Mosh 表示 移动 Shell （ Mobile Shell ） ，是一个用于从客户端跨互联网连接远程服务器的命令行工具。它能用于 SSH 连接，但是比 Secure Shell 功能更多。它是一个类似于 SSH 而带有更多功能的应用。程序最初由 Keith Winstein 编写，用于类 Unix 的操作系统中，发布于GNU GPL v3协议下。

Mosh Shell SSH 客户端

Mosh的功能

• 它是一个支持漫游的远程终端程序。
• 在所有主流的类 Unix 版本中可用，如 Linux、FreeBSD、Solaris、Mac OS X 和 Android。
• 支持不稳定连接
• 支持智能的本地回显
• 支持用户输入的行编辑
• 响应式设计及在 wifi、3G、长距离连接下的鲁棒性
• 在 IP 改变后保持连接。它使用 UDP 代替 TCP（在 SSH 中使用），当连接被重置或者获得新的 IP 后 TCP 会超时，但是 UDP 仍然保持连接。
• 在很长的时候之后恢复会话时仍然保持连接。
• 没有网络延迟。立即显示用户输入和删除而没有延迟
• 像 SSH 那样支持一些旧的方式登录。
• 包丢失处理机制

Linux 中 mosh 的安装

在 Debian、Ubuntu 和 Mint 类似的系统中，你可以很容易地用 apt-get 包管理器安装。

# apt-get update 
# apt-get install mosh

在基于 RHEL/CentOS/Fedora 的系统中，要使用 yum 包管理器安装 mosh，你需要打开第三方的 EPEL。

# yum update
# yum install mosh

在 Fedora 22+的版本中，你需要使用 dnf 包管理器来安装 mosh。

# dnf install mosh

我该如何使用 mosh？

1、 让我们尝试使用 mosh 登录远程 Linux 服务器。

$ mosh [email protected]

mosh远程连接

注意：你有没有看到一个连接错误，因为我在 CentOS 7中还有打开这个端口。一个快速但是我并不建议的解决方法是：

# systemctl stop firewalld    [在远程服务器上]

更好的方法是打开一个端口并更新防火墙规则。接着用 mosh 连接到预定义的端口中。至于更深入的细节，也许你会对下面的文章感兴趣。

• 如何配置 Firewalld

2、 让我们假设把默认的 22 端口改到 70，这时使用 -p 选项来使用自定义端口。

$ mosh -p 70 [email protected]

3、 检查 mosh 的版本

$ mosh --version

检查mosh版本

4、 你可以输入exit来退出 mosh 会话。

$ exit

5、 mosh 支持很多选项，你可以用下面的方法看到：

$ mosh --help

Mosh 选项

mosh 的优缺点

• mosh 有额外的需求，比如需要允许 UDP 直接连接，这在 SSH 不需要。
• 动态分配的端口范围是 60000-61000。第一个打开的端口是分配好的。每个连接都需要一个端口。
• 默认的端口分配是一个严重的安全问题，尤其是在生产环境中。
• 支持 IPv6 连接，但是不支持 IPv6 漫游。
• 不支持回滚
• 不支持 X11 转发
• 不支持 ssh-agent 转发

总结

mosh是一款在大多数linux发行版的仓库中可以下载的一款小工具。虽然它有一些差异尤其是安全问题和额外的需求，它的功能，比如漫游后保持连接是一个加分点。我的建议是任何一个使用ssh的linux用户都应该试试这个程序，mosh值得一试。

via: http://www.tecmint.com/install-mosh-shell-ssh-client-in-linux/

作者：Avishek Kumar 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

你在家里运行着一台 Linux 服务器，它放在一个 NAT 路由器或者限制性防火墙后面。现在你想在外出时用 SSH 登录到这台服务器。你如何才能做到呢？SSH 端口转发当然是一种选择。但是，如果你需要处理多级嵌套的 NAT 环境，端口转发可能会变得非常棘手。另外，在多种 ISP 特定条件下可能会受到干扰，例如阻塞转发端口的限制性 ISP 防火墙、或者在用户间共享 IPv4 地址的运营商级 NAT。

什么是反向 SSH 隧道？

SSH 端口转发的一种替代方案是 反向 SSH 隧道。反向 SSH 隧道的概念非常简单。使用这种方案，在你的受限的家庭网络之外你需要另一台主机（所谓的“中继主机”），你能从当前所在地通过 SSH 登录到它。你可以用有公网 IP 地址的 VPS 实例 配置一个中继主机。然后要做的就是从你的家庭网络服务器中建立一个到公网中继主机的永久 SSH 隧道。有了这个隧道，你就可以从中继主机中连接“回”家庭服务器（这就是为什么称之为 “反向” 隧道）。不管你在哪里、你的家庭网络中的 NAT 或 防火墙限制多么严格，只要你可以访问中继主机，你就可以连接到家庭服务器。

在 Linux 上设置反向 SSH 隧道

让我们来看看怎样创建和使用反向 SSH 隧道。我们做如下假设：我们会设置一个从家庭服务器（homeserver）到中继服务器（relayserver）的反向 SSH 隧道，然后我们可以通过中继服务器从客户端计算机（clientcomputer） SSH 登录到家庭服务器。本例中的中继服务器 的公网 IP 地址是 1.1.1.1。

在家庭服务器上，按照以下方式打开一个到中继服务器的 SSH 连接。

homeserver~$ ssh -fN -R 10022:localhost:22 [email protected]

这里端口 10022 是任何你可以使用的端口数字。只需要确保中继服务器上不会有其它程序使用这个端口。

“-R 10022:localhost:22” 选项定义了一个反向隧道。它转发中继服务器 10022 端口的流量到家庭服务器的 22 号端口。

用 “-fN” 选项，当你成功通过 SSH 服务器验证时 SSH 会进入后台运行。当你不想在远程 SSH 服务器执行任何命令，就像我们的例子中只想转发端口的时候非常有用。

运行上面的命令之后，你就会回到家庭主机的命令行提示框中。

登录到中继服务器，确认其 127.0.0.1:10022 绑定到了 sshd。如果是的话就表示已经正确设置了反向隧道。

relayserver~$ sudo netstat -nap | grep 10022

tcp      0    0 127.0.0.1:10022          0.0.0.0:*               LISTEN      8493/sshd           

现在就可以从任何其它计算机（客户端计算机）登录到中继服务器，然后按照下面的方法访问家庭服务器。

relayserver~$ ssh -p 10022 homeserver_user@localhost

需要注意的一点是你在上面为localhost输入的 SSH 登录/密码应该是家庭服务器的，而不是中继服务器的，因为你是通过隧道的本地端点登录到家庭服务器，因此不要错误输入中继服务器的登录/密码。成功登录后，你就在家庭服务器上了。

通过反向 SSH 隧道直接连接到网络地址变换后的服务器

上面的方法允许你访问 NAT 后面的 家庭服务器，但你需要登录两次：首先登录到 中继服务器，然后再登录到家庭服务器。这是因为中继服务器上 SSH 隧道的端点绑定到了回环地址（127.0.0.1）。

事实上，有一种方法可以只需要登录到中继服务器就能直接访问NAT之后的家庭服务器。要做到这点，你需要让中继服务器上的 sshd 不仅转发回环地址上的端口，还要转发外部主机的端口。这通过指定中继服务器上运行的 sshd 的 GatewayPorts 实现。

打开中继服务器的 /etc/ssh/sshd\_config 并添加下面的行。

relayserver~$ vi /etc/ssh/sshd_config

GatewayPorts clientspecified

重启 sshd。

基于 Debian 的系统：

relayserver~$ sudo /etc/init.d/ssh restart

基于红帽的系统：

relayserver~$ sudo systemctl restart sshd

现在在家庭服务器中按照下面方式初始化一个反向 SSH 隧道。

homeserver~$ ssh -fN -R 1.1.1.1:10022:localhost:22 [email protected]

登录到中继服务器然后用 netstat 命令确认成功建立的一个反向 SSH 隧道。

relayserver~$ sudo netstat -nap | grep 10022

tcp      0      0 1.1.1.1:10022     0.0.0.0:*           LISTEN      1538/sshd: dev  

不像之前的情况，现在隧道的端点是 1.1.1.1:10022（中继服务器的公网 IP 地址），而不是 127.0.0.1:10022。这就意味着从外部主机可以访问隧道的另一端。

现在在任何其它计算机（客户端计算机），输入以下命令访问网络地址变换之后的家庭服务器。

clientcomputer~$ ssh -p 10022 [email protected]

在上面的命令中，1.1.1.1 是中继服务器的公共 IP 地址，homeserver\_user必须是家庭服务器上的用户账户。这是因为你真正登录到的主机是家庭服务器，而不是中继服务器。后者只是中继你的 SSH 流量到家庭服务器。

在 Linux 上设置一个永久反向 SSH 隧道

现在你已经明白了怎样创建一个反向 SSH 隧道，然后把隧道设置为 “永久”，这样隧道启动后就会一直运行（不管临时的网络拥塞、SSH 超时、中继主机重启，等等）。毕竟，如果隧道不是一直有效，你就不能可靠的登录到你的家庭服务器。

对于永久隧道，我打算使用一个叫 autossh 的工具。正如名字暗示的，这个程序可以让你的 SSH 会话无论因为什么原因中断都会自动重连。因此对于保持一个反向 SSH 隧道非常有用。

第一步，我们要设置从家庭服务器到中继服务器的无密码 SSH 登录。这样的话，autossh 可以不需要用户干预就能重启一个损坏的反向 SSH 隧道。

下一步，在建立隧道的家庭服务器上安装 autossh。

在家庭服务器上，用下面的参数运行 autossh 来创建一个连接到中继服务器的永久 SSH 隧道。

homeserver~$ autossh -M 10900 -fN -o "PubkeyAuthentication=yes" -o "StrictHostKeyChecking=false" -o "PasswordAuthentication=no" -o "ServerAliveInterval 60" -o "ServerAliveCountMax 3" -R 1.1.1.1:10022:localhost:22 [email protected]

“-M 10900” 选项指定中继服务器上的监视端口，用于交换监视 SSH 会话的测试数据。中继服务器上的其它程序不能使用这个端口。

“-fN” 选项传递给 ssh 命令，让 SSH 隧道在后台运行。

“-o XXXX” 选项让 ssh：

• 使用密钥验证，而不是密码验证。
• 自动接受（未知）SSH 主机密钥。
• 每 60 秒交换 keep-alive 消息。
• 没有收到任何响应时最多发送 3 条 keep-alive 消息。

其余 SSH 隧道相关的选项和之前介绍的一样。

如果你想系统启动时自动运行 SSH 隧道，你可以将上面的 autossh 命令添加到 /etc/rc.local。

总结

在这篇博文中，我介绍了你如何能从外部通过反向 SSH 隧道访问限制性防火墙或 NAT 网关之后的 Linux 服务器。这里我介绍了家庭网络中的一个使用事例，但在企业网络中使用时你尤其要小心。这样的一个隧道可能被视为违反公司政策，因为它绕过了企业的防火墙并把企业网络暴露给外部攻击。这很可能被误用或者滥用。因此在使用之前一定要记住它的作用。

via: http://xmodulo.com/access-linux-server-behind-nat-reverse-ssh-tunnel.html

作者：Dan Nanni 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

有人说，安全不是一个产品，而是一个过程（LCTT 注：安全公司 McAfee 认为，安全风险管理是一个方法论，而不是安全产品的堆叠）。虽然 SSH 协议被设计成使用加密技术来确保安全，但如果使用不当，别人还是能够破坏你的系统：比如弱密码、密钥泄露、使用过时的 SSH 客户端等，都能引发安全问题。

在考虑 SSH 认证方案时，大家普遍认为公钥认证比密码认证更安全。然而，公钥认证技术并不是为公共环境设置的，如果你在一台公用电脑上使用公钥认证登录 SSH 服务器，你的服务器已经毫无安全可言了，公用的电脑可能会记录你的公钥，或从你的内存中读取公钥。如果你不信任本地电脑，那你最好还是使用其他方式登录服务器。现在就是“一次性密码（OTP）”派上用场的时候了，就像名字所示，一次性密码只能被使用一次。这种一次性密码非常合适在不安全的环境下发挥作用，就算它被窃取，也无法再次使用。

有个生成一次性密码的方法是通过谷歌认证器，但在本文中，我要介绍的是另一种 SSH 登录方案：OTPW，它是个一次性密码登录的软件包。不像谷歌认证，OTPW 不需要依赖任何第三方库。

OTPW 是什么

OTPW 由一次性密码生成器和 PAM 认证规则组成。在 OTPW 中一次性密码由生成器事先生成，然后由用户以某种安全的方式获得（比如打印到纸上）。另一方面，这些密码会通过 Hash 加密保存在 SSH 服务器端。当用户使用一次性密码登录系统时，OTPW 的 PAM 模块认证这些密码，并且保证它们不能再次使用。

步骤1：OTPW 的安装和配置

在 Debian, Ubuntu 或 Linux Mint 发行版上

使用 apt-get 安装：

$ sudo apt-get install libpam-otpw otpw-bin

打开针对 SSH 服务的 PAM 配置文件（/etc/pam.d/sshd），注释掉下面这行（目的是禁用 PAM 的密码认证功能）：

#@include common-auth

添加下面两行（用于打开一次性密码认证功能）：

auth       required     pam_otpw.so
session    optional     pam_otpw.so

在 Fedora 或 CentOS/RHEL 发行版上

在基于 RedHat 的发行版中没有编译好的 OTPW，所以我们需要使用源代码来安装它。

首先，安装编译环境：

$ sudo yum git gcc pam-devel
$ git clone https://www.cl.cam.ac.uk/~mgk25/git/otpw
$ cd otpw

打开 Makefile 文件，编辑以“PAMLIB=”开头的那行配置：

64 位系统：

PAMLIB=/usr/lib64/security

32 位系统：

PAMLIB=/usr/lib/security

编译安装。需要注意的是安装过程会自动重启 SSH 服务一下，所以如果你是使用 SSH 连接到服务器，做好被断开连接的准备吧（LCTT 译注：也许不会被断开连接，即便被断开连接，请使用原来的方式重新连接即可，现在还没有换成一次性口令方式。）。

$ make
$ sudo make install

现在你需要更新 SELinux 策略，因为 /usr/sbin/sshd 会往你的 home 目录写数据，而 SELinux 默认是不允许这么做的。如果没有使用 SELinux 服务（LCTT 注：使用 getenforce 命令查看结果，如果是 enforcing，就是打开了 SELinux 服务），请跳过这一步。

$ sudo grep sshd /var/log/audit/audit.log | audit2allow -M mypol
$ sudo semodule -i mypol.pp

接下来打开 PAM 配置文件（/etc/pam.d/sshd），注释下面这行（为了禁用密码认证）：

#auth       substack     password-auth

添加下面两行（用于打开一次性密码认证功能）：

auth       required     pam_otpw.so
session    optional     pam_otpw.so

步骤2：配置 SSH 服务器，使用一次性密码

打开 /etc/ssh/sshd\_config 文件，设置下面三个参数。你要确保下面的参数不会重复存在，否则 SSH 服务器可能会出现异常。

UsePrivilegeSeparation yes
ChallengeResponseAuthentication yes
UsePAM yes

你还需要禁用默认的密码认证功能。另外可以选择开启公钥认证功能，那样的话你就可以在没有一次性密码的时候使用公钥进行认证。

PubkeyAuthentication yes
PasswordAuthentication no

重启 SSH 服务器。

Debian, Ubuntu 或 Linux Mint 发行版：

$ sudo service ssh restart

Fedora 或 CentOS/RHEL 7 发行版：

$ sudo systemctl restart sshd

（LCTT 译注：虽然这里重启了 sshd 服务，但是你当前的 ssh 连接应该不受影响，只是在你完成下述步骤之前，无法按照原有方式建立新的连接了。因此，保险起见，要么多开一个 ssh 连接，避免误退出当前连接；要么将重启 sshd 服务器步骤放到步骤3完成之后。）

步骤3：使用 OTPW 产生一次性密码

之前提到过，你需要事先创建一次性密码，并保存起来。使用 otpw-gen 命令创建密码：

$ cd ~
$ otpw-gen > temporary_password.txt

这个命令会让你输入密码前缀，当你以后登录的时候，你需要同时输入这个前缀以及一次性密码。密码前缀是另外一层保护，就算你的一次性密码表被泄漏，别人也无法通过暴力破解你的 SSH 密码。

设置好密码前缀后，这个命令会产生 280 个一次性密码（LCTT 译注：保存到 ~/.otpw 下），并将它们导出到一个文本文件中（如 temporary\_password.txt）。每个密码（默认是 8 个字符）由一个 3 位十进制数索引。你需要将这个密码表打印出来，并随身携带。

查看 ./.otpw 文件，它存放了一次性密码的 HASH 值。头 3 位十进制数与你随身携带的密码表的索引一一对应，在你登录 SSH 服务器的时候会被用到。

$ more ~/.otpw

OTPW1
280 3 12 8
191ai+:ENwmMqwn
218tYRZc%PIY27a
241ve8ns%NsHFmf
055W4/YCauQJkr:
102ZnJ4VWLFrk5N
2273Xww55hteJ8Y
1509d4b5=A64jBT
168FWBXY%ztm9j%
000rWUSdBYr%8UE
037NvyryzcI+YRX
122rEwA3GXvOk=z

测试一次性密码登录 SSH 服务器

使用普通的方式登录 SSH 服务器：

$ ssh user@remote_host

如果 OTPW 成功运行，你会看到一点与平时登录不同的地方：

Password 191:

现在打开你的密码表，找到索引号为 191 的密码。

023 kBvp tq/G  079 jKEw /HRM  135 oW/c /UeB  191 fOO+ PeiD  247 vAnZ EgUt

从上表可知，191 号密码是“fOO+PeiD”。你需要加上密码前缀，比如你设置的前缀是“000”，则你实际需要输入的密码是“000fOO+PeiD”。

成功登录后，你这次输入的密码自动失效。查看 ~/.otpw　文件，你会发现第一行变成“---------------”，这表示 191 号密码失效了。

OTPW1
280 3 12 8
---------------
218tYRZc%PIY27a
241ve8ns%NsHFmf
055W4/YCauQJkr:
102ZnJ4VWLFrk5N
2273Xww55hteJ8Y
1509d4b5=A64jBT
168FWBXY%ztm9j%
000rWUSdBYr%8UE
037NvyryzcI+YRX
122rEwA3GXvOk=z

总结

在这个教程中，我介绍了如何使用 OTPW 工具来设置一次性登录密码。你也许意识到了在这种双因子的认证方式中，打印一张密码表让人感觉好 low，但是这种方式是最简单的，并且不用依赖任何第三方软件。无论你用哪种方式创建一次性密码，在你需要在一个不可信任的环境登录 SSH 服务器的时候，它们都很有用。你可以就这个主题来分享你的经验和观点。

via: http://xmodulo.com/secure-ssh-login-one-time-passwords-linux.html

作者：Dan Nanni 译者：bazz2 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

如果你的操作系统是 Windows，而你想要连接 Linux 服务器相互传送文件，那么你需要一个简称 SSH 的 Secure Shell 软件。实际上，SSH 是一个网络协议，它允许你通过网络连接到 Linux 和 Unix 服务器。SSH 使用公钥加密来认证远程的计算机。你可以有多种途径使用 SSH，无论是自动连接，还是使用密码认证登录。

本篇文章介绍了几种可以连接 Linux 服务器 SSH 客户端。

让我们开始吧。

Putty

Putty 是最有名的 SSH 和 telnet 客户端，最初由 Simon Tatham 为 Windows 平台开发。Putty 是一款开源软件，有可用的源代码，和一群志愿者的开发和支持。

Putty 非常易于安装和使用，通常大部分的配置选项你都不需要修改。你只需要输入少量基本的参数，就可以开始很简单地建立连接会话。点此下载 Putty。

Bitvise SSH Client

Bitvise SSH 是一款支持 SSH 和 SFTP 的 Windows 客户端。由 Bitvise 开发和提供专业支持。这款 SSH 客户端性能强悍，易于安装、便于使用。Bitvise SSH 客户端拥有功能丰富的图形界面，通过一个有自动重连功能的内置代理进行动态端口转发。

Bitvise SSH 客户端对个人用户使用是免费的，同时对于在组织内部的个人商业使用也一样。你可以在这里下载 Bitvise SSH 客户端。

MobaXterm

MobaXterm 是你的远程计算的终极工具箱。在一个 Windows 应用里，它为程序员、网管、IT 管理员及其它用户提供了精心裁剪的一揽子功能，让他们的远程操作变得简约时尚。

MobaXterm 提供了所有重要的远程网络工具 （如SSH、 X11、 RDP、 VNC、 FTP、 MOSH 等等），以及 Windows 桌面上的 Unix 命令（bash、 ls、 cat、sed、 grep、 awk、 rsync等等），而这些都是由一个开箱即用的单一的便携程序所提供。MobaXterm 对个人使用免费，你可以在这里下载 MobaXterm。

DameWare SSH

我认为 DameWare SSH 是最好的免费SSH客户端。（LCTT 译注：似乎 DameWare 已经取消了该软件的下载。）

这个免费工具是一个终端模拟器，可以让你从一个易用的控制台建立多个 telnet 和 SSH 连接。

• 用一个带标签的控制台界面管理多个会话
• 将常用的会话保存在 Windows 文件系统中
• 使用多套保存的证书来轻松登录不同的设备
• 使用 telnet、SSH1 和 SSH2 协议连接计算机和设备

SmarTTY

　 SmarTTY 是一款免费的多标签 SSH 客户端，支持使用 SCP 命令随时复制文件和目录。

大多数 SSH 服务器每个连接支持最多10个子会话．SmarTTY 在这方面做得很好：没有烦人的多个窗口，不需要重新登录，仅仅打开一个新的标签页就可以开始了！

Cygwin

Cygwin 是一款 GNU 和开源工具的大杂烩，提供的功能近似于一个 Windows 平台下的 Linux。

Cygwin 包括了一个称为模拟库的 Unix 系统：cygwin.dll，集成了大量的 GNU 和其它的免费软件，以大量的可选包方式组织而成。在这些安装包中，有高质量的编译器和其他软件开发工具、一个X11服务器、一套完整的X11开发套件、GNU emacs 编辑器、Tex 和 LaTeX、openSSH（客户端和服务器），除此之外还有很多，包括在微软 Windows 下需要编译和使用 PhysioToolkit 软件的每一样东西。

读完我们的文章后，不知你中意哪一款 SSH 客户端？你可以留下你的评论，描述你喜欢的系统和选择的原因。当然，如果有另外的 SSH 客户端没有被本文列举出来，你可以帮助我们补充。

via: http://www.unixmen.com/list-free-windows-ssh-client-tools-connect-linux-server/

作者：anismaj 译者：wi-cuckoo 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

提问: 我打算在linux上安装autossh，我应该怎么做呢?

autossh 是一款开源工具，可以帮助管理SSH会话、自动重连和停止转发流量。autossh会假定目标主机已经设定无密码SSH登陆，以便autossh可以重连断开的SSH会话而不用用户操作。

只要你建立反向SSH隧道或者挂载基于SSH的远程文件夹，autossh迟早会派上用场。基本上只要需要维持SSH会话，autossh肯定是有用的。

下面有许多linux发行版autossh的安装方法。

Debian 或 Ubuntu 系统

autossh已经加入基于Debian系统的基础库，所以可以很方便的安装。

$ sudo apt-get install autossh 

Fedora 系统

Fedora库同样包含autossh包，使用yum安装。

$ sudo yum install autossh 

CentOS 或 RHEL 系统

CentOS/RHEL 6 或早期版本, 需要开启第三库Repoforge库, 然后才能使用yum安装.

$ sudo yum install autossh 

CentOS/RHEL 7以后，autossh 已经不在Repoforge库中. 你需要从源码编译安装（例子在下面）。

Arch Linux 系统

$ sudo pacman -S autossh 

Debian 或 Ubuntu 系统中从源码编译安装

如果你想要使用最新版本的autossh，你可以自己编译源码安装

$ sudo apt-get install gcc make
$ wget http://www.harding.motd.ca/autossh/autossh-1.4e.tgz
$ tar -xf autossh-1.4e.tgz
$ cd autossh-1.4e
$ ./configure
$ make
$ sudo make install 

CentOS, Fedora 或 RHEL 系统中从源码编译安装

在CentOS/RHEL 7以后，autossh不在是预编译包。所以你不得不从源码编译安装。

$ sudo yum install wget gcc make
$ wget http://www.harding.motd.ca/autossh/autossh-1.4e.tgz
$ tar -xf autossh-1.4e.tgz
$ cd autossh-1.4e
$ ./configure
$ make
$ sudo make install 

via: http://ask.xmodulo.com/install-autossh-linux.html

作者：Dan Nanni 译者：Vic020/VicYu 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

假设你是hostA上的一个用户"aliceA"，想以用户“aliceB”的身份ssh到hostB上，但又不想输入密码。那么，你可以参考这篇教程实现ssh无密码登录。

首先，你需要以用户“aliceA”的身份登录到hostA上。

然后，使用ssh-keygen生成一对rsa公私钥，生成的密钥对会存放在~/.ssh目录下。

$ ssh-keygen -t rsa

接下来，使用下面的命令在目标主机hostB上的aliceB用户目录下创建~/.ssh目录。如果在aliceB@hostB上已经存在.ssh目录，这一步会被略过。

$ ssh aliceB@hostB mkdir -p .ssh

最后，将hostA上用户“aliceA”的公钥拷贝到aliceB@hostB上，来实现无密码ssh。

$ cat .ssh/id_rsa.pub | ssh aliceB@hostB 'cat >> .ssh/authorized_keys'

自此以后，从aliceA@hostA上ssh到aliceB@hostB上再也不需要输入密码。（LCTT 译注：上述的创建目录并复制的操作也可以通过一个 ssh-copy-id 命令一步完成：ssh-copy-id -i ~/.ssh/id_rsa.pub aliceB@hostB）

疑难解答

1. 即使在密钥认证生效后，你可能仍然需要输入SSH密码。如果遇到这种情况，请检查系统日志（如/var/log/secure）以查看是否出现下面的异常。

Authentication refused: bad ownership or modes for file /home/aliceB/.ssh/authorized\_keys

在这种情况下，密钥认证的失败是由于~/.ssh/authorized\_keys文件的权限或拥有者不正确。一般情况，如果这个文件对除了你之外的所有用户都可读，就会出现这个错误。用下面的方式改变文件的权限以修正错误。

$ chmod 700 ~/.ssh/authorized_keys 

via: http://xmodulo.com/how-to-enable-ssh-login-without.html

作者：Dan Nanni 译者：KayGuoWhu 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出