20、SSH：强大且多功能的远程访问解决方案-优快云博客

本文链接：https://blog.youkuaiyun.com/emacs5lisp/article/details/155933763

SSH：强大且多功能的远程访问解决方案

1. 利用脚本建立安全VPN连接

要通过加密的SSH连接创建安全的VPN会话，可以按照以下步骤操作：
1. 保存脚本为 wee-pee-en （或其他你想要的名称），并使其可执行：

chmod a+x wee-pee-en

在客户端使用该脚本并通过可信VPN连接访问SSH/VPN服务器，输入以下命令：

#wee-pee-en start

如果一切顺利，客户端会显示如下信息：

Using interface ppp1
Connect: ppp1 <--> /dev/pts/1
local IP address 11.30.11.21
remote IP address 72.12.8.15

若要禁用VPN，在客户端输入：

#wee-pee-en stop

2. SSH作为远程访问解决方案的优势

结合一些基本技术和高级技术，SSH可以成为一个成熟的远程访问解决方案，支持诸如电子邮件、文件传输和管理等常见的远程访问需求。虽然这些远程访问需求的配置略有不同，但端口转发的基本原理适用于所有这些需求。

端口转发是SSH的一个强大且非常有用的功能，甚至在某种程度上超过了它提供的终端访问功能。如今，网络中部署的许多SSH解决方案更多地是为了其端口转发功能，而非远程终端访问功能。

SSH的灵活性使其能够在NAT网络和非NAT网络中使用，这使得它成为一个极具吸引力的远程访问解决方案，可以在任何类型的网络环境中保障终端用户的安全，无论是在酒店房间、家庭办公室、客户现场、数据中心，还是在当地咖啡店的无线网络中。

SSH与其他应用程序（如Outlook Express、Netscape Messenger和Eudora）结合使用，可以缓解和解决其他实体的安全问题。此外，SSH与现有、必需或标准协议（如SMB和NFS）结合使用，可以轻松地与现有网络进行互操作，且对终端用户几乎没有影响。最后，SSH支持GUI应用程序的能力，为远程管理员提供了一个真正安全的远程管理解决方案。

基本的端口转发和高级技术使SSH成为一个功能齐全且成本低廉的远程访问解决方案，其他任何服务、设备或协议都无法与之匹敌。

3. SSH的多功能性

SSH是一个非常多功能的实用工具，除了上述用途外，它还能以安全的方式提供以下功能：
- 终端访问
- 文件传输（SFTP）
- 安全聊天
- 安全备份

4. SSH终端访问的优势

SSH终端访问是SSH最基本的用途之一。安装SSH的主要原因之一是提供安全的终端访问。为了替代危险的Berkeley R协议（如RSH和Rlogin），需要使用SSH。如果除了Berkeley R协议之外还使用其他终端模拟器（如Telnet），网络环境的安全级别将大大降低。

SSH不仅能提供与RSH、Rlogin和Telnet相同级别的访问，还能通过双因素认证、高级授权和强加密以安全的方式实现这一点。

在处理跨互联网甚至不安全的内部网络的远程管理问题时，Telnet、RSH、rexec和Rlogin会使组织的安全基础设施受到严重破坏，因为任何被动用户都可能获得敏感信息，如用户名、密码、目录结构等。

例如，RSH、Rlogin和Rexec是明文协议，提供某种远程终端仿真或远程执行服务。这三种协议都可以被任何流量分析器嗅探到，从而将认证和授权信息泄露给未经授权的用户。这可能会使未经授权的用户获得敏感的认证信息，并以未经授权的方式登录系统和/或设备或执行远程命令。

以下是这几种协议的特点对比：
| 协议 | 端口 | 工作方式 | 安全性问题 |
| — | — | — | — |
| RSH | 514 | 客户端向RSH服务器执行远程命令 | 明文协议，易被嗅探用户名和密码 |
| Rlogin | 513 | 客户端启动远程终端会话 | 明文协议，易泄露用户名、密码和IP地址 |
| Rexec | 512 | 客户端向rexec服务器执行远程命令 | 明文协议，易泄露用户名和密码 |
| SSH | - | 提供加密的远程执行服务或终端会话 | 加密连接，安全可靠 |

通过使用SSH，可以消除对这三种不安全协议的需求，因为它能提供相同甚至更好的远程执行服务或终端会话，且连接是加密和安全的。与RSH、Rlogin和Rexec不同，SSH不是明文协议，因此即使被动攻击者嗅探网络，也无法获取任何有用信息，如用户名和密码。从用户认证到会话关闭，整个连接都是完全加密的。

5. 使用Secure File Transfer Protocol (SFTP)进行文件传输

在组织中，网络文件共享一直是一项标准功能。标准协议如FTP（文件传输协议）、Microsoft的SMB（服务器消息块）和NFS（网络文件系统）是大多数组织中最常用的文件传输方法。然而，尽管这三种协议很受欢迎，但它们都存在许多安全问题。FTP和NFS是明文协议，存在多个安全问题，包括明文传输认证（用户名/密码）信息。

Secure File Transfer Protocol (SFTP)是与SSH一起使用的子系统。SFTP与FTP非常相似，但它能够通过安全的加密连接在SFTP服务器（SSH服务器）和SFTP客户端之间传输文件。SFTP和FTP都使用客户端/服务器架构，但SFTP会带来一定的性能损失，因为数据包在通过网络传输之前会被加密。不过，考虑到使用SFTP所获得的额外安全性，这种性能损失通常可以忽略不计。

每个SSH版本2的安装默认都提供并启用了SFTP子系统。在默认安装后，SSH服务器上不需要额外的步骤来启动SFTP子系统；SFTP子系统内置于服务中，并会在为SSH选择的端口（如端口22）上响应。

不同的SSH提供商（如OpenSSH、SSH Communications和VanDyke Software）默认都启用了SFTP子系统，但每个安装都有不同的功能，可能会影响你的决策过程。以下是SFTP的四个主要用途：
- 一般设置和使用SFTP
- 用于管理目的的SFTP
- 用于企业文件共享（文件访问控制）的SFTP
- 用于授权系统用户（用户访问控制）的SFTP

6. OpenSSH SFTP服务器的使用

OpenSSH SFTP子系统是在不同机器之间安全传输文件和文件夹的绝佳解决方案。默认情况下，OpenSSH服务器上启用了SFTP子系统，无需特殊或额外的步骤。

为确保SFTP子系统已启用，可以打开SSH服务器上的 sshd_config 文件并滚动到文件底部。SFTP子系统信息应该在文件末尾。输入以下命令查看OpenSSH配置文件中的SFTP子系统信息：

#cd /etc/ssh/
#more sshd_config

sshd_config 文件末尾应包含以下语法：

# override default of no subsystems
Subsystem    sftp   /usr/libexec/openssh/sftp-server

如果不需要SFTP，只需要使用SSH服务（shell或端口转发访问），可以通过注释掉“Subsystem SFTP”行来轻松禁用SFTP子系统。例如，要在OpenSSH中禁用SFTP子系统，确保 sshd_config 文件的最后两行如下所示：

# override default of no subsystems
# Subsystem sftp    /usr/libexec/openssh/sftp-server

如果你想使用SFTP子系统，请确保在 /etc/ssh/sshd_config 文件中启用（取消注释）它。

6.1 使用OpenSSH进行管理

使用任何SFTP客户端（如OpenSSH附带的命令行版本 sftp ），可以安全地连接到SFTP服务器并下载文件。例如，如果你想从IP地址为172.16.11.17的SFTP服务器复制名为 Commodore-Vic20.txt 的文件，可以使用OpenSSH SFTP客户端输入以下命令：

#sftp 172.16.11.17 –p 22 –l <username>
#get CommodoreVic20.txt
#exit

同样，要将文件（如 Pitfall.txt ）上传到SSH服务器，可以输入以下命令：

#sftp 172.16.11.17 –p 22 –l <username>
#put Pitfall.txt
#exit

与FTP一样，命令行SFTP客户端将在客户端的本地目录和服务器之间下载或上传文件，但这将通过加密会话进行。在这种情况下，OpenSSH对于大多数组织的一般管理目的来说是一个非常强大的选择。根级用户不仅可以登录到OpenSSH服务器进行命令行访问，还可以使用SFTP子系统以安全、简便的方式传输重要和敏感的文件和目录。

6.2 使用OpenSSH进行文件共享

为了与SSH互补地使用SFTP子系统，需要在操作系统上创建有效的账户，因为SSH使用操作系统账户，而不是其自己的特定SSH账户。因此，拥有操作系统账户意味着该账户也有权访问系统的文件，如 /etc/ 、 /usr/sbin 、 /var 等。

在文件服务器场景中，你可能不想为SFTP访问暴露操作系统目录或整个目录架构，而是只提供一个或两个文件夹用于组织范围内的一般文件共享。例如，你可能不希望所有用户下载 /etc/passwd 的副本，而只允许访问指定目录（如他们的主目录或 /tmp/share 目录）中的文件。在这种情况下，应该使用文件访问控制。

默认情况下，SFTP子系统上没有访问控制权限；所有文件访问权限都依赖于本地操作系统的权限。在Unix系统中，SFTP的所有访问控制权限将由文件和文件夹本身设置的读/写/执行值控制。在Windows系统中，SFTP的文件访问权限将由NTFS访问控制控制。

你需要在操作系统上设置适当的访问控制权限，而不仅仅依赖于SFTP子系统。如果没有设置适当的访问控制，可能会导致安全漏洞。

综上所述，SSH凭借其多功能性和安全性，在远程访问和文件传输等领域展现出了巨大的优势。通过合理配置和使用SSH及其子系统（如SFTP），可以有效地提高网络的安全性和管理效率。无论是在个人使用还是企业环境中，SSH都是一个值得信赖的工具。

SSH：强大且多功能的远程访问解决方案

7. 安全聊天与安全备份

SSH除了终端访问和文件传输外，还能实现安全聊天和安全备份功能。

7.1 安全聊天

在网络环境中，传统的聊天协议（如IRC）存在安全隐患，信息传输容易被窃听。而SSH与聊天结合使用，可以为聊天过程提供加密保护。通过SSH隧道，聊天信息在传输过程中被加密，即使有攻击者嗅探网络，也无法获取到有价值的信息。例如，在一些对信息安全要求较高的团队协作场景中，使用SSH加密的聊天方式能确保沟通内容的保密性。

7.2 安全备份

传统的备份协议（如RSync）在传输数据时可能存在安全风险，数据在传输过程中可能被截取或篡改。SSH与备份结合使用，能为备份数据提供安全保障。在进行备份操作时，数据通过SSH加密通道传输，保证了数据的完整性和保密性。例如，企业定期对重要数据进行备份时，使用SSH加密的备份方式可以防止数据在传输过程中被恶意攻击。

8. SSH替代不安全协议的实际意义

SSH能够替代多种不安全协议，这在实际的网络环境中具有重要意义。以下是一个简单的流程图，展示了SSH替代不安全协议的过程：

graph LR
    A[不安全协议（RSH、Rlogin、Rexec等）] --> B(存在安全风险)
    B --> C(数据易被嗅探、篡改)
    C --> D(影响网络安全态势)
    E[SSH] --> F(提供安全保障)
    F --> G(加密传输数据)
    G --> H(替代不安全协议)
    H --> D

从流程图可以看出，不安全协议由于存在安全风险，会对网络安全造成负面影响。而SSH通过加密传输数据，为网络提供了安全保障，能够有效替代这些不安全协议，提升网络的安全性。