SSH协议

SSH (Secure Shell，安全外壳协议)是一种为远程登录会话和其他网络服务提供安全性的协议。传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据或者进行中间人攻击。通过使用SSH，你可以把所有传输的数据进行加密并且传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。SSH 只是一种协议，存在多种软件实现，既有商业实现，也有开源实现。比如OpenSSH，它是自由软件，应用非常广泛。

登录

// 以用户名user，登录远程主机host，使用默认端口22。
$ ssh user@host
// 如果本地用户名与远程用户名一致，登录时可以省略用户名。
$ ssh host
// 如果ssh服务端没有使用默认端口，可以通过-p选项指定端口参数。
$ ssh -p 2222 user@host

SSH 有两种登录方式，分别是口令登录和公钥登录。

口令登录

口令登录就是在输入上述的 SSH 登录请求命令后，系统会要求输入对应用户的密码，如果密码正确就登录成功。SSH 之所以能够保证密码的安全，是因为它采用了公钥加密。即远程主机收到用户的登录请求，把自己的公钥发给用户，用户使用这个公钥，将登录密码加密后，发送回去，远程主机用自己的私钥，解密登录密码，如果密码正确，就同意用户登录。但这里存在的一个安全隐患是，SSH 并没有数字证书的概念，即客户端无法像HTTPS中那样验证远程主机的公钥，如果有中间人攻击，截获了客户端的登录请求，并返回给客户端一个伪造的公钥，这样中间人就获取了客户端的密码，并可以用其登录真正的远程主机。

SSH的解决办法是，如果是第一次登录远程主机会出现提示

$ ssh user@host
The authenticity of host 'host (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?

意思是无法确认host主机的真实性，只知道它的公钥指纹(对较长的公钥进行散列后的字符串)，需要登录用户自己进行验证确认。用户验证的方法只能是通过其他途径(比如官网等)拿到真正的公钥并进行比对。

如果用户确认公钥是正确的，就输入yes，之后会得到提示

Warning: Permanently added 'host,xxx.xxx.xxx.xxx' (RSA) to the list of known hosts.

然后，会要求输入密码。如果密码正确，就登录成功了。提示信息的意思是之前的公钥已被确认，并保存到了$HOME/.ssh/known_hosts，即用户自己的known_hosts。当下次再要远程登录该主机时，程序就可以自动使用known_hosts中的公钥进行比对，用户可以直接输入密码登录了。

公钥登录

使用公钥登录可以免去输入密码，原理是将用户自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果成功，就证明用户是可信的，直接允许登录shell，不再要求密码。

用户可以通过ssh-keygen生成自己的密钥对，运行结束以后，在$HOME/.ssh/目录下，会新生成两个文件：id_rsa.pub和id_rsa。前者是你的公钥，后者是你的私钥。

$ ssh-keygen

将公钥传到远程主机上(这次是需要输入登录密码的)，mac下可能需要先安装ssh-copy-id命令brew install ssh-copy-id

$ ssh-copy-id user@host
// 可以通过-p指定非默认端口，如果用户有多对密钥对，可以通过-i指定公钥文件
$ ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22222 user@host

使用上述命令，远程主机实际上是将用户的公钥保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。即使不使用ssh-copy-id命令也可以完成这一操作

ssh root@45.62.109.22 -p 26218 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub
// ssh root@45.62.109.22 -p 26218：登录远程主机
// 单引号内的内容是登录后要执行的命令
// mkdir -p .ssh：如果用户主目录中的.ssh目录不存在，就创建一个
// 'cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub：将本地的公钥文件~/.ssh/id_rsa.pub，重定向追加到远程文件authorized_keys的末尾。

登录成功后，用户就可以在本地shell中操作远程主机了。

相关命令

如果客户端本地有多个秘钥对，可以通过密钥管理器ssh-agent来管理，运行ssh-agent以后，使用ssh-add将私钥交给ssh-agent保管，其他程序需要身份验证的时候可以将验证申请交给ssh-agent来完成整个认证过程。

// 运行ssh-agent
$ ssh-agent
// 把专用密钥添加到 ssh-agent 的高速缓存中
ssh-add ~/.ssh/id_rsa
// 从ssh-agent中删除密钥
ssh-add -d ~/.ssh/id_xxx.pub
// 删除ssh-agent中的所有密钥
ssh-add -D
// 查看ssh-agent中的密钥
ssh -add -l