|
接著前一次的文章�,繼續(xù)介紹SSH的用法�����。
=======================================
SSH原理與運(yùn)用(二):遠(yuǎn)程操作與端口轉(zhuǎn)發(fā)
作者:阮一峰
(Image credit: Tony Narlock)
七����、遠(yuǎn)程操作
SSH不僅可以用于遠(yuǎn)程主機(jī)登錄��,還可以直接在遠(yuǎn)程主機(jī)上執(zhí)行操作��。
上一節(jié)的操作�����,就是一個(gè)例子:
$ ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub
單引號(hào)中間的部分���,表示在遠(yuǎn)程主機(jī)上執(zhí)行的操作;后面的輸入重定向��,表示數(shù)據(jù)通過SSH傳向遠(yuǎn)程主機(jī)��。
這就是說�����,SSH可以在用戶和遠(yuǎn)程主機(jī)之間�����,建立命令和數(shù)據(jù)的傳輸通道���,因此很多事情都可以通過SSH來完成���。
下面看幾個(gè)例子�。
【例1】
將$HOME/src/目錄下面的所有文件���,復(fù)制到遠(yuǎn)程主機(jī)的$HOME/src/目錄����。
$ cd && tar czv src | ssh user@host 'tar xz'
【例2】
將遠(yuǎn)程主機(jī)$HOME/src/目錄下面的所有文件�,復(fù)制到用戶的當(dāng)前目錄。
$ ssh user@host 'tar cz src' | tar xzv
【例3】
查看遠(yuǎn)程主機(jī)是否運(yùn)行進(jìn)程httpd����。
$ ssh user@host 'ps ax | grep [h]ttpd'
八、綁定本地端口
既然SSH可以傳送數(shù)據(jù)�,那么我們可以讓那些不加密的網(wǎng)絡(luò)連接,全部改走SSH連接�����,從而提高安全性��。
假定我們要讓8080端口的數(shù)據(jù)�����,都通過SSH傳向遠(yuǎn)程主機(jī)��,命令就這樣寫:
$ ssh -D 8080 user@host
SSH會(huì)建立一個(gè)socket���,去監(jiān)聽本地的8080端口�。一旦有數(shù)據(jù)傳向那個(gè)端口����,就自動(dòng)把它轉(zhuǎn)移到SSH連接上面,發(fā)往遠(yuǎn)程主機(jī)�����?�?梢韵胂?,如果8080端口原來是一個(gè)不加密端口,現(xiàn)在將變成一個(gè)加密端口���。
九����、本地端口轉(zhuǎn)發(fā)
有時(shí)���,綁定本地端口還不夠��,還必須指定數(shù)據(jù)傳送的目標(biāo)主機(jī)��,從而形成點(diǎn)對(duì)點(diǎn)的"端口轉(zhuǎn)發(fā)"�����。為了區(qū)別后文的"遠(yuǎn)程端口轉(zhuǎn)發(fā)"�,我們把這種情況稱為"本地端口轉(zhuǎn)發(fā)"(Local forwarding)。
假定host1是本地主機(jī)��,host2是遠(yuǎn)程主機(jī)��。由于種種原因��,這兩臺(tái)主機(jī)之間無法連通�。但是,另外還有一臺(tái)host3�����,可以同時(shí)連通前面兩臺(tái)主機(jī)���。因此�,很自然的想法就是����,通過host3,將host1連上host2��。
我們?cè)趆ost1執(zhí)行下面的命令:
$ ssh -L 2121:host2:21 host3
命令中的L參數(shù)一共接受三個(gè)值�����,分別是"本地端口:目標(biāo)主機(jī):目標(biāo)主機(jī)端口"�,它們之間用冒號(hào)分隔。這條命令的意思����,就是指定SSH綁定本地端口2121,然后指定host3將所有的數(shù)據(jù)�,轉(zhuǎn)發(fā)到目標(biāo)主機(jī)host2的21端口(假定host2運(yùn)行FTP,默認(rèn)端口為21)��。
這樣一來����,我們只要連接host1的2121端口,就等于連上了host2的21端口。
$ ftp localhost:2121
"本地端口轉(zhuǎn)發(fā)"使得host1和host3之間仿佛形成一個(gè)數(shù)據(jù)傳輸?shù)拿孛芩淼?���,因此又被稱為"SSH隧道"。
十���、遠(yuǎn)程端口轉(zhuǎn)發(fā)
既然"本地端口轉(zhuǎn)發(fā)"是指綁定本地端口的轉(zhuǎn)發(fā)��,那么"遠(yuǎn)程端口轉(zhuǎn)發(fā)"(remote forwarding)當(dāng)然是指綁定遠(yuǎn)程端口的轉(zhuǎn)發(fā)����。
還是接著看上面那個(gè)例子����,host1與host2之間無法連通,必須借助host3轉(zhuǎn)發(fā)����。但是,特殊情況出現(xiàn)了����,host3是一臺(tái)內(nèi)網(wǎng)機(jī)器,它可以連接外網(wǎng)的host1��,但是反過來就不行,外網(wǎng)的host1連不上內(nèi)網(wǎng)的host3����。這時(shí),"本地端口轉(zhuǎn)發(fā)"就不能用了���,怎么辦?
解決辦法是�����,既然host3可以連host1���,那么就從host3上建立與host1的SSH連接����,然后在host1上使用這條連接就可以了���。
我們?cè)趆ost3執(zhí)行下面的命令:
$ ssh -R 2121:host2:21 host1
R參數(shù)也是接受三個(gè)值�����,分別是"遠(yuǎn)程主機(jī)端口:目標(biāo)主機(jī):目標(biāo)主機(jī)端口"����。這條命令的意思,就是讓host1監(jiān)聽它自己的2121端口�����,然后將所有數(shù)據(jù)經(jīng)由host3�,轉(zhuǎn)發(fā)到host2的21端口。由于對(duì)于host3來說���,host1是遠(yuǎn)程主機(jī)�,所以這種情況就被稱為"遠(yuǎn)程端口綁定"�。
綁定之后,我們?cè)趆ost1就可以連接host2了:
$ ftp localhost:2121
這里必須指出�����,"遠(yuǎn)程端口轉(zhuǎn)發(fā)"的前提條件是���,host1和host3兩臺(tái)主機(jī)都有sshD和ssh客戶端�。
十一��、SSH的其他參數(shù)
SSH還有一些別的參數(shù)��,也值得介紹。
N參數(shù)�����,表示只連接遠(yuǎn)程主機(jī)�,不打開遠(yuǎn)程shell;T參數(shù)��,表示不為這個(gè)連接分配TTY���。這個(gè)兩個(gè)參數(shù)可以放在一起用,代表這個(gè)SSH連接只用來傳數(shù)據(jù)�����,不執(zhí)行遠(yuǎn)程操作����。
$ ssh -NT -D 8080 host
f參數(shù),表示SSH連接成功后��,轉(zhuǎn)入后臺(tái)運(yùn)行�����。這樣一來,你就可以在不中斷SSH連接的情況下�����,在本地shell中執(zhí)行其他操作�����。
$ ssh -f -D 8080 host
要關(guān)閉這個(gè)后臺(tái)連接����,就只有用kill命令去殺掉進(jìn)程。
十二�、參考文獻(xiàn)
* SSH, The Secure Shell: The Definitive Guide: 2.4. Authentication by Cryptographic Key, O'reilly
* SSH, The Secure Shell: The Definitive Guide: 9.2. Port Forwarding, O'reilly
* Shebang: Tips for Remote Unix Work (SSH, screen, and VNC)
* brihatch: SSH Host Key Protection
* brihatch: SSH User Identities
* IBM developerWorks: 實(shí)戰(zhàn) SSH 端口轉(zhuǎn)發(fā)
* Jianing YANG:ssh隧道技術(shù)簡(jiǎn)介
* WikiBooks: Internet Technologies/SSH
(完)
|
