登录类型
ssh命令相关参数
相关的命令
复制公钥也可以使用:ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub
相关的文件
使用模式
这里推荐一种使用的模式,在利用脚本做自动化的时候,可以利用ssh操作远程主机,这种方式可以灵活的运用管道,使用了重定向,如上面修改authorized_keys。例:
将远程主机$HOME/src/目录下面的所有文件,复制到用户的当前目录:ssh user@host 'tar cz src' | tar xzv
将$HOME/src/目录下面的所有文件,复制到远程主机的$HOME/src/目录:cd && tar czv src | ssh user@host 'tar xz'
动态转发:ssh -D 1080 user@host -Nfg
最广泛的用途是作为sock5代理,另外还有加密连接的附加好处,广泛使用的ss软件就是用的这个。
另外还可以作为跳板机实现,公网的服务器有些没有外网ip,通过有外网的服务器作为代理去访问那些只有内网ip的服务器。
本地转发:ssh -L LocalPort:remoteHost:remotePort sshHost
注意这里remoteHost:remotePort是相对于sshHost的地址,比如remoteHost设置为localhost,实际就是sshHost本地
一般用于无法直连的场景,比如防火墙,没有开发公网端口等, 本地不能直接连接remoteHost,需要用sshHost来做中转。
当时我们公司的一个场景,我们的服务器一些后台没有开通外网端口,在公司内部我们需要访问后台,利用内网的一台服务器ssh本地转发到公网服务器,我们在内网直接访问内网服务器。
远程转发:ssh -R LocalPort:remoteHost:remotePort sshHost
注意这里remoteHost:remotePort是相对于ssh命令执行的机器的和本地转发不同。
另外注意这个命令执行和机器和本地转发不同。比如我们有这么个需求,将服务器serverA的21端口映射到client的2021。
本地转发:这时我们在客户机上执行本地转发命令,ssh -L 2021:localhost:21 serverA
远程转发: 则是在服务器上运行,ssh -R 2021:localhsot:21 client,client指的是我们的客户机,也就是说client需要有sshServer
上面的本地转发和远程转发很像,同样的功能命令差在一个参数,但两者有时候不可相互取代。本地和远程从数据的出口来记:
本地:客户端连接sshServer将本地的数据转发到本地端口转发出去
远程: 客户端连接sshServer,在sshServer建立端口,数据从sshServer到本地来
一般用于公网访问局域网的场景。在局域网的机器建立远程转发让公网的服务器可以访问局域网
xsell中 菜单->查看—>隧道窗格中可以快速创建这三种类型。
很多时候线上服务器的权限管理是通过跳板机来控制的,比如服务器a,b,c你不能直接连接,而是通过先登录跳板机再去连接。如果你现在想在本地连接服务器,有如下方案:
上面的方法虽然可以实现登录后端服务器,但是两部操作还是有些不便,可以使用更方便的ProxyCommand。
该方法也有两种形式:
这个命令如果经常使用可以将ProxyCommand写入到ssh的配置文件中
现在有三个机器
第一种执行:ssh -o ProxyCommand="ssh 192.168.199.6 -W %h:%p" 192.168.199.5
注意这个-W是在新版中才加入,openssh 5.4之后才支持,相当于简化版的nc
客户机进程:
chen 50607 50529 0 17:52 pts/0 00:00:00 ssh -o ProxyCommand=ssh 192.168.199.6 -W %h:%p 192.168.199.5
chen 50608 50607 0 17:52 pts/0 00:00:00 ssh 192.168.199.6 -W 192.168.199.5:22
客户机显示的连接:
tcp 0 0 192.168.199.3:34306 192.168.199.6:22 ESTABLISHED 50608/ssh
跳板机显示的连接:
tcp 0 0 192.168.199.6:36932 192.168.199.5:22 ESTABLISHED -
tcp 0 0 192.168.199.6:22 192.168.199.3:34306 ESTABLISHED -
目标机显示的连接:
tcp 0 0 192.168.199.5:22 192.168.199.6:36932 ESTABLISHED -
从上面的结果可以看到,跳板机和两头各建立了一个连接,另外客户机是50608进程占用了这个连接
第二种执行:ssh -o ProxyCommand="ssh 192.168.199.6 nc %h %p" 192.168.199.5
这种方式和方面的一样,显示的连接也都一致。
最后说说一种nc
注意这种方式需要有个sock5代理,所以跳板机先开启代理:ssh -D 4000 192.168.199.5 -Nfg
nc支持多种代理,包活scok4,sock5和http,这种方式和上面的两种完全不同。有一点很奇怪如果跳板机没开sock5代理也没有任何报错信息,ssh并没有
并没有使用代理而是直接连接目标服务器
ssh -o ProxyCommand="nc -x 192.168.199.6:4000 %h %p" 192.168.199.5
例子:scp test.txt chen@centos:/home/chen/data/
例子:rsync -avuz ~test/ chen@centos:/home/chen/data/
rsync命令和scp类似,主要是采用'rsync'算法只同步不同的文件,支持压缩传输和断点续传,一般情况下速度更快。参数如下:
指定端口,如1280端口:rsync -ravuz -e 'ssh -p 1280' 192.168.10.10:/home/chenfangzhi/ .
另外rsync还有一种服务器模式,采用rsync服务端和客户端的模型,需要长期同步文件,推荐使用这种模式,这种模式的账号和linux系统账号是分开的,更加安全。
最后说的这个东西是非常有用的,如果经常使用的ssh的肯定会遇到需要用多个私钥的场景和私钥被加密的场景。如果私钥被加密,每次连接还是需要输入密码,
当在各个服务器之间穿可能需要多次id_rsa密码,很是繁琐,另外多个多个主机采用不同的私钥的时候需要指定私钥,ssh-agent就是用来解决这个问题的。
这个功能需要在sshd配置文件中配置AllowAgentForwarding,ssh配置文件中配置ForwardAgent
我们在批量执行服务器命令经常会用到ssh host command命令,但是在有时候发现这个命令不能正常退出,说下这种模式下命令正常退出的条件:
这种问题经常出现的场景是,我去批量启动服务器上的服务,调用start.sh脚本之后(ssh host "bash start.sh &"),发现无法退出。这时候我采用了
ssh host "nohup bash start.sh &",发现还是不能正常退出。最后查了下就是上面的两个原因,因为start.sh脚本中启动了新的进程,子进程继承了bash进程文件描述符,
也就是输入输出都和bash相同,和ssh进程还有联系。所以改写为:ssh host "bash start.sh &>out.log &"成功运行。
另外说说nohup这个命令,在这里其实nohup是完全没必要使用的,一方面是因为nohup是为了忽略SIGHUP信号,但是如果是使用ssh host command这种模式的话,进程是不会和终端绑定也就是进程不会
收到SIGHUP信号。另一方面是nohup是在执行的进程的标准输入和输出绑定了终端时会重定向,但是这个场景下,标准输入输出已经被重定向到了管道。
ssh有个-t参数,如果加入这个参数,则会默认分配一个终端,上面的逻辑就变了,需要使用nohup来进行重定向。但是我发现如果是使用ssh -t host "nohup bash start.sh &>out.log &"启动进程还会导致进程无法启动的问题,网上说是ssh进程退出的太快了,导致nohup被杀死。但是&后面不能sleep函数,语法报错。一种方法是start.sh中启动服务地方加入&,然后上面改写成ssh -t host "nohup bash start.sh &>out.log;sleep 1"
重定向的问题参看上面红字内容
我在虚拟机的实验结果如下:
[chen@cc1 ~]$ ssh root@192.168.199.5 "TMPSPID=\$(ps -ef | grep -v grep |grep -e 'sshd.*notty' | awk '{print \$2}');echo \$TMPSPID;ls -l /proc/\$TMPSPID/fd;echo \$\$;ls -l /proc/\$\$/fd"
root@192.168.199.5's password:
14719
total 0
lrwx------. 1 root root 64 May 28 21:37 0 -> /dev/null
lrwx------. 1 root root 64 May 28 21:37 1 -> /dev/null
l-wx------. 1 root root 64 May 28 21:37 11 -> pipe:[122988]
lr-x------. 1 root root 64 May 28 21:37 12 -> pipe:[122989]
lr-x------. 1 root root 64 May 28 21:37 14 -> pipe:[122990]
lrwx------. 1 root root 64 May 28 21:37 2 -> /dev/null
lrwx------. 1 root root 64 May 28 21:37 3 -> socket:[122854]
lrwx------. 1 root root 64 May 28 21:37 4 -> socket:[122951]
lr-x------. 1 root root 64 May 28 21:37 5 -> pipe:[122954]
l-wx------. 1 root root 64 May 28 21:37 6 -> /run/systemd/sessions/94.ref
l-wx------. 1 root root 64 May 28 21:37 7 -> pipe:[122954]
14725
total 0
lr-x------. 1 root root 64 May 28 21:37 0 -> pipe:[122988]
l-wx------. 1 root root 64 May 28 21:37 1 -> pipe:[122989]
l-wx------. 1 root root 64 May 28 21:37 2 -> pipe:[122990]
这两个命令十分方便,在Windows下使用xshell客户端,如果遇到跳板机这种场景,需要频繁的穿来穿去,这两个命令可以自动穿隧道,十分方便,命令本省十分简单。