SSH小技巧

参考： Six Things I wish Mom told me(about ssh) Using Rsync and Ssh

用过 linux 的，对 SSH 应该就比较熟悉了，但有些技巧可能你未必知道。

连接成功后运行命令

我们都知道可以通过 SSH 获取远程 shell，然后运行命令。如果只想运行单个命令的话，直接把命令附加在 SSH 命令之后即可，如

wdaher@rocksteady:~$ ssh bebop uname -a
Linux bebop 2.6.32-24-generic #39-Ubuntu SMP Wed Jul 28 05:14:15 UTC 2010 x86_64 GNU/Linux

这个最好结合无须输入密码的 SSH 登录。如果想获取 python 版本，直接"ssh hostname python -V"

但有些命令可能会报错，如"top"

wdaher@rocksteady:~$ ssh bebop top
TERM environment variable not set.

这时只需加上"-t"参数就行了。

这里我们执行 ssh 连接时并没有指定具体的主机名(ip)和用户，而只是"bebop"，这是如何做到的呢？且看下文

使用别名

假如在一个主机上为不同用户分别开通了不同的 ssh 账号，连接时就得这样

wdaher@rocksteady:~$ ssh -p 2222 bob.example.com
wdaher@rocksteady:~$ ssh -p 8183 [email protected]
wdaher@rocksteady:~$ ssh -p 31337 -l waseemio wsd.example.com

很麻烦，而且端口或者其他参数有变动的话，不一定记得住。其实只要配置一下.ssh/config 文件就可以了。

Host bob
    HostName bob.example.com
    Port 2222
    User wdaher

Host alice
    HostName alice.example.com
    Port 8183
    User waseem

Host self
    HostName wsd.example.com
    Port 31337
    User waseemio

连接时，就变成这样了

wdaher@rocksteady:~$ ssh bob
wdaher@rocksteady:~$ ssh alice
wdaher@rocksteady:~$ ssh self

是不是很方便，如果 SSH 的参数改变的话，修改配置文件就行了，命令不变。

端口转发

假设有这么个情况：你已下班回家，这时想要查看公司内网(analytics)的某个 web 页，但只能 SSH 到自己在公司的电脑(desktop)，desktop 和 analytics 在一个局域网。

先来看一段命令

ssh desktop -L 8080:desktop:80

这段命令表示的是 ssh 连到 desktop 后，转发本地 8080 端口到 desktop 的 80 端口，这时，如果访问"http://localhost:8080"，就会转发到 desktop 的 80 端口。这样的话，把 desktop:80 换成 analytics:80 不就大功告成了吗

ssh desktop -L 8080:analytics:80

这样访问本地的 8080 端口，就会转到 analytics 的 80 端口，通过 desktop 这个跳板。

更加一劳永逸的方法是使用-D 参数，将 desktop 变成一个socks5代理服务器(对这个-D 命令，大家应该都很熟悉了吧)，然后在浏览器中配置代理为"localhost:8080"

ssh desktop -D 8080 desktop

这样所有的浏览器访问都会通过 desktop 进行转发，也就是说直接访问 http://analytics 就可以了。(analytics 地址在 hosts 里配置，如 192.168.1.110 analytics)

使用"~"

"~"(不包括引号)是 ssh 保留字符，在新行输入"~"后，可以配合很多键，其中最常用的就是"~."和"~^Z"(Ctrl+Z)

"~."会终止 ssh 连接，如果中断了连接，又不想等 ssh session 过期，就可以使用这个快捷键。

"~^Z"会把当前的 ssh 连接放到后台，等完成了其他工作后，再把这个连接取出来。

wdaher@rocksteady:~$ ssh bebop
wdaher@bebop:~$ sleep 10000
wdaher@bebop:~$ ~^Z [suspend ssh]

[1]+  Stopped                 ssh bebop
wdaher@rocksteady:~$ # Do something else
wdaher@rocksteady:~$ fg # and you're back!

通过 authorized_keys 指定登录后要执行的命令

这个跟前面提到的"连接成功后运行命令"不一样，这个命令是定义在 authorized_keys 里的，ssh 连上后，只能执行该命令，并且执行完后立即退出。

先看看正常的 authorized_keys

ssh-dss AAAAB3NzaC1kc3MAAAEBAKYJenaYvMG3nHwWxKwlWLjHb77CT2hXwmC8Ap+fG8wjlaY/9t4u
A+2qx9JNorgdrWKhHSKHokFFlWRj+qk3q+lGHS+hsXuvta44W0yD0y0sW62wrEVegz+JVmntxeYc0nDz
5tVGfZe6ydlgomzj1bhfdpYe+BAwop8L+EMqKLS4iSacNjoPlHsmqHMnbibn3tBqJEq2QJjEPaiYj1iP
5IaCuYBhuTKQGa+oyH3mXEif5CKdsIKBj46B0tCy0/GC7oWcUN92QdLrUyTeRJZsTWsxKpRbMliD2pBh
4oyX/aXEf8+HZBrO5vQjDBCfTFQA+35Xrd3eTVEjkGkncI0SAeUAAAAVAMZSASmQ9Pi38mdm6oiVXD55
Kk2rAAABAE/bA402VuCsOLg9YS0NKxugT+o4UuIjyl6b2/cMmBVWO39lWAjcsKK/zEdJbrOdt/sKsxIK
1/ZIvtl92DLlMhci5c4tBjCODey4yjLhApjWgvX9D5OPp89qhah4zu509uNX7uH58Zw/+m6ZOLHN28mV
5KLUl7FTL2KZ583KrcWkUA0Id4ptUa9CAkcqn/gWkHMptgVwaZKlqZ+QtEa0V2IwUDWS097p3SlLvozw
46+ucWxwTJttCHLzUmNN7w1cIv0w/OHh5IGh+wWjV9pbO0VT3/r2jxkzqksKOYAb5CYzSNRyEwp+NIKr
Y+aJz7myu4Unn9de4cYsuXoAB6FQ5I8AAAEBAJSmDndXJCm7G66qdu3ElsLT0Jlz/es9F27r+xrg5pZ5
GjfBCRvHNo2DF4YW9MKdUQiv+ILMY8OISduTeu32nyA7dwx7z5M8b+DtasRAa1U03EfpvRQps6ovu79m
bt1OE8LS9ql8trx8qyIpYmJxmzIdBQ+kzkY+9ZlaXsaU0Ssuda7xPrX4405CbnKcpvM6q6okMP86Ejjn
75Cfzhv65hJkCjbiF7FZxosCRIuYbhEEKu2Z9Dgh+ZbsZ+9FETZVzKBs4fySA6dIw6zmGINd+KY6umMW
yJNej2Sia70fu3XLHj2yBgN5cy8arlZ80q1Mcy763RjYGkR/FkLJ611HWIA= thisuser@thishost

修改之后，就是这样

from="10.1.1.1",command="/home/remoteuser/command" ssh-dss AAAA...

其实就是在最前面加了 from 和 command，from 表明从哪个 ip 连过来的，如果是用 adsl 拨号上网，ip 会经常变动，可以把这个参数去掉。command 表明连接成功后要执行的命令，可以在 command 里限制该用户可以执行的命令(别忘了加上可执行权限)，假设限制该用户只能执行 rsync 命令:

#!/bin/sh

case "$SSH_ORIGINAL_COMMAND" in
*\&*)
echo "Rejected"
;;
*\(*)
echo "Rejected"
;;
*\{*)
echo "Rejected"
;;
*\;*)
echo "Rejected"
;;
*\<*)
echo "Rejected"
;;
*\`*)
echo "Rejected"
;;
*\|*)
echo "Rejected"
;;
rsync\ --server*)
$SSH_ORIGINAL_COMMAND
;;
*)
echo "Rejected"
;;
esac

$SSH_ORIGINAL_COMMAND 表示的是用户实际执行的命令

其他技巧

禁止 Root 用户登录

允许 root 用户登录太危险了(虽然很方便)，因为可以删除任何文件，可以在'/etc/ssh/sshd_config'里配置一下。

PermitRootLogin no
#或者只允许执行有限的命令
PermitRootLogin forced-commands-only

免密码登录

先用 ssh-keygen 生成一对私钥和公钥，然后把公钥添加到远程主机的 authorized_keys 里就行了

#生成私钥和公钥，默认放在~/.ssh/文件夹下，也可以自定义，提示输入passphare时，直接回车
#顺利的话就会在~/.ssh/文件夹下生成id_rsa.pub和id_rsa两个文件
ssh-keygen -t rsa

#把id_rsa.pub上传到远程主机，方法很多，ssh-copy-id只是其中一种
ssh-copy-id username@hostname
#如果id_rsa.pub在其他文件夹下
ssh-copy-id -i /path/to/id_rsa.pub username@hostname

这样下次就可以直接登录了