ssh使用

ssh隧道原理

SSH（Secure Shell）隧道是一种网络技术，它允许在两个网络节点之间通过 SSH 协议建立一个安全的通道来传输数据。以下是其原理：

一、SSH 协议基础

SSH 是一种加密的网络协议，主要用于远程登录系统以及在不安全的网络中安全地传输数据。它通过使用公钥 - 私钥加密算法来认证客户端和服务器，并且对传输的数据进行加密。

• 认证机制：

  • 基于密码认证：客户端向服务器发送用户名和密码，服务器使用存储的密码信息进行验证。不过这种方式安全性相对较弱，因为密码可能会被窃取。
  • 基于密钥认证：更安全的方式是使用公钥 - 私钥对。客户端生成一对密钥，将公钥发送给服务器。服务器将该公钥存储在授权文件中。当客户端尝试连接时，它使用私钥对特定的信息进行签名，服务器用存储的公钥进行验证。如果验证成功，则允许客户端连接。

• 加密传输数据：在认证成功后，SSH 协议会使用对称加密算法（如 AES）对传输的数据进行加密。这是因为对称加密算法在加密大量数据时效率更高。客户端和服务器通过协商确定加密算法和密钥，这个密钥是临时生成的，并且只在本次会话中有效。

二、SSH 隧道的建立过程

1. 本地转发（Local Forwarding）

   • 场景：当本地客户端想要访问远程服务器后面的某个服务（例如，远程服务器所在的内部网络中的数据库服务），但是该服务没有对外公开访问权限。
   • 原理：假设本地客户端的 IP 地址为Local_IP，要访问远程服务器Remote_Server（IP 地址为Remote_IP）后的目标服务（如数据库服务，运行在Target_IP:Target_Port）。通过 SSH 隧道，可以在本地机器上指定一个本地端口（Local_Port）。当本地客户端连接到这个本地端口时，SSH 客户端会将数据加密并通过 SSH 连接发送到远程服务器。远程服务器收到数据后，会将其解密并转发到目标服务的Target_IP:Target_Port。
   • 命令示例（在 Linux 或 macOS 系统中）：ssh -L Local_Port:Target_IP:Target_Port Remote_User@Remote_IP。例如，ssh -L 8080:192.168.1.10:80 remote_user@123.45.67.89，这表示在本地机器上打开端口 8080，当访问本地的 8080 端口时，数据会通过 SSH 连接转发到远程服务器123.45.67.89，然后再转发到远程服务器内部网络中的192.168.1.10机器的 80 端口。

2. 远程转发（Remote Forwarding）

   • 场景：当远程服务器想要访问本地客户端后面的某个服务，并且该服务没有对外公开访问权限。
   • 原理：与本地转发相反。假设远程服务器Remote_Server（IP 地址为Remote_IP）要访问本地客户端Local_Client（IP 地址为Local_IP）后的目标服务（运行在Target_IP:Target_Port）。在远程服务器上指定一个远程端口（Remote_Port）。当远程服务器连接到这个远程端口时，SSH 服务器会将数据加密并通过 SSH 连接发送到本地客户端。本地客户端收到数据后，会将其解密并转发到目标服务的Target_IP:Target_Port。
   • 命令示例：ssh -R Remote_Port:Target_IP:Target_Port Local_User@Local_IP。例如，ssh -R 9000:10.0.0.1:22 local_user@192.168.0.1，这表示在远程服务器上打开端口 9000，当远程服务器访问 9000 端口时，数据会通过 SSH 连接转发到本地客户端192.168.0.1，然后再转发到本地客户端内部网络中的10.0.0.1机器的 22 端口。

3. 动态转发（Dynamic Forwarding）

   • 场景：当本地客户端想要通过远程服务器作为代理来访问多个不同的目标服务（例如，访问不同网站），并且希望这些访问都是通过安全的 SSH 隧道进行。

   • 原理：在本地客户端上指定一个本地端口（Local_Port）作为 SOCKS 代理端口。当本地客户端通过这个代理端口发送请求时，SSH 客户端会将请求加密并发送到远程服务器。远程服务器解密请求后，会根据请求的目标地址将数据转发到相应的目标服务。这样，所有通过这个代理端口的请求都像是从远程服务器发出的一样，并且在传输过程中是加密的。

   • 命令示例：ssh -D Local_Port Remote_User@Remote_IP。例如，ssh -D 1080 remote_user@203.0.113.1，这表示在本地机器上打开 1080 端口作为 SOCKS 代理端口，本地客户端可以配置浏览器等应用程序使用这个代理来访问网络，数据会通过 SSH 连接转发到远程服务器203.0.113.1，再由远程服务器转发到目标网站等服务。

SSH 隧道通过利用 SSH 协议的加密和认证功能，巧妙地在不同网络环境之间建立起安全的数据传输通道，从而实现了安全访问受限制的网络服务的目的。

建立起ssh连接后怎么断开

1. 正常关闭（通过命令行）

   • 在建立 SSH 连接的命令行终端中，如果你是通过类似ssh user@host这样的命令连接到远程服务器，可以使用快捷键Ctrl + D来正常关闭连接。这实际上是发送了一个 “文件结束”（End - of - File，EOF）信号给 SSH 客户端，告诉它关闭连接。
   • 另外，也可以在 SSH 连接的命令行中输入exit命令，然后按下回车键。这会通知远程服务器和本地客户端关闭当前的 SSH 会话，释放相关的资源。

2. 通过 SSH 客户端软件的功能关闭（图形界面）

   • 如果你是使用图形界面的 SSH 客户端软件（如 PuTTY 等），通常在软件的界面上会有一个 “关闭”“断开连接” 之类的按钮。在 PuTTY 中，点击窗口左上角的 “×” 图标或者在会话（Session）菜单中选择 “Close Session” 选项来断开连接。

3. 通过 kill 命令（在特殊情况下）

   • 如果你无法正常关闭 SSH 连接，例如 SSH 客户端终端无响应，你可以通过查找 SSH 进程并使用kill命令来终止它。首先，使用ps -ef | grep ssh命令（在 Linux 或 macOS 系统中）来查找与 SSH 相关的进程。ps -ef命令用于列出所有的进程，grep ssh用于筛选出包含 “ssh” 关键字的进程。
   • 找到对应的 SSH 进程的进程号（PID）后，使用kill PID命令来终止它。例如，如果 SSH 进程的 PID 是 1234，就输入kill 1234。不过这种方式是比较粗暴的，可能会导致一些未完成的数据传输丢失或者远程服务器上的一些临时文件没有被正确清理等情况。如果可能的话，尽量使用正常的关闭方式。

举例ssh的具体使用场景

1. 远程服务器管理

   • 场景描述：系统管理员需要对位于数据中心的远程服务器进行日常维护、配置修改、软件安装和更新等操作。这些服务器可能运行着各种重要的服务，如网站服务器、数据库服务器等。
   • 示例：管理员可以使用 SSH 从本地办公电脑连接到远程服务器。假设远程服务器的 IP 地址是192.168.1.100，用户名是admin，在 Linux 或 macOS 系统的终端中，管理员可以使用命令ssh admin@192.168.1.100，然后输入密码（如果是基于密码认证）或者使用密钥认证来建立连接。连接成功后，就可以像在本地操作一样，在远程服务器的命令行中执行各种命令，如安装软件包（apt-get install或yum install等）、修改系统配置文件（如vi /etc/nginx/nginx.conf来修改 Nginx 服务器的配置）等。

2. 安全文件传输

   • 场景描述：开发团队需要在本地开发环境和远程测试服务器之间传输代码文件、配置文件或其他敏感数据。传统的文件传输协议（如 FTP）可能存在安全风险，因为数据传输是明文的。
   • 示例：可以使用 SSH 的scp（secure copy）命令来进行安全的文件传输。例如，要将本地文件local_file.txt传输到远程服务器（IP 地址为10.0.0.2，用户名为developer）的/home/developer/uploads目录下，可以在本地终端中使用命令scp local_file.txt developer@10.0.0.2:/home/developer/uploads。这将通过 SSH 协议加密传输文件，确保文件内容的安全性。同样，也可以使用scp从远程服务器下载文件，如scp developer@10.0.0.2:/home/developer/downloads/remote_file.txt.来将远程文件下载到本地当前目录。

3. 安全数据库访问

   • 场景描述：数据库管理员需要从本地网络访问位于公司内部防火墙后的数据库服务器，数据库服务器不直接对外暴露访问端口，以保证安全性。
   • 示例：通过 SSH 隧道的本地转发功能来访问数据库。假设数据库服务器运行在内部网络中的172.16.0.5，端口为3306，而可以访问内部网络的堡垒服务器（Bastion Server）的 IP 地址是192.168.2.10。在本地终端中使用命令ssh -L 3307:172.16.0.5:3306 user@192.168.2.10建立 SSH 隧道。这样，在本地机器上访问localhost:3307就相当于通过 SSH 连接访问内部网络中的数据库服务器的3306端口，数据在传输过程中是加密的，保证了数据库访问的安全性。

4. 突破网络限制（代理访问）

   • 场景描述：在某些网络环境下，如公司内部网络或学校校园网，对外部网络访问存在限制，部分网站或服务无法访问。用户希望能够通过其他拥有更自由访问权限的服务器来访问这些受限的内容。
   • 示例：通过 SSH 的动态转发功能建立代理。例如，用户有一台位于国外的 VPS（Virtual Private Server）服务器，IP 地址为203.0.113.1。在本地终端中使用命令ssh -D 1080 user@203.0.113.1建立动态转发。然后在本地浏览器中配置代理服务器为localhost，端口为1080，并将代理类型设置为 SOCKS5。这样，浏览器的网络请求会通过 SSH 连接发送到 VPS 服务器，再由 VPS 服务器转发到目标网站，从而有可能突破本地网络的访问限制，并且所有的数据传输都是通过 SSH 加密的，保护了用户的隐私。不过需要注意的是，在某些情况下，这种绕过网络限制的行为可能违反相关规定。