上的所有計算機(jī)重復(fù)此過程，你就將能夠無密碼訪問這個局域網(wǎng)上的每臺主機(jī)。實際上，一旦你設(shè)置了無密碼認(rèn)證，你就可以編輯 /etc/ssh/sshd_config 文件來禁止密碼認(rèn)證。這有助于防止其他人使用 SSH 對計算機(jī)進(jìn)行身份驗證，除非他們擁有你的私鑰。要想達(dá)到這個效果，可以在有 sudo 權(quán)限的文本編輯器中打開 /etc/ssh/sshd_config 并搜索字符串 PasswordAuthentication，將默認(rèn)行更改為：

PasswordAuthentication no

保存并重啟 SSH 服務(wù)器：

$ sudo systemctl restart sshd && echo "OK"
OK
$

日常使用 SSH

OpenSSH 改變了人們對操作計算機(jī)的看法，使用戶不再被束縛在面前的計算機(jī)上。使用 SSH，你可以訪問家中的任何計算機(jī)，或者擁有帳戶的服務(wù)器，甚至是移動和物聯(lián)網(wǎng)設(shè)備。充分利用 SSH 也意味著解鎖 Linux 終端的更多用途。如果你還沒有使用過 SSH，請試一下它吧。試著適應(yīng) SSH，創(chuàng)建一些適當(dāng)?shù)拿荑€，以此更安全地使用計算機(jī)，打破必須與計算機(jī)面對面的局限性。