目錄

一、SSH 遠程管理：為什么它是遠程訪問的首選？

1??什么是 SSH？

2??SSH 為什么比傳統工具更安全？

3??SSH 的 “三大組成部分”

4??SSH 工作的 “五步流程”

5??常用 SSH 工具

二、實戰：構建 SSH 遠程登錄服務（OpenSSH）

1??安裝 OpenSSH

2??啟動 SSH 服務

3??核心配置：通過 sshd_config 提高安全性

（1）服務監聽選項

（2）用戶登錄控制

（3）登錄驗證方式

4??密鑰對驗證：免密登錄的實現

（1）客戶端生成密鑰對

（2）將公鑰傳到目標服務器

（3）配置服務器并測試

三、遠程文件傳輸：scp 與 sftp 的使用

1??scp：命令行快速傳輸

常用選項：

示例：

2??sftp：交互式文件管理

（1）連接服務器：

（2）常用命令：

示例：

四、TCP Wrappers：傳輸層的訪問控制

1??什么是 TCP Wrappers？

2??核心配置文件

生效規則：

3??配置格式與實例

客戶端地址支持的格式：

實例 1：僅允許指定 IP 訪問 sshd

實例 2：允許特定網段訪問，拒絕其他

五、新手必知的安全建議

總結

---

在 Linux 系統管理中，遠程訪問是一項核心技能。無論是管理服務器集群還是調試遠程設備，安全高效的遠程控制能力都至關重要。本文將基于 SSH 協議，從基礎概念到實戰配置，全面講解 Linux 遠程訪問及控制的知識，適合初學者快速上手。

一、SSH 遠程管理：為什么它是遠程訪問的首選？

1??什么是 SSH？

SSH（Secure Shell）是一種安全通道協議，通過加密和認證機制實現遠程登錄、文件傳輸等操作。它最核心的價值是加密傳輸數據—— 包括用戶口令、命令內容等，徹底解決了傳統遠程工具（如 Telnet、FTP）明文傳輸的安全隱患。

舉個例子：用 Telnet 遠程登錄時，你的密碼會像明信片一樣在網絡中 “裸奔”，而 SSH 會給這張 “明信片” 套上加密的 “信封”，只有目標服務器能解開。

2??SSH 為什么比傳統工具更安全？

• 傳統工具的問題：Telnet（遠程登錄）、FTP（文件傳輸）、RSH（遠程執行命令）等均采用明文傳輸，數據易被竊聽或篡改。
• SSH 的優勢：
  • 加密通信：所有數據通過加密算法處理，防止竊聽；
  • 身份認證：支持密碼、密鑰等多種認證方式，確保訪問者合法；
  • 完整性保護：通過 HMAC 算法驗證數據，防止傳輸中被篡改。

3??SSH 的 “三大組成部分”

SSH 協議由三個子協議構成，分工明確：

• 傳輸層協議（SSH-TRANS）：負責服務器認證、數據加密和完整性保護，是整個 SSH 的 “安全基礎”，運行在 TCP 連接上（默認端口 22）。
• 用戶認證協議（SSH-USERAUTH）：基于傳輸層協議，實現客戶端用戶的身份驗證（如密碼、密鑰驗證）。
• 連接協議（SSH-CONNECT）：將加密隧道分成多個邏輯通道，支持同時進行遠程登錄、命令執行、端口轉發等操作。

4??SSH 工作的 “五步流程”

1. 建立連接：客戶端向服務器的 22 端口發起 TCP 連接；
2. 版本協商：雙方確定使用 SSH1.X 還是 SSH2.0（推薦用 V2，安全性更高）；
3. 算法協商：約定密鑰交換、對稱加密、公鑰等算法；
4. 密鑰交換：動態生成會話密鑰和會話 ID，建立加密通道；
5. 用戶認證：客戶端通過密碼、密鑰等方式證明身份，認證通過后即可遠程操作。

5??常用 SSH 工具

• OpenSSH：開源的 SSH 實現，幾乎所有 Linux 發行版默認安裝，包含服務端（sshd）和客戶端（ssh、scp 等）。
• PuTTY：Windows 平臺常用的 SSH 客戶端，支持圖形界面，適合新手操作。

二、實戰：構建 SSH 遠程登錄服務（OpenSSH）

OpenSSH 是 Linux 系統中最常用的 SSH 工具集，分為服務端（提供遠程訪問功能）和客戶端（連接遠程服務端的工具）。下面一步步教你從安裝到配置。

1??安裝 OpenSSH

大部分 Linux 發行版默認預裝 OpenSSH，若未安裝，可按以下命令操作：

系統類型	安裝命令
CentOS/RHEL	sudo yum install openssh-clients openssh-server
Ubuntu/Debian	sudo apt install openssh-client openssh-server

安裝后驗證：

• 查看版本：ssh -V（出現版本信息說明安裝成功）；
• 檢查服務狀態：systemctl status sshd（顯示 “active (running)” 即為運行中）。

2??啟動 SSH 服務

bash

# 啟動服務
sudo systemctl start sshd
# 設置開機自啟（推薦）
sudo systemctl enable sshd

3??核心配置：通過 sshd_config 提高安全性

SSH 服務的配置文件為/etc/ssh/sshd_config，修改后需重啟服務（sudo systemctl restart sshd）生效。以下是新手必知的關鍵配置項：

（1）服務監聽選項

• Port 22：默認端口為 22，建議修改為 1024-65535 之間的端口（如 2222），減少被掃描的風險；
• ListenAddress 192.168.1.100：指定監聽的 IP 地址（僅允許該 IP 接收 SSH 連接）；
• Protocol 2：強制使用 SSH V2 協議（比 V1 更安全）；
• UseDNS no：禁用 DNS 反向解析，提高服務器響應速度。

（2）用戶登錄控制

• PermitRootLogin no：禁止 root 用戶直接遠程登錄（強烈推薦！建議先用普通用戶登錄，再用su切換為 root）；
• PermitEmptyPasswords no：禁止空密碼用戶登錄；
• MaxAuthTries 3：最大重試次數（默認 6 次，改小可防暴力破解）；
• AllowUsers jerry admin@61.23.24.25：僅允許指定用戶登錄（如允許 jerry，且 admin 只能從 61.23.24.25 登錄）。

（3）登錄驗證方式

SSH 支持兩種驗證方式，可單獨或同時啟用：

• 密碼驗證：通過用戶名 + 密碼驗證，簡單但易被暴力破解；
• 密鑰對驗證：通過客戶端私鑰和服務器公鑰匹配驗證，安全性極高，推薦優先使用。

配置項：

• PubkeyAuthentication yes：啟用密鑰認證；
• AuthorizedKeysFile .ssh/authorized_keys：指定存放客戶端公鑰的文件路徑；
• PasswordAuthentication no：（可選）禁用密碼驗證，僅用密鑰（適合高安全場景）。

4??密鑰對驗證：免密登錄的實現

密鑰對驗證是 SSH 最安全的登錄方式，步驟如下：

（1）客戶端生成密鑰對

在本地客戶端（如你的電腦）執行：

bash

# 生成RSA密鑰對（-t指定算法，-b指定長度，-C添加注釋）
ssh-keygen -t rsa -b 4096 -C "myemail@example.com"

執行后會在~/.ssh/目錄下生成兩個文件：

• id_rsa：私鑰（重要！不可泄露）；
• id_rsa.pub：公鑰（需傳到服務器）。

（2）將公鑰傳到目標服務器

方法 1：用ssh-copy-id自動復制（推薦）：

bash

# 替換為服務器用戶名和IP
ssh-copy-id username@server_ip

輸入服務器密碼后，公鑰會自動添加到服務器的~/.ssh/authorized_keys文件中。

方法 2：手動復制：

1. 查看本地公鑰內容：cat ~/.ssh/id_rsa.pub；
2. 登錄服務器，編輯~/.ssh/authorized_keys，將公鑰內容粘貼進去；
3. 確保權限正確：chmod 700 ~/.ssh、chmod 600 ~/.ssh/authorized_keys（權限錯誤會導致驗證失敗）。

（3）配置服務器并測試

1. 編輯服務器/etc/ssh/sshd_config，確保：

   bash

   PubkeyAuthentication yes
   AuthorizedKeysFile .ssh/authorized_keys
   

2. 重啟服務：sudo systemctl restart sshd；
3. 客戶端測試登錄：ssh username@server_ip（無需輸入密碼，直接登錄）。

三、遠程文件傳輸：scp 與 sftp 的使用

通過 SSH 不僅能遠程登錄，還能安全傳輸文件，常用工具為scp和sftp。

1??scp：命令行快速傳輸

scp（Secure Copy）基于 SSH 協議，可在本地與遠程主機間復制文件 / 目錄，語法：

bash

scp [選項] 源路徑 目標路徑

常用選項：

• -r：遞歸復制目錄（必須加，否則無法復制目錄）；
• -P 端口號：指定 SSH 端口（默認 22，大寫 P）；
• -i 密鑰文件：指定私鑰路徑（非默認位置時使用）；
• -C：啟用壓縮傳輸（節省帶寬）。

示例：

• 本地文件上傳到服務器：

  bash

  scp /local/file.txt username@server_ip:/remote/path/
  

• 服務器文件下載到本地：

  bash

  scp username@server_ip:/remote/file.txt /local/path/
  

• 復制目錄：

  bash

  scp -r /local/dir username@server_ip:/remote/path/
  

2??sftp：交互式文件管理

sftp（SSH File Transfer Protocol）提供類似 FTP 的交互式環境，適合頻繁管理文件，步驟：

（1）連接服務器：

bash

# 格式：sftp [選項] 用戶名@服務器IP
sftp -P 2222 username@server_ip  # -P指定端口

（2）常用命令：

• ls：查看遠程目錄；
• lcd 本地路徑：切換本地目錄；
• cd 遠程路徑：切換遠程目錄；
• get 遠程文件 本地路徑：下載文件；
• put 本地文件 遠程路徑：上傳文件；
• exit：退出會話。

示例：

bash

# 連接后下載文件
sftp> get /remote/data.csv /local/download/
# 上傳文件
sftp> put /local/report.pdf /remote/docs/

四、TCP Wrappers：傳輸層的訪問控制

除了 SSH 自身的配置，Linux 還提供TCP Wrappers工具，在傳輸層對網絡服務進行訪問控制（類似 “黑白名單”）。

1??什么是 TCP Wrappers？

它是一種工作在傳輸層（TCP）?的安全機制，通過 “包裹” 網絡服務程序（如 sshd、vsftpd），對客戶端的訪問請求進行過濾。只有通過驗證的請求才能訪問真正的服務。

判斷服務是否受其控制：用ldd命令查看服務是否依賴libwrap.so庫，例如：

bash

ldd /usr/sbin/sshd | grep "libwrap"  # 若有輸出，說明sshd受控制

2??核心配置文件

TCP Wrappers 通過兩個文件實現控制：

• /etc/hosts.allow：允許訪問的規則；
• /etc/hosts.deny：拒絕訪問的規則。

生效規則：

1. 先檢查hosts.allow，找到匹配規則則允許訪問；
2. 若未匹配，檢查hosts.deny，找到匹配規則則拒絕訪問；
3. 若均無匹配，默認允許訪問。

3??配置格式與實例

格式：服務程序列表: 客戶端地址列表（多個項用逗號分隔）。

客戶端地址支持的格式：

• 單個 IP：如192.168.1.100；
• 網段：如192.168.1.0/24或192.168.1.；
• 域名：如.example.com（匹配該域下所有主機）；
• ALL：所有客戶端。

實例 1：僅允許指定 IP 訪問 sshd

• 編輯/etc/hosts.allow，添加：

  bash

  sshd: 192.168.141.130  # 允許該IP訪問sshd
  

• 編輯/etc/hosts.deny，添加：

  bash

  sshd: ALL  # 拒絕其他所有IP訪問sshd
  

實例 2：允許特定網段訪問，拒絕其他

• hosts.allow添加：

  bash

  sshd: 12.0.0.1, 192.168.80.*  # 允許12.0.0.1和192.168.80網段
  

• hosts.deny添加：

  bash

  sshd: ALL  # 拒絕其他
  

五、新手必知的安全建議

1. 禁用 root 直接登錄：在sshd_config中設置PermitRootLogin no，通過普通用戶 +su切換；
2. 使用密鑰認證：禁用密碼認證（PasswordAuthentication no），避免暴力破解；
3. 修改默認端口：將Port 22改為其他端口（如 2222），減少掃描風險；
4. 限制登錄來源：通過AllowUsers或 TCP Wrappers，僅允許信任的 IP 訪問；
5. 定期更新 OpenSSH：修復潛在漏洞，用yum update或apt upgrade更新。

總結

Linux 遠程訪問的核心是 SSH 協議，通過 OpenSSH 工具集實現安全的遠程登錄和文件傳輸。新手需掌握：

• SSH 的基本原理和優勢；
• OpenSSH 的安裝、配置（尤其是安全選項）；
• 密鑰對驗證的免密登錄配置；
• scp/sftp 的文件傳輸操作；
• TCP Wrappers 的訪問控制。