SSH 介绍与排错

一、SSH 是什么

SSH 是一种网络协议，通过加密技术，确保数据在网络传输过程中的安全性。与传统的 Telnet 等明文传输协议不同，SSH 利用公钥加密、私钥解密以及对称加密算法等手段，让用户的登录凭证、命令以及传输的数据都以密文形式传输，有效防止了中间人攻击、信息泄露等风险。

当我们使用 SSH 连接到远程服务器时，例如在本地终端输入 ssh username@remote_server_ip，SSH 客户端就会与服务器的 SSH 守护进程建立连接，随后双方进行密钥交换、身份验证等一系列步骤，只有验证通过后，用户才能获得服务器的操作权限。

二、SSH 常见错误及排错方法

（一）连接超时

1. 错误现象：

• • 在尝试连接服务器时，终端长时间无响应，最后报错提示 “Connection timed out”。

1. 可能原因：

• • 网络问题：本地网络故障、防火墙阻止了 SSH 连接请求，或者服务器所在网络访问受限。

• • 服务器未开启 SSH 服务：可能由于服务器重启、服务异常关闭等原因，导致 SSH 服务没有正常运行。

1. 排错步骤：

• • 首先，检查本地网络连接，尝试访问其他网站或服务器，确保本地网络正常。

• • 然后，联系服务器管理员确认服务器网络状况，查看服务器端防火墙设置，是否允许来自客户端 IP 的 SSH 连接（一般 SSH 默认端口 22，需确保该端口未被封禁）。

• • 若服务器网络正常，登录服务器检查 SSH 服务状态，在 Linux 系统下，可使用命令 service ssh status 或 systemctl status ssh，若服务未运行，尝试启动服务 service ssh start 或 systemctl start ssh。

（二）身份验证失败

1. 错误现象：

• • 输入正确密码后，仍然提示 “Permission denied, please try again”。

1. 可能原因：

• • 用户名或密码错误：虽然看似简单，但大小写敏感等因素可能导致输入错误。

• • SSH 密钥配置问题：如果采用密钥认证方式，可能公钥未正确部署到服务器，或者私钥与公钥不匹配，又或是私钥权限设置错误（权限过于宽松可能被拒绝）。

1. 排错步骤：

• • 仔细核对用户名和密码，注意大小写。若忘记密码，可通过服务器的密码重置机制进行重置。

• • 对于密钥认证问题，在客户端检查私钥文件路径是否正确，若使用命令行连接，可通过 ssh -i path/to/private_key username@server_ip 指定私钥路径。在服务器端，查看 ~/.ssh/authorized_keys 文件，确保公钥已正确添加，且每行公钥格式正确。同时，检查私钥文件权限，在 Linux 下，建议使用 chmod 400 path/to/private_key 将权限设置为仅所有者可读。

（三）Host key verification failed

1. 错误现象：

• • 连接时提示 “Host key verification failed”，阻止连接继续进行。

1. 可能原因：

• • 服务器主机密钥发生变化：可能是服务器重装系统、重新生成密钥对，或者遭受了恶意攻击导致密钥篡改。

• • 客户端保存的已知主机密钥与当前服务器不一致：例如在克隆虚拟机等场景下，多个相同 IP 的主机可能混淆了客户端的密钥认知。

1. 排错步骤：

• • 谨慎确认服务器的真实性，如果是服务器主动变更密钥，联系服务器管理员获取新的主机密钥指纹，并在客户端更新。在 Linux 系统下，客户端保存的已知主机密钥位于 ~/.ssh/known_hosts 文件，可使用文本编辑器打开该文件，找到对应服务器 IP 的记录并删除，重新连接服务器时会重新验证并保存新的主机密钥。但要注意，若不确定服务器安全性，不要轻易绕过此验证，以免遭受中间人攻击。

三、SSH 添加互信脚本

在多台服务器之间进行频繁操作时，建立 SSH 互信能极大地简化操作流程，无需重复输入密码。以下是一个简单的基于 Linux 系统的 SSH 互信脚本示例：

#!/bin/bash
​
# 检查是否以 root 用户运行
if [ $(id -u) -ne 0 ]; then
    echo "请以 root 用户运行此脚本"
    exit 1
fi
​
# 生成密钥对（如果不存在）
if [! -f ~/.ssh/id_rsa ]; then
    ssh-keygen -t rsa -P "" -f ~/.ssh/id_rsa
fi
​
# 获取当前主机名
hostname=$(hostname)
​
# 将公钥复制到目标主机
for target_host in "$@"
do
    ssh-copy-id -i ~/.ssh/id_rsa.pub root@$target_host
    if [ $? -eq 0 ]; then
        echo "已成功将本机（$hostname）的公钥添加到 $target_host"
    else
        echo "向 $target_host 添加公钥失败，请检查网络连接及目标主机配置"
    fi
done

使用方法：

1. 将上述脚本保存为 ssh_setup_trust.sh，并赋予可执行权限：chmod +x ssh_setup_trust.sh。

1. 假设要与 server1、server2 建立互信，在命令行执行：./ssh_setup_trust.sh ip1 ip2。