Linux 遠(yuǎn)程連接之 SSH 新手指南
學(xué)會使用安全外殼協(xié)議連接遠(yuǎn)程計算機(jī)。
使用 Linux,你只需要在鍵盤上輸入命令,就可以巧妙地使用計算機(jī)(甚至這臺計算機(jī)可以在世界上任何地方),這正是 Linux 最吸引人的特性之一。有了 OpenSSH,POSIX 用戶就可以在有權(quán)限連接的計算機(jī)上打開安全外殼協(xié)議,然后遠(yuǎn)程使用。這對于許多 Linux 用戶來說可能不過是日常任務(wù),但從沒操作過的人可能就會感到很困惑。本文介紹了如何配置兩臺計算機(jī)的 安全外殼協(xié)議(簡稱 SSH)連接,以及如何在沒有密碼的情況下安全地從一臺計算機(jī)連接到另一臺計算機(jī)。
相關(guān)術(shù)語
在討論多臺計算機(jī)時,如何將不同計算機(jī)彼此區(qū)分開可能會讓人頭疼。IT 社區(qū)擁有完善的術(shù)語來描述計算機(jī)聯(lián)網(wǎng)的過程。
- 服務(wù): 服務(wù)是指在后臺運行的軟件,因此它不會局限于僅供安裝它的計算機(jī)使用。例如,Web 服務(wù)器通常托管著 Web 共享 服務(wù)。該術(shù)語暗含(但非絕對)它是沒有圖形界面的軟件。
- 主機(jī): 主機(jī)可以是任何計算機(jī)。在 IT 中,任何計算機(jī)都可以稱為 主機(jī),因為從技術(shù)上講,任何計算機(jī)都可以托管對其他計算機(jī)有用的應(yīng)用程序。你可能不會把自己的筆記本電腦視為 主機(jī),但其實上面可能正運行著一些對你、你的手機(jī)或其他計算機(jī)有用的服務(wù)。
- 本地: 本地計算機(jī)是指用戶或某些特定軟件正在使用的計算機(jī)。例如,每臺計算機(jī)都會把自己稱為
localhost
。 - 遠(yuǎn)程: 遠(yuǎn)程計算機(jī)是指你既沒在其面前,也沒有在實際使用的計算機(jī),是真正意義上在 遠(yuǎn)程 位置的計算機(jī)。
現(xiàn)在術(shù)語已經(jīng)明確好,我們可以開始了。
在每臺主機(jī)上激活 SSH
要通過 SSH 連接兩臺計算機(jī),每個主機(jī)都必須安裝 SSH。SSH 有兩個組成部分:本地計算機(jī)上使用的用于啟動連接的命令,以及用于接收連接請求的 服務(wù)器。有些計算機(jī)可能已經(jīng)安裝好了 SSH 的一個或兩個部分。驗證 SSH 是否完全安裝的命令因系統(tǒng)而異,因此最簡單的驗證方法是查閱相關(guān)配置文件:
$ file /etc/ssh/ssh_config
/etc/ssh/ssh_config: ASCII text
如果返回 No such file or directory
錯誤,說明沒有安裝 SSH 命令。
SSH 服務(wù)的檢測與此類似(注意文件名中的 d
):
$ file /etc/ssh/sshd_config
/etc/ssh/sshd_config: ASCII text
根據(jù)缺失情況選擇安裝兩個組件:
$ sudo dnf install openssh-clients openssh-server
在遠(yuǎn)程計算機(jī)上,使用 systemd 命令啟用 SSH 服務(wù):
$ sudo systemctl enable --now sshd
你也可以在 GNOME 上的 系統(tǒng)設(shè)置 或 macOS 上的 系統(tǒng)首選項 中啟用 SSH 服務(wù)。在 GNOME 桌面上,該設(shè)置位于 共享 面板中:
在 GNOME 系統(tǒng)設(shè)置中激活 SSH
開啟安全外殼協(xié)議
現(xiàn)在你已經(jīng)在遠(yuǎn)程計算機(jī)上安裝并啟用了 SSH,可以嘗試使用密碼登錄作為測試。要訪問遠(yuǎn)程計算機(jī),你需要有用戶帳戶和密碼。
遠(yuǎn)程用戶不必與本地用戶相同。只要擁有相應(yīng)用戶的密碼,你就可以在遠(yuǎn)程機(jī)器上以任何用戶的身份登錄。例如,我在我的工作計算機(jī)上的用戶是 sethkenlon
,但在我的個人計算機(jī)上是 seth
。如果我正在使用我的個人計算機(jī)(即作為當(dāng)前的本地計算機(jī)),并且想通過 SSH 連接到我的工作計算機(jī),我可以通過將自己標(biāo)識為 sethkenlon
并使用我的工作密碼來實現(xiàn)連接。
要通過 SSH 連接到遠(yuǎn)程計算機(jī),你必須知道其 IP 地址或可解析的主機(jī)名。在遠(yuǎn)程計算機(jī)上使用 ip
命令可以查看該機(jī)器的 IP 地址:
$ ip addr show | grep "inet "
inet 127.0.0.1/8 scope host lo
inet 10.1.1.5/27 brd 10.1.1.31 [...]
如果遠(yuǎn)程計算機(jī)沒有 ip
命令,可以嘗試使用 ifconfig
命令(甚至可以試試 Windows 上通用的 ipconfig
命令)。
127.0.0.1
是一個特殊的地址,它實際上是 localhost
的地址。這是一個環(huán)回地址,系統(tǒng)使用它來找到自己。這在登錄遠(yuǎn)程計算機(jī)時并沒有什么用,因此在此示例中,遠(yuǎn)程計算機(jī)的正確 IP 地址為 10.1.1.5
。在現(xiàn)實生活中,我的本地網(wǎng)絡(luò)正在使用 10.1.1.0
子網(wǎng),進(jìn)而可得知前述正確的 IP 地址。如果遠(yuǎn)程計算機(jī)在不同的網(wǎng)絡(luò)上,那么 IP 地址幾乎可能是任何地址(但絕不會是 127.0.0.1
),并且可能需要一些特殊的路由才能通過各種防火墻到達(dá)遠(yuǎn)程。如果你的遠(yuǎn)程計算機(jī)在同一個網(wǎng)絡(luò)上,但想要訪問比自己的網(wǎng)絡(luò)更遠(yuǎn)的計算機(jī),請閱讀我之前寫的關(guān)于 在防火墻中打開端口 的文章。
如果你能通過 IP 地址 或 主機(jī)名 ping
到遠(yuǎn)程機(jī)器,并且擁有登錄帳戶,那么就可以通過 SSH 接入遠(yuǎn)程機(jī)器:
$ ping -c1 10.1.1.5
PING 10.1.1.5 (10.1.1.5) 56(84) bytes of data.
64 bytes from 10.1.1.5: icmp_seq=1 ttl=64 time=4.66 ms
$ ping -c1 akiton.local
PING 10.1.1.5 (10.1.1.5) 56(84) bytes of data.
至此就成功了一小步。再試試使用 SSH 登錄:
$ whoami
seth
$ ssh sethkenlon@10.1.1.5
bash$ whoami
sethkenlon
測試登錄有效,下一節(jié)會介紹如何激活無密碼登錄。
創(chuàng)建 SSH 密鑰
要在沒有密碼的情況下安全地登錄到另一臺計算機(jī),登錄者必須擁有 SSH 密鑰??赡苣愕臋C(jī)器上已經(jīng)有一個 SSH 密鑰,但再多創(chuàng)建一個新密鑰也沒有什么壞處。SSH 密鑰的生命周期是在本地計算機(jī)上開始的,它由兩部分組成:一個是永遠(yuǎn)不會與任何人或任何東西共享的私鑰,一個是可以復(fù)制到任何你想要無密碼訪問的遠(yuǎn)程機(jī)器上的公鑰。
有的人可能會創(chuàng)建一個 SSH 密鑰,并將其用于從遠(yuǎn)程登錄到 GitLab 身份驗證的所有操作,但我會選擇對不同的任務(wù)組使用不同的密鑰。例如,我在家里使用一個密鑰對本地機(jī)器進(jìn)行身份驗證,使用另一個密鑰對我維護(hù)的 Web 服務(wù)器進(jìn)行身份驗證,再一個單獨的密鑰用于 Git 主機(jī),以及又一個用于我托管的 Git 存儲庫,等等。在此示例中,我將只創(chuàng)建一個唯一密鑰,以在局域網(wǎng)內(nèi)的計算機(jī)上使用。
使用 ssh-keygen
命令創(chuàng)建新的 SSH 密鑰:
$ ssh-keygen -t ed25519 -f ~/.ssh/lan
-t
選項代表 類型 ,上述代碼設(shè)置了一個高于默認(rèn)值的密鑰加密級別。-f
選項代表 文件,指定了密鑰的文件名和位置。運行此命令后會生成一個名為 lan
的 SSH 私鑰和一個名為 lan.pub
的 SSH 公鑰。
使用 ssh-copy-id
命令把公鑰發(fā)送到遠(yuǎn)程機(jī)器上,在此之前要先確保具有遠(yuǎn)程計算機(jī)的 SSH 訪問權(quán)限。如果你無法使用密碼登錄遠(yuǎn)程主機(jī),也就無法設(shè)置無密碼登錄:
$ ssh-copy-id -i ~/.ssh/lan.pub sethkenlon@10.1.1.5
過程中系統(tǒng)會提示你輸入遠(yuǎn)程主機(jī)上的登錄密碼。
操作成功后,使用 -i
選項將 SSH 命令指向?qū)?yīng)的密鑰(在本例中為 lan
)再次嘗試登錄:
$ ssh -i ~/.ssh/lan sethkenlon@10.1.1.5
bash$ whoami
sethkenlon
對局域網(wǎng)上的所有計算機(jī)重復(fù)此過程,你就將能夠無密碼訪問這個局域網(wǎng)上的每臺主機(jī)。實際上,一旦你設(shè)置了無密碼認(rèn)證,你就可以編輯 /etc/ssh/sshd_config
文件來禁止密碼認(rèn)證。這有助于防止其他人使用 SSH 對計算機(jī)進(jìn)行身份驗證,除非他們擁有你的私鑰。要想達(dá)到這個效果,可以在有 sudo
權(quán)限的文本編輯器中打開 /etc/ssh/sshd_config
并搜索字符串 PasswordAuthentication
,將默認(rèn)行更改為:
PasswordAuthentication no
保存并重啟 SSH 服務(wù)器:
$ sudo systemctl restart sshd && echo "OK"
OK
$
日常使用 SSH
OpenSSH 改變了人們對操作計算機(jī)的看法,使用戶不再被束縛在面前的計算機(jī)上。使用 SSH,你可以訪問家中的任何計算機(jī),或者擁有帳戶的服務(wù)器,甚至是移動和物聯(lián)網(wǎng)設(shè)備。充分利用 SSH 也意味著解鎖 Linux 終端的更多用途。如果你還沒有使用過 SSH,請試一下它吧。試著適應(yīng) SSH,創(chuàng)建一些適當(dāng)?shù)拿荑€,以此更安全地使用計算機(jī),打破必須與計算機(jī)面對面的局限性。