SSH 遠(yuǎn)程連接原理及故障排錯(cuò)詳解

1、SSH 遠(yuǎn)程連接介紹

最常用的 Linux 提供遠(yuǎn)程連接服務(wù)的工具就是 SSH 軟件，SSH 分為 SSH 客戶(hù)端和 SSH 服務(wù)端兩部分。其中，SSH服務(wù)端包含的軟件程序主要有 openssl 和 openssh，在 Linux 系統(tǒng)中可以按如下方法查詢(xún) SSH 服務(wù)端工具的安裝情況。

# rpm -qa openssl openssh

其中，openssh 是提供 SSH 服務(wù)的程序，openssl 是為 SSH 提供連接加密的程序。

2、SSH 服務(wù)端介紹

啟動(dòng) Linux 系統(tǒng)時(shí)，默認(rèn)情況下，SSH 服務(wù)端程序就會(huì)隨系統(tǒng)一起啟動(dòng)，SSH服務(wù)是一個(gè)守護(hù)進(jìn)程（demon），它在系統(tǒng)后臺(tái)永久運(yùn)行并時(shí)刻響應(yīng)來(lái)自所有 SSH 客戶(hù)端的連接請(qǐng)求。SSH 服務(wù)端的進(jìn)程名為 sshd，負(fù)責(zé)實(shí)時(shí)監(jiān)聽(tīng)遠(yuǎn)程 SSH 客戶(hù)端的連接請(qǐng)求并進(jìn)行處理，這些請(qǐng)求一般包括公共密鑰認(rèn)證、密鑰交換、對(duì)稱(chēng)密鑰加密和非安全連接等。SSH 服務(wù)是系統(tǒng)優(yōu)化時(shí)需要保留開(kāi)機(jī)自啟動(dòng)的服務(wù)之一。

3、SSH 客戶(hù)端介紹

SSH 客戶(hù)端最常用的工具就是 Windows 平臺(tái)的 SecureCRT 了，該工具安裝很簡(jiǎn)單，按提示一步步操作即可，然后打開(kāi)注冊(cè)軟件，運(yùn)行就可以使用了，除 SecureCRT 軟件之外，還有 xshell、putty 等常用軟件以及 Linux 下的 ssh 客戶(hù)端。

4、SSH 是專(zhuān)門(mén)為遠(yuǎn)程登錄會(huì)話(huà)和其他網(wǎng)絡(luò)服務(wù)提供的安全協(xié)議，端口號(hào) 22

5、SSH 有兩個(gè)不兼容的版本：SSHv1   SSHv2，如同 windows 的 win7 與 xp

6、telnet 協(xié)議，端口號(hào) 23

========================================================

故障解決思路：

1、先 ping ip地址 -t：檢查物理鏈路是否通

2、telnet ip地址 端口：檢查服務(wù)是否通；

如果不通，則檢查：

a）服務(wù)器防火墻；

b）ssh 服務(wù)是否開(kāi)啟；

c）客戶(hù)端和服務(wù)端是不是在一個(gè)網(wǎng)段

關(guān)閉 Linux 防火墻的方法為：# /etc/init.d/iptables stop  ---> 最好連續(xù)執(zhí)行兩遍

# /etc/init.d/iptables stop  等同于  # service iptables stop

===========================================================

更改 SSH 服務(wù)端遠(yuǎn)程登錄的配置

windows 服務(wù)器的默認(rèn)遠(yuǎn)程管理端口是 3389，管理員是administrator，普通用戶(hù)是 guest。Linux 的管理用戶(hù)是 root，遠(yuǎn)程管理端口是 22，普通用戶(hù)默認(rèn)有很多

ssh服務(wù)，它服務(wù)的啟動(dòng)文件是sshd。

在Linux里，我們?cè)趺纯刂埔粋€(gè)服務(wù)呢，控制一個(gè)軟件的運(yùn)行呢？通過(guò)更改它的配置

那 ssh 這個(gè)服務(wù)，它對(duì)應(yīng)的一個(gè)配置文件是 cd /etc/ssh/sshd_config

修改配置文件之前先備份 # cp /etc/ssh/sshd_config  /etc/ssh/sshd_config.oldboy.20160903

# vim sshd_config

:set nu   ---> 輸入 行號(hào)gg  --->就跳到指定的行號(hào)  eg：98gg 

配置文件修改如下：

13行 Port 52113       --->范圍是：0~65535

122行 UseDNS  no      --->取消注釋?zhuān)某?no。 

這個(gè)是你訪問(wèn)百度網(wǎng)站，它給i解析成IP地址，這個(gè)解析很慢，我們自己連接都是IP連接，所以我們不需要解析，這樣連接的就比較快。

42行 PermitRootLogin no --->我們不允許root通過(guò)ssh連接。

本地切換角色，用樹(shù)切沒(méi)問(wèn)題，但不允許遠(yuǎn)程連，禁止管理員遠(yuǎn)程連接。

15行 ListenAddress 192.168.186.134  --->把這個(gè)監(jiān)聽(tīng)的IP地址改成你服務(wù)器的內(nèi)網(wǎng)的IP地址，

也就是說(shuō)你將來(lái)的服務(wù)器可能會(huì)有eth0網(wǎng)卡，這個(gè)網(wǎng)卡是外面所有的人都能訪問(wèn)到的，它能夠勾到你，就有可能連到你ssh；你有可能機(jī)器有兩塊網(wǎng)卡，還有一塊eth2，這是內(nèi)網(wǎng)卡，所以你要限定，只有訪問(wèn)你內(nèi)網(wǎng)卡，這個(gè)ssh服務(wù)才會(huì)去響應(yīng)這個(gè)請(qǐng)求，你訪問(wèn)外網(wǎng)，根本連不上我ssh服務(wù)

80行 GSSAPIAuthentication no  ---> 我們將來(lái)遠(yuǎn)程連接的時(shí)候，特別是一臺(tái)機(jī)器管理一堆機(jī)器時(shí)，它的ssh連接會(huì)比較慢，我們解決兩臺(tái)機(jī)器連接比較慢的問(wèn)題，要把這個(gè)參數(shù)調(diào)成no

Linux 它所有的配置文件基本都是放在內(nèi)存里，所以你現(xiàn)在改的配置文件僅僅是改磁盤(pán)上的，這個(gè)文件還沒(méi)生效，所有通過(guò)重啟這個(gè)服務(wù)，讓它把配置讀到內(nèi)存里，然后才能生效，所以重啟服務(wù)：

# /etc/init.d/sshd restart   或

# /etc/init.d/sshd reload ----> reload 是一個(gè)平滑重啟的模式