第 13.4 节 SSH 配置与相关工具

上一页第 13.3 节 bsdconfig 系统配置工具下一页第 13.5 节 BSD init 管理服务

最后更新于2天前

第 13.4 节 SSH 配置与相关工具

SSH 即 Secure Shell，安全 shell，顾名思义是一种安全地使用 shell 的方式。一般用作远程使用。

SSH 工具

FreeBSD 自带 ssh，可以接入其他安装了 ssh 的设备，用法：

$ ssh 用户名@IP:端口

即

$ ssh ykla@192.168.31.1:1022

技巧
ssh FreeBSD 的话，接入的是哪个 tty？
$ tty
/dev/pts/1 # 即 pseudo-terminal，伪终端

WinSCP

scp 即 Secure Copy，安全复制，顾名思义是一种安全地使用 cp 命令的方式。一般用作远程使用，在不同设备间传输文件。

WinSCP 是对 scp 命令的图形化封装的软件，并同时支持 FTP 等多种协议。可以快捷的传输文件与 Windows 系统和 Linux 或 BSD 之间。

下载地址：

自 OpenSSH 9.0 起，scp 命令默认使用 SFTP 协议进行文件传输。WinSCP 默认即是 SFTP。

但是，这个版本号和远程被控的操作系统相关。

FreeBSD 查看内置的 OpenSSH 版本：

root@ykla:~ # ssh -V
OpenSSH_9.7p1, OpenSSL 3.0.14 4 Jun 2024

上面的输出，OpenSSH 的主要版本号为 9.7。

如果你的输出大于等于 9.0，你可无视下图，什么也不用改。SFTP、SCP 都能用，且 WinSCP 默认即是 SFTP；

如果你的输出小于 9.0，请按下图执行操作，将 SFTP 改成 SCP；

请按下图设置协议为 scp，然后其他的和 ssh 信息一模一样。因为 scp 是 ssh 的子项目实现。

Xshell

Xshell 是 Windows 平台上的强大的 shell 工具。支持串口、SSH、Telnet！

Xshell 下载地址（输入用户名和邮件即可）：

如果提示需要重新验证，请打开上面的网站重装一遍，即可。

MobaXterm

MobaXterm 是一款集成了 SCP 功能的软件。

在选择鼠标后，操作行为和 Xshell 一致。

PuTTY

PuTTY 界面反人类。一般被集成到其他软件间接使用。

思考题
PuTTY 没有任何好处：
PuTTY 轻量化？
串口：正经人不会用这玩意吧？串口调试助手都比这个强；
Telnet：Windows 自带（无服务端）。自己控制面板安装。
PuTTY 界面简单？
反人类才是真的。你自己用鼠标随意选择，再鼠标复制粘贴看看（无论哪个选择模式都是反人类，鼠标和按键只能二选一）；
如果输入错误 IP，除了提示超时以外，界面没变化，也不会退出，完全就是黑的。必须自己退出再开。
PuTTY 官方页面所列的所有第三方的项目实质上也是不存在的。
PuTTY 项目从一开始就没有为 i18n 做设计上的打算。
虽然只是复制粘贴的工作，但是很遗憾就是没有人做（会翻译的不会编译，也找不到要翻译的字符串在哪；会编译的找得到的又懒得翻译，这本质上是软件设计缺陷），即使做了也是一锤子买卖，这在开源项目中很常见。
如果你的是不知道从哪下的中文（Github 上面有一些开源中文客户端实现，但同样未经代码审查），必定是被篡改过的版本。就存在第一条新闻中的风险。
以上，是否符合现实？为什么？

Termius

目前不支持中文，使用需要登录和注册。

Termius 鼠标行为和 PuTTY 接近，一样的反人类（无论选择快捷键还是鼠标）。右键出不来 Xshell 那种行为。

配置 SSH

允许 root 使用 ssh

技巧

编辑“/etc/ssh/sshd_config”（删去前边的 #，并将 yes 或 no 修改为如下）：

PermitRootLogin yes          # 允许 root 登录
PasswordAuthentication yes   #（可选）设置是否使用普通密码验证，如果不设置此参数则使用 PAM 认证登录，安全性更高

故障排除与未竟事宜
如果你实在是找不到 #PasswordAuthentication no 这行，请你看看你改的究竟是 /etc/ssh/sshd_config 还是 /etc/ssh/ssh_config。sshd 才是我们真正要改的文件。

开启 SSH 服务

# service sshd restart

如果提示找不到 sshd，请执行下一命令：

# service sshd enable

然后再

# service sshd restart

保持 SSH 在线

服务端设置：

编辑 /etc/ssh/sshd_config，调整 ClientAlive 的设置：

ClientAliveInterval 10 # 检测间隔
ClientAliveCountMax 3 # 超时次数

ClientAliveInterval 默认是 0，即禁用检测。

客户端设置：

全局用户编辑 /etc/ssh/ssh_config；仅当前用户编辑 ~/.ssh/config。

Host *
ServerAliveInterval 10
ServerAliveCountMax 3

或在连接的时候使用 -o 指定参数：

# ssh user@server -p 22 -o ServerAliveInterval=10 -o ServerAliveCountMax=3

客户端和服务端任一开启检测即可。

SSH 密钥登录

生成密钥

# ssh-keygen

OpenSSH 7.0 及以上版本默认禁用了 ssh-dss(DSA) 公钥算法。FreeBSD 13.0 采用 OpenSSH_7.9。因此使用默认值即可。

root@ykla:~ # ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #此处回车
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):    #此处输入密码（为了安全建议设置密码）
Enter same passphrase again:     #此处重复输入密码
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:MkcEjGhWCv6P/8y62JfbpEws9OnRN1W0adxmpceNny8 root@ykla
The key's randomart image is:
+---[RSA 2048]----+
|.  o.o...      ..|
|..+.. ..      o+*|
| +.     .     o*B|
|  .    .      o=.|
|   . .o S    . ..|
|    + o+o   .   .|
|   . o *.o o  E .|
|    + Bo= . .  . |
|   . ==O..       |
+----[SHA256]-----+
root@ykla:~ #

配置密钥

检查权限（默认创建的权限如下）：

drwx------  2 root  wheel   512 Mar 22 18:27 /root/.ssh #权限为 700
-rw-------  1 root  wheel  1856 Mar 22 18:27 /root/.ssh/id_rsa  #私钥，权限为 600
-rw-r--r--  1 root  wheel  391 Mar 22 18:27 /root/.ssh/id_rsa.pub #公钥，权限为 644

生成验证公钥：

# cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
-rw-r--r--  1 root  wheel  391 Mar 22 18:39 /root/.ssh/authorized_keys #检查权限 644

使用 winscp 把私钥和公钥保存到本地后，删除服务器上的多余文件：

# rm /root/.ssh/id_rsa*

修改 `/etc/ssh/sshd_config`

# ee /etc/ssh/sshd_config

逐个找到（分散于 sshd_config），并按需修改配置如下（删去前边的 #，并将 yes 或 no 的状态修改为如下）：

PermitRootLogin yes                          #允许 ROOT 用户直接登录系统

AuthorizedKeysFile     .ssh/authorized_keys  #修改使用用户目录下密钥文件，默认已经正确配置，可再检查下

PasswordAuthentication no                    #不允许用户使用密码方式登录

ChallengeResponseAuthentication no           #禁止密码登录验证

PermitEmptyPasswords no                      #禁止空密码的用户进行登录

重启服务

# service sshd restart

使用 xshell 登录即可，输入密钥密码，导入私钥 id_rsa，即可登录。

如果使用其他 ssh 软件无法登录请自行转换密钥格式。

保持 SSH 不断线

传统的 screen

screen 即英文“屏幕”的意思，即提供一块虚拟屏幕给你用。

安装：

# pkg install screen

或者：

# cd /usr/ports/sysutils/screen/
# make install clean

使用方法：

# screen -S xxx

使用 -S 可以指定 xxx 为名字，方便找到。

然后就可以进行 ssh 连接了，后续可以关闭这个窗口或软件，不影响 ssh。

查看有哪些正在运行的 screen？

root@ykla:/ # screen -ls
There are screens on:
	18380.pts-0.ykla	(Attached)
	70812.xxx	(Detached)
	67169.pts-0.ykla	(Detached)
3 Sockets in /tmp/screens/S-root.

Detached 的可以直接 -r 恢复。

screen -r xxx

Attached 的必须先离线再恢复：

root@ykla:/ # screen -d 18380
[18380.pts-0.ykla detached.]

root@ykla:/ # screen -r 18380

mosh：移动的 shell

mosh 即 mobile shell，移动的 shell。

个人认为，mosh 真的只适合在户外用手机、平板通过流量远程控制服务器使用。

要使用 mosh：① 服务端和客户端都需要配置相同的 UTF-8 编码，② 双方都需要安装 mosh。

# pkg install mosh

或者：

# cd /usr/ports/net/mosh/
# make install clean

编辑 ~/.login_conf，加入：

默认的系统：

me:\
        :charset=UTF-8:\
        :lang=en_US.UTF-8:\
        :setenv=LC_COLLATE=C:

已中文化的系统：

me:\
        :charset=UTF-8:\
        :lang=zh_US.CN-8:\
        :setenv=LC_COLLATE=zh_CN.UTF-8:

点击“服务端命令”，设置如下：

mosh-server new -s -l LANG=zh_CN.UTF-8

其他不用变：用户名、密码和 ssh 的相同。亦需要端口 22 进行验证。

FreeBSD 开放端口：

root@ykla:~ # sockstat -4l
USER     COMMAND    PID   FD  PROTO  LOCAL ADDRESS         FOREIGN ADDRESS      
root     mosh-serve 19493 4   udp4   192.168.31.187:60001  *:*
root     sshd        1140 4   tcp4   *:22                  *:*
ntpd     ntpd        1068 21  udp4   *:123                 *:*
ntpd     ntpd        1068 24  udp4   127.0.0.1:123         *:*
ntpd     ntpd        1068 26  udp4   192.168.31.187:123    *:*
root     syslogd     1017 7   udp4   *:514                 *:*