SSH 縮短主機之間的距離

在各個主機之間穿梭自如

Posted by Young on 2022-11-16
Estimated Reading Time 7 Minutes
Words 1.7k In Total
Viewed Times

前情提要

只需要一個Terminal便能在主機之間穿梭自如,無所不能 ! 絕大部分的Linux系統都已有內建ssh,而Windows也是在近幾年才能不用額外安裝 PuTTy 而直接使用系統原生 ssh 功能,但若硬是要在Windows系統下做更多複雜的操作,還是逃不過得使用 WSL或使用 Linux 子系統,接下來本篇將會介紹一些自己平常使用頻率高且實用的 ssh 指令

SSH基礎知識

SSH 是一種遠端連線安全加密傳輸協定,CUI/GUI兩種版本都有,絕大部分的 Linux 系統都已內建 ssh 的連線服務,讓使用者或管理者遠端連線進來,透過 Linux 的 shell 來處理各種工作或系統管理,且SSH不僅加密機制安全性高,不用怕資料外洩,使用上也非常簡單 !

ssh連接Github

建立金鑰,這邊選擇用 ed25519 做為這次金鑰的加密演算法

1
ssh-keygen -t ed25519 -C "your_email@example.com"

這邊-t是指金鑰加密使用的演算法,系統不支援的話可改用 rsa 加密方式並設金鑰長度為4096

1
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

此時他會問存取金鑰的檔名、位置以及是否要加密碼等,一般我會把連接Github的公鑰改名為github_rsa.pub,而密碼我就不會再多加設定了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/user/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_ed25519
Your public key has been saved in /home/user/.ssh/id_ed25519.pub
The key fingerprint is:
SHA256:DrJdXc53bQ4TLUkwcYeDEYjfcZjhtokQMMrYSc7P2C4 your_email@example.com
The key's randomart image is:
+--[ED25519 256]--+
| . o... .BXo..|
| B o .....=+++ |
| . B .. .+o+..|
| = o.*.o o.|
| o = S o = + +|
| = + . * |
| E o . .|
| . |
| |
+----[SHA256]-----+

ssh-keygen常用參數

  • -t:指定金鑰的加密演算法,預設使用 SSH2drsa
  • -f:指定金鑰的檔名,預設檔名會隨演算法而變動,例如使用 rsa 加密時,檔名預設為 id_rsa(私鑰id_rsa,公鑰id_rsa.pub)。
  • -P:提供舊密碼,空表示不需要密碼(-P ‘’)
  • -N:提供新密碼,空表示不需要密碼(-N ‘’)
  • -b:指定金鑰長度(bits)。
  • -C:提供一個新標籤。

公鑰與私鑰

此時進cd進~/.ssh看看是否新增成功,可以看到生成兩把金鑰,一把是.pubPublic Key另一把則是Private Key記得私鑰不應公開,要妥善保管在自己的電腦

1
2
3
4
5
6
7
8
9
drwxrwxr-x  2 young young 4.0K 11月 16 09:56 .
drwxrwxr-x 21 young young 4.0K 11月 17 13:31 ..
-rwxrwxr-x 1 young young 2.3K 11月 16 09:02 authorized_keys
-rwxrwxr-x 1 root root 418 10月 5 10:03 config
-rwxrwxr-x 1 young young 2.6K 10月 5 09:57 github_rsa
-rwxrwxr-x 1 young young 564 10月 5 09:57 github_rsa.pub
-rwxrwxr-x 1 young young 0 1月 11 2022 id_rsa.pub
-rwxrwxr-x 1 young young 1.8K 10月 5 10:03 known_hosts
-rwxrwxr-x 1 young young 1.1K 10月 5 10:02 known_hosts.old

將公鑰新增到你的Github倉庫

1
2
~/.ssh$ cat github_rsa.pub
ssh-rsa AAAAB3Nza..........your_email@example.com

印出公鑰內容並複製起來貼到你的 Github=>Settings=>SSH and GPG keys
ssh_github

測試連線

新增完公鑰後去終端機做連線測試,若成功應可看到Github的回覆

1
2
ssh -T github.com
Hi youngOman! You've successfully authenticated, but GitHub does not provide shell access.

若失敗就加上-v查看是哪個環節出了問題,-v參數會將連線過程印出來

1
2
3
4
5
6
7
ssh -vT github.com
OpenSSH_9.0p1, OpenSSL 1.1.1q 5 Jul 2022
debug1: Reading configuration data /c/Users/young/.ssh/config
debug1: /c/Users/young/.ssh/config line 6: Applying options for github.com
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to github.com [20.27.177.113] port 22.
debug1: Connection established.

完成就能用 ssh 連到 Github 對 repo 做各種操作啦 !

設定ssh-agent

若你跟我一樣是沒有設定ssh金鑰密碼的,那可以直接跳過此段落,那如果你有設定密碼,又不想每次再使用金鑰時都得輸入一次密碼那你就可以設定ssh-agent

1
2
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/github_key

自訂ssh config

不同主機為了提高安全性,都會將預設22 PORT更換掉、擋掉不明IP登入、只能用金鑰等入等等,但主機一多的話,每次ssh時都得夾帶一堆參數又記不得各個主機是哪個埠或是用哪把公鑰,所以乾脆寫config檔來讓電腦幫我記吧!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Host yang # 簡稱
HostName 0.0.0.1 # IP || Domain
User young # 登入使用者
PORT 001 # 連接埠
IdentityFile /home/user/.ssh/id_rsa # 金鑰
Host akebi
User young
PORT 002
IdentityFile /home/user/.ssh/id_rsa
Host tool
HostName 0.0.0.1
PORT 003
User young
IdentityFile ~/.ssh/id_rsa
Host github.com
User git
PORT 22
PreferredAuthentications publickey
IdentityFile /home/user/.ssh/github_rsa

免密碼連線

不想每次ssh過去別的主機都得輸入一次密碼,因此我們可以直接拷貝一份公鑰至另一台主機

1
ssh-copy-id -p888 -i ~/.ssh/id_rsa.pub young@192.0.0.1

當遠端主機的公鑰被接受以後,它會被保存在文件~/.ssh/known_hosts之中。下次再連接這台主機,系統就會認出它的公鑰已經保存在本地了,從而跳過警告部分,直接提示輸入密碼。
而每個 SSH 用戶都有自己的 known_hosts 文件,此外系統也有一個這樣的文件,通常是/etc/ssh/ssh_known_hosts,保存一些對所有用戶都可信賴的遠程主機的公鑰

known_host & fingerprints

本機的~/.ssh/known_hosts檔案中,記錄了所有過去曾經透過 SSH 連結到的遠端主機。

1
2
3
4
5
6
7
8
9
github.com ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIOMqqnkVzrm0SdG6UOoqKLsabgH5C9okWi0dh2l9GKJl
github.com ssh-rsa AAAAB3NzaC1yc.........
github.com ecdsa-sha2-nistp256 AAAAE2V.......
[192.168.1.333]:333 ssh-ed25519 AAAAC3NzaC1lZLHkI+/MLcsX
[192.168.1.333]:333 ssh-rsa AAAAB3NzaC1yc.....
[192.0.1.888]:666 ecdsa-sha2-nistp256 AAAAE2VjZ...
[192.0.1.999]:666 ssh-ed25519 AAAAC3NzaC1...
[192.0.1.999]:666 ssh-rsa AAAAB3NzaC1....
[192.0.1.777]:666 ecdsa-sha2-nistp256 AAAAE2VjZHN=..

如果想要知道遠端主機的 fingerprints 可以先透過 SSH 連進遠端主機後,輸入:

1
2
3
$ ssh akebi@192.168.1.999
$ ssh-keygen -l -f /etc/ssh/ssh_hosts_ecdsa_key.pub
256 SHA256:XuAFokK.......N2E root@YOUNG (ECDSA)

如果想要清楚本機連線到某一遠端主機的紀錄,可以輸入:

1
ssh-keygen -R 192.168.1.999

scp指令

設定好 ssh 後,其中一個強大之處就是我們就可以在不同主機間透過scp指令拷貝檔案

1
2
3
4
5
6
7
scp <file> <username>@<hostname>:<path>
# 從另一台主機拷貝檔案過來
scp young@192.0.0.1:/home/xxx/test.txt ~/
# 拷貝檔案至另一台主機
scp /home/test.txt young@192.0.0.1:~/
# 拷貝整個資料夾 -r
scp -r test.txt young@192.0.0.1:~/

檢視遠端主機log檔

主機上登入記錄的 log 檔位於/var/log/auth.log,可以看到所有連線紀錄

1
2
ssh young@hostname
vim /var/log/auth.log

參考資料

https://docs.github.com/en/authentication/connecting-to-github-with-ssh
https://linuxize.com/post/using-the-ssh-config-file/


若您覺得這篇文章對您有幫助,歡迎分享出去讓更多人看到⊂◉‿◉つ~


留言版