great blog

Appearance

SSH(Secure Shell)协议

一、SSH 是什么?

SSH 是一种网络协议,用于在不安全的网络(如互联网)上提供安全的远程登录其他安全的网络服务。它的核心目标是解决传统网络工具(如 Telnet, rlogin, FTP)存在的严重安全问题——这些工具在传输数据(包括用户名、密码、命令本身、文件内容)时都是明文的,很容易被网络上的攻击者窃听和篡改。

SSH 通过强大的加密技术主机验证用户身份验证机制,在客户端和服务器之间建立一个加密的通信隧道,确保通过该隧道传输的所有数据都是机密性完整性的。

二、SSH 的核心功能

  1. 安全的远程命令行登录:

    • 这是 SSH 最基本和最常用的功能。
    • 用户可以从本地计算机(SSH 客户端)安全地登录到远程计算机(SSH 服务器),并在远程计算机上执行命令,就像坐在那台机器前操作一样。
    • 替代了不安全的 telnetrlogin

  2. 安全的远程命令执行:

    • 无需登录交互式 Shell,可以直接通过 SSH 在远程服务器上执行单条命令,并获取命令的输出结果。
    • 常用于自动化脚本、远程管理和部署任务。
    • 例如:ssh user@hostname "ls -l /tmp"

  3. 安全的文件传输:

    • SSH 提供了两种主要方式在本地主机和远程主机之间安全地传输文件:
      • SCP (Secure Copy Protocol): 基于 SSH 的命令行文件传输工具。语法类似于传统的 cp 命令。
        • 例如:scp localfile.txt user@remotehost:/remote/directory/
      • SFTP (SSH File Transfer Protocol): 一个独立的、交互式文件传输协议,运行在 SSH 之上。它提供类似 FTP 的功能(列出目录、上传、下载、删除文件等),但所有通信都是加密的。注意:SFTP 和 FTPS (FTP over SSL/TLS) 是不同的协议。
    • 替代了不安全的 ftprcp

  4. 端口转发(隧道) - SSH Tunneling:

    • 这是 SSH 非常强大且灵活的功能,允许用户通过加密的 SSH 连接来转发其他网络应用程序的流量。
    • 主要类型:
      • 本地端口转发: 将本地主机上的一个端口绑定到 SSH 连接上。发送到这个本地端口的数据会被 SSH 加密,并通过隧道转发到远程主机上的指定端口。
        • 用途: 访问远程主机后面的服务(如数据库)、绕过本地防火墙限制访问远程服务、加密不安全的协议流量。
        • 示例命令: ssh -L [local_port]:[destination_host]:[destination_port] user@ssh_server
        • 场景: 本地机器无法直接访问数据库服务器 db.internal.com:3306,但可以通过 SSH 服务器 gateway.example.com 访问。在本地运行 ssh -L 63306:db.internal.com:3306 user@gateway.example.com,然后连接本地的 localhost:63306 就等于安全地连接到了 db.internal.com:3306
      • 远程端口转发: 将远程主机上的一个端口绑定到 SSH 连接上。发送到这个远程端口的数据会被 SSH 加密,并通过隧道转发回本地主机上的指定端口。
        • 用途: 将本地开发的服务临时暴露给外网访问、让外部访问内网服务(需谨慎使用,有安全风险)。
        • 示例命令: ssh -R [remote_port]:[localhost]:[local_port] user@ssh_server
        • 场景: 你在内网开发了一个 Web 服务运行在 localhost:8000,想让外网的朋友通过 gateway.example.com:8080 访问。在本地运行 ssh -R 8080:localhost:8000 user@gateway.example.com,朋友访问 http://gateway.example.com:8080 的流量就会被转发到你的本地 localhost:8000
      • 动态端口转发(SOCKS 代理): 在本地创建一个 SOCKS 代理服务器端口。任何配置为使用这个 SOCKS 代理的应用程序,其流量都会通过 SSH 隧道进行加密和转发,最终由 SSH 服务器发出。
        • 用途: 安全地浏览网页(绕过本地网络限制或监控)、加密所有支持 SOCKS 代理的应用程序流量。
        • 示例命令: ssh -D [local_socks_port] user@ssh_server
        • 场景: 在咖啡厅连公共 Wi-Fi,运行 ssh -D 1080 user@myhomepc.com,然后在浏览器网络设置中配置 SOCKS 代理为 localhost:1080。之后所有浏览器流量都通过家里的电脑加密传输,公共 Wi-Fi 无法窃听。

  5. X11 转发:

    • 允许用户在本地显示远程 Linux/Unix 服务器上运行的图形界面 (GUI) 应用程序。
    • 通过 SSH 隧道安全地传输 X Window System 协议数据。
    • 使用 ssh -X user@hostname 连接,然后在远程命令行启动 GUI 程序(如 xclock),窗口就会显示在本地。

  6. 代理转发:

    • 允许用户使用存储在本地 SSH 密钥代理(如 ssh-agent)中的私钥进行身份验证,以跳转到另一台服务器,而无需将私钥复制到中间服务器上。
    • 提高了使用密钥认证在多台服务器间跳转的便利性和安全性(私钥始终只留在本地)。
    • 使用 ssh -A user@jumphost 或在配置文件中设置 ForwardAgent yes(需谨慎评估中间服务器是否可信)。

三、SSH 如何实现安全?核心机制

  1. 加密:
    • SSH 在客户端和服务器建立连接时协商使用哪种对称加密算法(如 AES, ChaCha20)来加密整个会话的数据。这确保了传输数据的机密性,即使被截获也无法被解读。
  2. 主机验证:
    • 客户端首次连接服务器时,会收到服务器的公钥并记录在本地(通常是 ~/.ssh/known_hosts 文件)。
    • 后续连接时,客户端会用这个存储的公钥来验证服务器的身份,防止 “中间人攻击”。如果密钥不匹配,会发出严重警告。
  3. 用户身份验证:
    • SSH 支持多种方式验证用户的身份:
      • 密码认证: 用户输入远程服务器上的账户密码(密码传输也是加密的)。
      • 公钥认证(最推荐): 用户生成一对密钥(公钥 + 私钥)。将公钥上传到远程服务器用户目录下的 ~/.ssh/authorized_keys 文件中。连接时,客户端用私钥(通常受密码保护)向服务器证明身份。这种方式更安全(避免密码猜测),且便于自动化。
      • 其他(较少用):基于主机的认证、键盘交互认证(用于一次性密码等)。
  4. 数据完整性保护:
    • SSH 使用消息认证码来验证传输的数据在途中没有被篡改,确保数据的完整性

四、总结 SSH 能实现的功能(一句话概括)

SSH 的核心功能是在不安全的网络上创建一个安全的加密通信通道,通过这个通道,你可以安全地进行远程系统登录、执行命令、传输文件、转发其他应用程序的端口流量(隧道)、甚至安全地运行远程图形程序。它从根本上解决了传统网络工具明文传输数据的安全隐患。

图解:SSH 隧道(端口转发)概念 

      +----------------+          (加密的SSH隧道)          +-----------------+
      | 你的本地电脑     | <=============================> | 远程SSH服务器     |
      | (SSH Client)   |                                | (SSH Server)    |
      |                |                                |                 |
      | Local App      |                                |                 |
      | (e.g., Browser)| --(流量发送到)--> localhost:1080--+                 |
      |                |       (动态转发/SOCKS)          |                 |
      |                |                                |                 |
      | Local App      |                                |                 |
      | (e.g., DB GUI) | --(连接到)-----> localhost:63306-+                 +--> 最终目标服务
      |                |       (本地转发)                |                 |    (e.g., Database)
      |                |                                |                 |
      +----------------+                                +-----------------+

何时使用 SSH?

  • 管理远程 Linux/Unix 服务器(几乎是必备技能)。
  • 在公共 Wi-Fi 等不安全网络环境下安全地访问资源。
  • 安全地传输敏感文件。
  • 绕过某些网络限制(需遵守法律法规和网络政策)。
  • 安全地访问位于防火墙或 NAT 后面的内部服务(如数据库)。
  • 自动化脚本需要安全地连接远程服务器执行命令或传输文件。

SSH 是现代 IT 基础设施、系统管理、开发和运维工作中不可或缺的安全基石。理解并熟练运用 SSH,尤其是其端口转发功能,能极大提升工作效率和安全性。

五、端口转发详解

好的,我们来深入探讨一下 SSH 端口转发(也称为 SSH 隧道) 这个强大且灵活的功能。它本质上是利用 SSH 协议建立的加密通道,来安全地传输其他应用程序的网络流量。

核心思想:

想象一下 SSH 连接是一条安全的、加密的隧道。端口转发就是在这条隧道上开“侧门”,让原本不加密或者无法直接到达的网络流量,通过这个“侧门”进入加密隧道,安全地到达隧道的另一端(SSH 服务器),然后再由 SSH 服务器将流量转发到最终的目标地址。

为什么需要它?

  1. 绕过防火墙/网络限制: 访问被防火墙阻止的内部服务(如数据库、内部网站)。
  2. 加密不安全协议: 保护像 VNC、数据库连接、邮件传输等原本不加密的协议的通信安全。
  3. 安全访问跳板机后的资源: 通过一个可访问的“跳板机”(SSH 服务器)安全地访问其后方网络中的其他机器。
  4. 临时暴露本地服务: 将本地开发环境临时暴露给外部或特定服务器访问。
  5. 安全浏览: 在公共 Wi-Fi 上加密所有网络流量(通过动态转发/SOCKS 代理)。

SSH 端口转发主要分为三种类型:

  1. 本地端口转发
  2. 远程端口转发
  3. 动态端口转发 (SOCKS 代理)

1. 本地端口转发 (-L)

  • 作用:客户端(你本地机器) 上的一个端口绑定到 SSH 连接上。发送到这个本地端口的数据会被 SSH 加密,通过隧道传输到 SSH 服务器,然后由 SSH 服务器解密并转发到指定的 最终目标主机:端口
  • 命令格式:
    bash
    ssh -L [bind_address:]本地端口:目标主机:目标端口 用户名@SSH服务器地址
    • [bind_address:]: (可选) 指定本地哪个网络接口监听。通常省略(表示 localhost127.0.0.1)或指定 0.0.0.0(监听所有接口,需注意安全!)。
    • 本地端口: 你在本地机器上打开的端口号。
    • 目标主机:目标端口: SSH 服务器能够访问到的最终目标机器和端口。目标主机 可以是 localhost(指 SSH 服务器本身)、IP 地址或主机名(需能从 SSH 服务器解析)。
    • 用户名@SSH服务器地址: 你的 SSH 登录凭据和服务器地址。
  • 数据流向:
    你的本地应用 -> localhost:本地端口 -> (加密隧道) -> SSH服务器 -> 目标主机:目标端口
  • 典型场景:
    • 访问防火墙后的数据库: 数据库服务器 db.internal.com:3306 只允许 SSH 服务器 jumpbox.example.com 访问。你在本地运行:
      bash
      ssh -L 63306:db.internal.com:3306 user@jumpbox.example.com
      然后,你在本地的数据库客户端连接 localhost:63306。客户端认为它在连接本地端口 63306,但实际上流量被安全地转发到了 jumpbox 后面的 db.internal.com:3306
    • 访问内部 Web 服务: 类似地,转发一个内部网站 intranet.internal:8080
      bash
      ssh -L 8888:intranet.internal:8080 user@jumpbox.example.com
      然后在本地浏览器访问 http://localhost:8888 即可看到内部网站。
    • 加密 VNC 连接: VNC 默认不加密。将 VNC 流量 (通常是端口 5900 或 5901) 通过本地转发隧道传输:
      bash
      ssh -L 5901:localhost:5901 user@remote-vnc-host
      然后你的 VNC 客户端连接 localhost:5901,流量被加密传输到 remote-vnc-host 的 5901 端口。

2. 远程端口转发 (-R)

  • 作用:SSH 服务器 上的一个端口绑定到 SSH 连接上。发送到这个远程(SSH 服务器)端口的数据会被 SSH 服务器接收,然后通过 加密隧道 传输回 客户端(你的本地机器),最后由客户端解密并转发到指定的 本地目标主机:端口
  • 命令格式:
    bash
    ssh -R [bind_address:]远程端口:目标主机:目标端口 用户名@SSH服务器地址
    • [bind_address:]: (可选) 指定 SSH 服务器上哪个网络接口监听。通常省略(表示 SSH 服务器的 localhost)或指定 0.0.0.0(监听所有接口,安全风险高!通常需要服务器配置允许)。
    • 远程端口: 在 SSH 服务器上打开的端口号。
    • 目标主机:目标端口: 你的本地机器本地网络中能够访问到的最终目标机器和端口。目标主机 通常是 localhost(指你的本地机器)或本地网络中另一台机器的 IP。
    • 用户名@SSH服务器地址: 你的 SSH 登录凭据和服务器地址。
  • 数据流向:
    访问SSH服务器远程端口的应用 -> SSH服务器:远程端口 -> (加密隧道) -> 你的本地机器 -> 目标主机:目标端口
  • 典型场景:
    • 将本地开发环境暴露给外部/同事: 你在本地 localhost:3000 运行了一个 Web 应用开发环境。你在本地运行:
      bash
      ssh -R 8080:localhost:3000 user@public-server.example.com
      然后,任何能访问 public-server.example.com 的人(或你自己)访问 http://public-server.example.com:8080,流量就会通过隧道安全地转发到你本地的 localhost:3000
    • 让跳板机访问你内网的服务: 你在公司内网有一台机器 nas.local:80 提供文件服务,你想让家里的电脑(通过家里的 SSH 服务器 home-server)访问它。在公司的电脑上运行:
      bash
      ssh -R 8888:nas.local:80 user@home-server
      然后在家里的电脑上访问 http://localhost:8888 (或者如果 home-server 监听了 0.0.0.0 且防火墙允许,直接访问 home-server:8888) 就能访问到公司内网的 nas.local
  • 重要限制与安全警告:
    • SSH 服务器默认只允许绑定到 localhost (127.0.0.1)。要绑定到 0.0.0.0 让其他机器访问,通常需要在服务器的 SSH 配置文件 (/etc/ssh/sshd_config) 中设置 GatewayPorts yes 并重启 sshd 服务。这有安全风险!
    • 防火墙可能阻止对远程端口的访问。
    • 慎用 GatewayPorts yes0.0.0.0 这会将你本地的服务暴露给任何能访问 SSH 服务器的人。

3. 动态端口转发 / SOCKS 代理 (-D)

  • 作用: 在你的本地机器上创建一个 SOCKS 代理服务器(监听一个指定端口)。任何配置为使用这个 SOCKS 代理的应用程序,其 所有网络流量 都会被重定向到这个本地端口,然后通过 SSH 加密隧道 传输到 SSH 服务器,最后由 SSH 服务器以其自身的 IP 地址 发出请求并将响应通过隧道返回。它不指定特定目标端口,而是按需转发。
  • 命令格式:
    bash
    ssh -D [bind_address:]本地SOCKS端口 用户名@SSH服务器地址
    • [bind_address:]: (可选) 指定本地哪个网络接口监听 SOCKS 代理。通常省略(localhost)或 0.0.0.0(允许网络内其他机器使用此代理,需注意安全)。
    • 本地SOCKS端口: 你在本地机器上为 SOCKS 代理服务打开的端口号(常用 1080)。
    • 用户名@SSH服务器地址: 你的 SSH 登录凭据和服务器地址。
  • 数据流向:
    配置了SOCKS代理的应用程序 -> localhost:本地SOCKS端口 -> (加密隧道) -> SSH服务器 -> 互联网目标
  • 典型场景:
    • 在公共 Wi-Fi 上安全浏览: 在咖啡馆运行:
      bash
      ssh -D 1080 user@my-home-server.com
      然后在浏览器(或系统)网络设置中配置 SOCKS 代理为 localhost:1080(SOCKS v5)。之后所有浏览器的流量都会通过家里的 my-home-server.com 加密转发出去,公共 Wi-Fi 无法窃听。
    • 绕过本地网络限制: 如果本地网络限制了某些网站(如社交媒体),通过连接到不受限制的 SSH 服务器(如公司服务器或 VPS)建立动态隧道,然后配置代理访问。
    • 加密所有支持 SOCKS 的应用流量: 邮件客户端、游戏客户端、即时通讯软件等,只要它们支持配置 SOCKS 代理,其流量都可以被加密转发。
  • 特点:
    • 最灵活,无需为每个目标服务单独配置转发规则。
    • 应用程序需要显式配置使用 SOCKS 代理(通常在网络设置里)。

关键概念与技巧:

  1. -f, -N, -T 选项:

    • -f: 让 SSH 在认证后转入后台运行。
    • -N: 不执行远程命令。仅用于端口转发时使用。
    • -T: 禁用伪终端分配。
    • 组合使用: 建立“静默”的后台隧道:
      bash
      ssh -fNT -L 63306:db.internal.com:3306 user@jumpbox.example.com
      这条命令建立隧道后就会在后台运行,不会打开远程 shell。

  2. -g 选项 (谨慎使用):

    • 在本地转发 (-L) 中,允许远程主机连接到本地的转发端口(默认只允许 localhost 连接)。需要在 sshd_config 中可能设置 GatewayPorts 或处理防火墙。有安全风险!

  3. GatewayPorts 配置 (服务器端 /etc/ssh/sshd_config):

    • no (默认): 远程转发 (-R) 绑定的端口只监听 localhost (127.0.0.1)。
    • clientspecified: 允许客户端在 -R 命令中指定 bind_address (如 0.0.0.0)。
    • yes: 所有远程转发 (-R) 默认绑定到 0.0.0.0 (监听所有接口)。
    • 修改后需重启 SSH 服务 (sudo systemctl restart sshd)。启用 yesclientspecified 并绑定 0.0.0.0 会显著增加暴露风险!

  4. 主机密钥验证: 首次连接 SSH 服务器时会提示接受其主机密钥,存储在 ~/.ssh/known_hosts 中。后续连接会验证密钥是否匹配,防止中间人攻击。如果服务器密钥改变(如重装系统),会发出警告,需要手动确认或删除旧的记录。

  5. 保持隧道连接: 长时间运行的隧道可能会因为网络波动或超时而断开。可以使用工具如 autossh 自动重连:

    bash
    autossh -M 0 -fNT -L 63306:db.internal.com:3306 user@jumpbox.example.com

    (-M 0 禁用 autossh 的内部监控端口,使用 SSH 自己的保活机制)。

总结:

SSH 端口转发是一个非常强大的工具,它打破了网络连接的限制,在加密的保护下实现了:

  • 本地转发 (-L): “我从本地安全地访问远程后面的服务”。
  • 远程转发 (-R): “让远程的人安全地访问我本地(或内网)的服务”。(慎用,注意安全暴露!)
  • 动态转发 (-D): “把我所有的网络流量都通过这个加密隧道安全地发出去”。

理解并熟练运用这三种转发方式,能极大提升你在复杂网络环境下的连接能力、安全性和工作效率,是系统管理员、开发者和安全人员的必备技能。务必在使用时,尤其是涉及监听 0.0.0.0GatewayPorts 时,仔细评估安全风险。

/src/technology/dateblog/2025/06/20250605-ssh%EF%BC%88secure-shell%EF%BC%89%E5%8D%8F%E8%AE%AE.html