13.4 SSH 配置和相关工具

SSH 即 Secure Shell，安全 shell，顾名思义是一种安全地使用 shell 的方式。一般用作远程使用。

SSH 工具

FreeBSD 自带 ssh，可以接入其他安装了 ssh 的设备，用法：

$ ssh 用户名@IP:端口

如：

$ ssh [email protected]:1022

技巧
ssh FreeBSD 的话，接入的是哪个 tty？
$ tty
/dev/pts/1 # 即 pseudo-terminal，伪终端

WinSCP

scp 即 Secure Copy，安全复制，顾名思义是一种安全地使用 cp 命令的方式。一般用作远程使用，在不同设备间传输文件。

WinSCP 是对 scp 命令的图形化封装的软件，并同时支持 FTP 等多种协议。可以快捷的传输文件与 Windows 系统和 Linux 或 BSD 之间。

下载地址：

https://winscp.net/eng/download.php

自 OpenSSH 9.0 起，scp 命令默认使用 SFTP 协议进行文件传输。WinSCP 默认即是 SFTP。

但是，这个版本号和远程被控的操作系统相关。FreeBSD 查看内置的 OpenSSH 版本：

root@ykla:~ # ssh -V
OpenSSH_9.7p1, OpenSSL 3.0.14 4 Jun 2024

上面的输出，OpenSSH 的主要版本号为 9.7，用户无需任何修改即可使用 WinSCP。

Xshell

Xshell 是 Windows 平台上的强大的 shell 工具。支持串口、SSH、Telnet！

Xshell 下载地址（输入用户名和邮件即可）：

https://www.netsarang.com/zh/free-for-home-school

如果提示需要重新验证，请打开上面的网站重装一遍，即可。

MobaXterm

MobaXterm 是一款集成了 SCP 功能的软件。

MobaXterm 目前不支持中文，下载地址 https://mobaxterm.mobatek.net/download-home-edition.html，左右任选。

在选择鼠标后，操作行为和 Xshell 一致。

PuTTY

下载地址：https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

PuTTY 界面以反人类著称，不支持 i18n（中文版注入木马等），自身安全性也没有保障（CVE-2024-31497）一般被集成到其他软件间接使用。

Termius

Termius 下载地址：https://termius.com/download/

目前不支持中文，使用需要登录和注册。

Termius 鼠标行为和 PuTTY 接近，一样的反人类（无论选择快捷键还是鼠标）。右键出不来 Xshell 那种行为。

配置 SSH

允许 root 使用 ssh

技巧
视频教程见 004-FreBSD14.2 允许 root 登录 ssh

编辑“/etc/ssh/sshd_config”（删去前边的 #，并将 yes 或 no 修改为如下）：

PermitRootLogin yes          # 允许 root 登录
PasswordAuthentication yes   #（可选）设置是否使用普通密码验证，如果不设置此参数则使用 PAM 认证登录，安全性更高

技巧
如果你实在是找不到 #PasswordAuthentication no 这行，请你看看你改的究竟是 /etc/ssh/sshd_config 还是 /etc/ssh/ssh_config。sshd 才是我们真正要改的文件。

开启 SSH 服务

# service sshd restart

如果提示找不到 sshd，请执行下一命令：

# service sshd enable

然后再

# service sshd restart

SSH 密钥登录

生成密钥

# ssh-keygen

OpenSSH 7.0 及以上版本默认禁用了 ssh-dss(DSA) 公钥算法。FreeBSD 13.0 采用 OpenSSH_7.9。因此使用默认值即可。

root@ykla:~ # ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #此处回车
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):    #此处输入密码（为了安全建议设置密码）
Enter same passphrase again:     #此处重复输入密码
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:MkcEjGhWCv6P/8y62JfbpEws9OnRN1W0adxmpceNny8 root@ykla
The key's randomart image is:
+---[RSA 2048]----+
|.  o.o...      ..|
|..+.. ..      o+*|
| +.     .     o*B|
|  .    .      o=.|
|   . .o S    . ..|
|    + o+o   .   .|
|   . o *.o o  E .|
|    + Bo= . .  . |
|   . ==O..       |
+----[SHA256]-----+

配置密钥

检查权限（默认创建的权限如下）：

drwx------  2 root  wheel   512 Mar 22 18:27 /root/.ssh #权限为 700
-rw-------  1 root  wheel  1856 Mar 22 18:27 /root/.ssh/id_rsa  #私钥，权限为 600
-rw-r--r--  1 root  wheel  391 Mar 22 18:27 /root/.ssh/id_rsa.pub #公钥，权限为 644

生成验证公钥：

# cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
-rw-r--r--  1 root  wheel  391 Mar 22 18:39 /root/.ssh/authorized_keys #检查权限 644

使用 winscp 把私钥和公钥保存到本地后，删除服务器上的多余文件：

# rm /root/.ssh/id_rsa*

修改 `/etc/ssh/sshd_config`

# ee /etc/ssh/sshd_config

逐个找到（分散于 sshd_config），并按需修改配置如下（删去前边的 #，并将 yes 或 no 的状态修改为如下）：

PermitRootLogin yes                          #允许 ROOT 用户直接登录系统

AuthorizedKeysFile     .ssh/authorized_keys  #修改使用用户目录下密钥文件，默认已经正确配置，可再检查下

PasswordAuthentication no                    #不允许用户使用密码方式登录

ChallengeResponseAuthentication no           #禁止密码登录验证

PermitEmptyPasswords no                      #禁止空密码的用户进行登录

重启服务

# service sshd restart

使用 xshell 登录即可，输入密钥密码，导入私钥 id_rsa，即可登录。

如果使用其他 ssh 软件无法登录请自行转换密钥格式。

保持 SSH 不断线

传统的 screen

screen 即英文“屏幕”的意思，即提供一块虚拟屏幕给你用。

安装：

# pkg install screen

或者：

# cd /usr/ports/sysutils/screen/
# make install clean

使用方法：

# screen -S xxx

使用 -S 可以指定 xxx 为名字，方便找到。

然后就可以进行 ssh 连接了，后续可以关闭这个窗口或软件，不影响 ssh。

查看有哪些正在运行的 screen？

root@ykla:/ # screen -ls
There are screens on:
	18380.pts-0.ykla	(Attached)
	70812.xxx	(Detached)
	67169.pts-0.ykla	(Detached)
3 Sockets in /tmp/screens/S-root.

Detached 的可以直接 -r 恢复。

screen -r xxx

Attached 的必须先离线再恢复：

root@ykla:/ # screen -d 18380
[18380.pts-0.ykla detached.]

root@ykla:/ # screen -r 18380

mosh：移动的 shell

mosh 即 mobile shell，移动的 shell。

个人认为，mosh 真的只适合在户外用手机、平板通过流量远程控制服务器使用。

Mosh 不支持多窗口、分屏模式、多个客户端连接到同一服务器。Mosh 也不支持在客户端重启（或用户切换到不同机器）时重新连接。要实现上述功能，用户通常须在 Mosh 会话中使用 GNU screen、OpenBSD tmux 等终端多路复用器。——Mosh: A State-of-the-Art Good Old-Fashioned Mobile Shell

要使用 mosh：① 服务端和客户端都需要配置相同的 UTF-8 编码，② 双方都需要安装 mosh。

# pkg install mosh

或者：

# cd /usr/ports/net/mosh/
# make install clean

编辑 ~/.login_conf，加入：

默认的系统：

me:\
        :charset=UTF-8:\
        :lang=en_US.UTF-8:\
        :setenv=LC_COLLATE=C:

已中文化的系统：

me:\
        :charset=UTF-8:\
        :lang=zh_US.CN-8:\
        :setenv=LC_COLLATE=zh_CN.UTF-8:

你的客户端也需要同样的设置，因为是移动的 shell，所以我们使用安卓上的 JuiceSSH 进行测试。

下载地址：https://play.google.com/store/apps/details?id=com.sonelli.juicessh

点击“服务端命令”，设置如下：

mosh-server new -s -l LANG=zh_CN.UTF-8

其他不用变：用户名、密码和 ssh 的相同。亦需要端口 22 进行验证。

FreeBSD 开放端口：

root@ykla:~ # sockstat -4l
USER     COMMAND    PID   FD  PROTO  LOCAL ADDRESS         FOREIGN ADDRESS      
root     mosh-serve 19493 4   udp4   192.168.31.187:60001  *:*
root     sshd        1140 4   tcp4   *:22                  *:*
ntpd     ntpd        1068 21  udp4   *:123                 *:*
ntpd     ntpd        1068 24  udp4   127.0.0.1:123         *:*
ntpd     ntpd        1068 26  udp4   192.168.31.187:123    *:*
root     syslogd     1017 7   udp4   *:514                 *:*