[[420096]]

學會使用安全外殼協(xié)議連接遠程計算機。

使用 Linux，你只需要在鍵盤上輸入命令，就可以巧妙地使用計算機（甚至這臺計算機可以在世界上任何地方），這正是 Linux 最吸引人的特性之一。有了 OpenSSH，POSIX 用戶就可以在有權限連接的計算機上打開安全外殼協(xié)議，然后遠程使用。這對于許多 Linux 用戶來說可能不過是日常任務，但從沒操作過的人可能就會感到很困惑。本文介紹了如何配置兩臺計算機的 安全外殼協(xié)議secure shell（簡稱 SSH）連接，以及如何在沒有密碼的情況下安全地從一臺計算機連接到另一臺計算機。

相關術語

在討論多臺計算機時，如何將不同計算機彼此區(qū)分開可能會讓人頭疼。IT 社區(qū)擁有完善的術語來描述計算機聯(lián)網(wǎng)的過程。

• 服務service： 服務是指在后臺運行的軟件，因此它不會局限于僅供安裝它的計算機使用。例如，Web 服務器通常托管著 Web 共享 服務。該術語暗含（但非絕對）它是沒有圖形界面的軟件。
• 主機host： 主機可以是任何計算機。在 IT 中，任何計算機都可以稱為 主機，因為從技術上講，任何計算機都可以托管host對其他計算機有用的應用程序。你可能不會把自己的筆記本電腦視為 主機，但其實上面可能正運行著一些對你、你的手機或其他計算機有用的服務。
• 本地local： 本地計算機是指用戶或某些特定軟件正在使用的計算機。例如，每臺計算機都會把自己稱為 localhost。
• 遠程remote： 遠程計算機是指你既沒在其面前，也沒有在實際使用的計算機，是真正意義上在 遠程 位置的計算機。

現(xiàn)在術語已經明確好，我們可以開始了。

在每臺主機上激活 SSH

要通過 SSH 連接兩臺計算機，每個主機都必須安裝 SSH。SSH 有兩個組成部分：本地計算機上使用的用于啟動連接的命令，以及用于接收連接請求的 服務器。有些計算機可能已經安裝好了 SSH 的一個或兩個部分。驗證 SSH 是否完全安裝的命令因系統(tǒng)而異，因此最簡單的驗證方法是查閱相關配置文件：

$ file /etc/ssh/ssh_config
/etc/ssh/ssh_config: ASCII text

如果返回 No such file or directory 錯誤，說明沒有安裝 SSH 命令。

SSH 服務的檢測與此類似（注意文件名中的 d）：

$ file /etc/ssh/sshd_config
/etc/ssh/sshd_config: ASCII text

根據(jù)缺失情況選擇安裝兩個組件：

$ sudo dnf install openssh-clients openssh-server

在遠程計算機上，使用 systemd 命令啟用 SSH 服務：

$ sudo systemctl enable --now sshd

你也可以在 GNOME 上的 系統(tǒng)設置 或 macOS 上的 系統(tǒng)首選項 中啟用 SSH 服務。在 GNOME 桌面上，該設置位于 共享 面板中： 

在 GNOME 系統(tǒng)設置中激活 SSH

開啟安全外殼協(xié)議

現(xiàn)在你已經在遠程計算機上安裝并啟用了 SSH，可以嘗試使用密碼登錄作為測試。要訪問遠程計算機，你需要有用戶帳戶和密碼。

遠程用戶不必與本地用戶相同。只要擁有相應用戶的密碼，你就可以在遠程機器上以任何用戶的身份登錄。例如，我在我的工作計算機上的用戶是 sethkenlon ，但在我的個人計算機上是 seth。如果我正在使用我的個人計算機（即作為當前的本地計算機），并且想通過 SSH 連接到我的工作計算機，我可以通過將自己標識為 sethkenlon 并使用我的工作密碼來實現(xiàn)連接。

要通過 SSH 連接到遠程計算機，你必須知道其 IP 地址或可解析的主機名。在遠程計算機上使用 ip 命令可以查看該機器的 IP 地址：

$ ip addr show | grep "inet "
inet 127.0.0.1/8 scope host lo
inet 10.1.1.5/27 brd 10.1.1.31 [...]

如果遠程計算機沒有 ip 命令，可以嘗試使用 ifconfig 命令（甚至可以試試 Windows 上通用的 ipconfig 命令）。

127.0.0.1 是一個特殊的地址，它實際上是 localhost 的地址。這是一個環(huán)回loopback地址，系統(tǒng)使用它來找到自己。這在登錄遠程計算機時并沒有什么用，因此在此示例中，遠程計算機的正確 IP 地址為 10.1.1.5。在現(xiàn)實生活中，我的本地網(wǎng)絡正在使用 10.1.1.0 子網(wǎng)，進而可得知前述正確的 IP 地址。如果遠程計算機在不同的網(wǎng)絡上，那么 IP 地址幾乎可能是任何地址（但絕不會是 127.0.0.1），并且可能需要一些特殊的路由才能通過各種防火墻到達遠程。如果你的遠程計算機在同一個網(wǎng)絡上，但想要訪問比自己的網(wǎng)絡更遠的計算機，請閱讀我之前寫的關于 在防火墻中打開端口 的文章。

如果你能通過 IP 地址 或 主機名 ping 到遠程機器，并且擁有登錄帳戶，那么就可以通過 SSH 接入遠程機器：

$ ping -c1 10.1.1.5
PING 10.1.1.5 (10.1.1.5) 56(84) bytes of data.
64 bytes from 10.1.1.5: icmp_seq=1 ttl=64 time=4.66 ms
$ ping -c1 akiton.local
PING 10.1.1.5 (10.1.1.5) 56(84) bytes of data.

至此就成功了一小步。再試試使用 SSH 登錄：

$ whoami
seth
$ ssh sethkenlon@10.1.1.5
bash$ whoami
sethkenlon

測試登錄有效，下一節(jié)會介紹如何激活無密碼登錄。

創(chuàng)建 SSH 密鑰

要在沒有密碼的情況下安全地登錄到另一臺計算機，登錄者必須擁有 SSH 密鑰?？赡苣愕臋C器上已經有一個 SSH 密鑰，但再多創(chuàng)建一個新密鑰也沒有什么壞處。SSH 密鑰的生命周期是在本地計算機上開始的，它由兩部分組成：一個是永遠不會與任何人或任何東西共享的私鑰，一個是可以復制到任何你想要無密碼訪問的遠程機器上的公鑰。

有的人可能會創(chuàng)建一個 SSH 密鑰，并將其用于從遠程登錄到 GitLab 身份驗證的所有操作，但我會選擇對不同的任務組使用不同的密鑰。例如，我在家里使用一個密鑰對本地機器進行身份驗證，使用另一個密鑰對我維護的 Web 服務器進行身份驗證，再一個單獨的密鑰用于 Git 主機，以及又一個用于我托管的 Git 存儲庫，等等。在此示例中，我將只創(chuàng)建一個唯一密鑰，以在局域網(wǎng)內的計算機上使用。

使用 ssh-keygen 命令創(chuàng)建新的 SSH 密鑰：

$ ssh-keygen -t ed25519 -f ~/.ssh/lan

-t 選項代表 類型 ，上述代碼設置了一個高于默認值的密鑰加密級別。-f 選項代表 文件，指定了密鑰的文件名和位置。運行此命令后會生成一個名為 lan 的 SSH 私鑰和一個名為 lan.pub 的 SSH 公鑰。

使用 ssh-copy-id 命令把公鑰發(fā)送到遠程機器上，在此之前要先確保具有遠程計算機的 SSH 訪問權限。如果你無法使用密碼登錄遠程主機，也就無法設置無密碼登錄：

$ ssh-copy-id -i ~/.ssh/lan.pub sethkenlon@10.1.1.5

過程中系統(tǒng)會提示你輸入遠程主機上的登錄密碼。

操作成功后，使用 -i 選項將 SSH 命令指向對應的密鑰（在本例中為 lan）再次嘗試登錄：

$ ssh -i ~/.ssh/lan sethkenlon@10.1.1.5
bash$ whoami
sethkenlon

對局域網(wǎng)上的所有計算機重復此過程，你就將能夠無密碼訪問這個局域網(wǎng)上的每臺主機。實際上，一旦你設置了無密碼認證，你就可以編輯 /etc/ssh/sshd_config 文件來禁止密碼認證。這有助于防止其他人使用 SSH 對計算機進行身份驗證，除非他們擁有你的私鑰。要想達到這個效果，可以在有 sudo 權限的文本編輯器中打開 /etc/ssh/sshd_config 并搜索字符串 PasswordAuthentication，將默認行更改為：

PasswordAuthentication no

保存并重啟 SSH 服務器：

$ sudo systemctl restart sshd && echo "OK"
OK
$

日常使用 SSH

OpenSSH 改變了人們對操作計算機的看法，使用戶不再被束縛在面前的計算機上。使用 SSH，你可以訪問家中的任何計算機，或者擁有帳戶的服務器，甚至是移動和物聯(lián)網(wǎng)設備。充分利用 SSH 也意味著解鎖 Linux 終端的更多用途。如果你還沒有使用過 SSH，請試一下它吧。試著適應 SSH，創(chuàng)建一些適當?shù)拿荑€，以此更安全地使用計算機，打破必須與計算機面對面的局限性。