如果你已经在IT圈内混久了, 应该对 SSH 这个了不起的工具及其安全特性有所耳闻吧. 本教程可以让你在短时间内掌握通过 SSH 安全便利地连接到远程计算机的技术.

如果你对 SSH 还没什么概念, 可以先访问 维基百科 进行了解.

基本用法

最简单的 SSH 命令只需要指定用户名和主机名参数即可. 主机名可以是 IP 地址或者域名. 命令格式如下:

$ ssh user@hostname

比如要在我的局域网内登录一个树莓派系统, 只需要简单的在命令行输入如下命令:

$ ssh [email protected]

命令中的 pi 和 10.42.0.47 分别是我的树莓派系统的用户名和局域网 IP 地址. 实际使用时主机名需要改成你的目标主机(局域网内或者远程)的 IP 地址.

如果你能够成功登陆, 那么下面的内容对你来说就轻而易举了.

使用其他端口

SSH 默认连接到目标主机的 22 端口上,但是由于各种原因你可能需要连接到其他端口.

$ ssh -p 10022 user@hostname

如上命令就是通过添加参数 -p 指定端口号为 10022.

远程执行命令

有时在远程主机执行一条命令并显示到本地, 然后继续本地工作是很方便的. SSH 就能满足这个需求:

$ ssh [email protected] ls -l

比如上面这个命令就会枚举远程主机的主目录内容并在本地显示. 是不是很酷? 你可以尝试下其他命令看看.

挂载远程文件系统

另外一个很赞的基于 SSH 的工具叫 sshfs. sshfs 可以让你在本地直接挂载远程主机的文件系统.

$ sshfs -o idmap=user user@hostname:/home/user ~/Remote

比如下面这条命令:

$ sshfs -o idmap=user [email protected]:/home/pi ~/Pi

该命令就将远程主机 pi 用户的主目录挂载到本地主目录下的 Pi 文件夹.

要详细了解可以参考 sshfs 教程.

X11 图形界面

假如现在你想要在远程主机运行一个图形界面的程序, SSH 已经帮你想到了! 用前面提到的 SSH 基本命令加上参数 -X 连接到远程主机即可开启 X11 转发功能. 登录后你可能觉得没什么差别, 但是当你运行一个图形界面程序后就会发现其中的不同的.

$ ssh -X [email protected]

$ pistore

如果你想在运行图形界面程序的同时做些别的事情, 只需要简单地在命令末尾加一个 & 符号.

$ pistore&

转义字符

SSH 提供了多样的转义字符功能. 用 SSH 连接到任意一台远程主机然后输入 ~? 你就可以看到支持的转义字符和功能说明列表. 以下例子展示了 ~# 和 ~C 的效果.

配置 SSH

如果你需要改变 SSH 的配置, 请用你喜好的文本编辑器打开 /etc/ssh/sshd\_config 进行编辑. 比如你想改变登陆的标语, 在配置文件中找到下面这行:

#Banner none

删除 # 字符(取消该行的注释), 将 none 替换为包含你期望显示内容的文件地址. 修改后该行应该类似这样:

Banner /etc/issue

在配置文件 /etc/ssh/sshd\_config 中你还可以找到端口号, 空闲超时时间等配置项. 配置项大都比较容易理解, 但是保险起见在你修改一些不是很确定的配置项时最好参考下 SSH 的帮助文档.

构建 ssh 密钥对

运行以下命令创建密钥对:

$ ssh-keygen -t dsa

此命令会要求你输入密码(可以留空), 然后就会生成密钥并会显示一张该密钥对应的随机图.

寻找主机密钥

在你准备添加密钥之前不妨先用以下命令看看是否已经添加了对应主机的密钥了.

$ ssh-keygen -F 10.42.0.47

删除主机密钥

某些情况下, 比如主机地址更改或者不再使用某个密钥, 你就可能需要删除某个密钥.

$ ssh-keygen -R 10.42.0.47

用以上命令就可删除. 这比手动在 ~/.ssh/known\_hosts 文件中删除要方便很多.

总结

通过以上的内容你应该可以轻松使用 SSH 了. SSH 还有很多功能值得你去发掘, 这就要看你的想象力了。

via: http://linoxide.com/linux-command/pocket-guide-linux-ssh-command/

作者：Bobbin Zachariah 译者：henryfour 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

近来很多知名企业都出现了密码泄露，业内对多重认证的呼声也越来越高。在这种多重认证的系统中，用户需要通过两种不同的认证程序：提供他们知道的信息（如 用户名/密码），再借助其他工具提供用户所不知道的信息（如用手机生成的一次性密码）。这种组合方式常叫做双因子认证或者两阶段验证。

为了鼓励广泛采用双因子认证的方式，Google 公司发布了 Google 身份验证器 （ Google Authenticator ） ，一款开源的，可基于开放规则（如 HMAP/ 基于时间）生成一次性密码的软件。这是一款跨平台软件，可运行在 Linux、 Android、 iOS。Google 公司同时也支持插件式鉴别模块PAM （pluggable authentication module），使其能和其他也适用 PAM 进行验证的工具（如 OpenSSH）协同工作。

在本教程中，我们将叙述集成 OpenSSH 和 Google 提供的身份验证器实现如何为 SSH 服务设置双因子认证。我将使用一款 Android 设备来生成一次性密码，本教程中需要两样武器：

(1) 一台运行着 OpenSSH 服务的 Linux 终端，

(2) 一台安卓设备。

在 Linux 系统中安装 Google 身份验证器

第一步需要在运行着 OpenSSH 服务的 Linux 主机上安装 Google 身份验证器。按照如下步骤安装 Google 身份验证器及其PAM模块。

用安装包安装 Google 身份验证器

如果你不想自己构建 Google 身份验证器，在几个 Linux 发行版上有已经编译好的安装包。安装包里面包含 Google 身份验证器 二进制程序和 PAM 模块。

在 Ubuntu 上安装 Google 身份验证器：

$ sudo apt-get install libpam-google-authenticator

在 Fedora 上安装 Google 身份验证器：

$ sudo yum install google-authenticator

在 CentOS 上安装 Google 身份验证器 ，需要首先启用 EPEL 软件库，然后运行如下命令（LCTT 译注：EPEL 库中可能已经删除了该软件包，请使用源代码编译方式安装）：

$ sudo yum install google-authenticator

如果不想使用已经编译好的安装包，或者你的 Linux 发行版不在此列，可以自行编译：

在 Linux 上编译 Google 身份验证器

首先，安装构建 Google 身份验证器所需的软件包。

在 Debian、 Ubuntu 或 Linux Mint 上：

$ sudo apt-get install wget make gcc libpam0g-dev

在 CentOS、 Fedora 或 RHEL上：

$ sudo yum install wget make gcc pam-devel

然后下载 Google 身份验证器的源代码，并按如下命令编译（已经从 Google Code 迁移到了 Github）。

$ wget https://github.com/google/google-authenticator/archive/master.zip
$ unzip master.zip
$ cd google-authenticator-master/libpam
$ ./bootstrap.sh
$ ./configure
$ make

如果构建成功，你会在目录中看到 pam_google_authenticator.so 和 google-authenticator 两个文件。

最后，将 Google 身份验证器安装到合适位置。默认会安装到 /usr/local/lib/security 下，根据你的系统不同，你可能需要将其符号链接到 pam 库的位置（比如 CentOS 7 会在 /usr/lib64/security）。

$ sudo make install

排错

当编译 Google 身份验证器时出现如下错误：

fatal error: security/pam_appl.h: No such file or directory

要修复这个问题，请安装如下依赖包。

在 Debian、 Ubuntu 或 Linux Mint 上：

$ sudo apt-get install libpam0g-dev

在 CentOS、 Fedora 或 RHEL 上：

$ sudo yum install pam-devel

当 Google 身份验证器安装好后，你需要在 Linux 主机上创建验证密钥，并且在安卓设备上注册，注意这项配置操作是一次性的。我们将详细叙述如何完成这些操作：

生成验证密钥

在 Linux 主机上运行 Google 身份验证器：

$ google-authenticator 

你将看到一个二维码，它使用如下图形表示我们数字形态的密钥。一会我们要用到它在安卓设备上完成配置。

Google 身份验证器会问一些问题，如果你不确定，就回答 Y。这个应急备用验证码（图中 emergency scratch codes）可以在你由于丢失了绑定的安卓设备的情况下（所以不能得到生成的一次性密码）恢复访问。最好将应急备用验证码妥善保存。

在安卓设备上运行 Google 身份验证器

我们需要在安卓设备上安装 Google 身份验证器应用才能完成双因子认证，到 Google Play 下载并安装一个。在安卓设备上运行 Google 身份验证器，找到下图所示中的配置菜单。

你可以选择“Scan a barcode” 或者“Enter provided key”选项。“Scan a barcode”允许你扫描二维码来完成密钥的输入，在此可能需要先安装扫描软件 Barcode Scanner 应用。如果选择“Enter provided key”选项，你可以使用键盘输入验证密钥，如下图所示：

无论采用上述两种选项的任何方式，一旦成功，你将看到注册成功提示和一次性密码，如下图所示：

为 SSH 服务器用 Google 身份验证器

最终我们需要修改两个文件来完成集成 Google 身份验证器和 OpenSSH 服务这临门一脚。

首先，修改 PAM 配置文件，命令和需添加的内容如下：

$ sudo vi /etc/pam.d/sshd 

auth required pam_google_authenticator.so

然后打开 SSH 配置文件，找到参数 ChallengeResponseAuthentication，并启用它。

$ sudo vi /etc/ssh/sshd_config 

ChallengeResponseAuthentication yes

最后，重启 SSH 服务。

在 Ubuntu、 Debian 和 Linux Mint 上：

$ sudo service ssh restart 

在 Fedora （或 CentOS/RHEL 7）上：

$ sudo systemctl restart sshd 

在 CentOS 6.x或 RHEL 6.x 上：

$ sudo service sshd restart 

不要退出当前的 ssh 链接，大多数 Linux 发行版重启 ssh 服务并不会中断当前已经建立的 ssh 连接。另外开个窗口去重新连接 ssh 服务，如果遇到问题，还可以在原来的 ssh 连接下修改和恢复。

验证双因子认证

在绑定的安卓设备上运行 Google 身份验证器，获得一个一次性验证码，该验证码 30 秒内有效，一旦过期，将重新生成一个新的验证码。

现在和往常一样，使用 SSH 登录终端

$ ssh user@ssh_server 

当提示你输入验证码的时候，输入我们刚获得的验证码。验证成功后，再输入 SSH 的登录密码。

双因子认证通过在用户密码前新增一层来有效的保护我们脆弱的用户密码。你可以使用 Google 身份验证器来保护我们其他的密码，如 Google 账户、GitHub、WordPress.com、Dropbox.com、Outlook.com等等。是否使用这项技术，取决于我们自己，但采用双因子认证已经是行业的大趋势了。

via: http://xmodulo.com/2014/07/two-factor-authentication-ssh-login-linux.html

译者：nd0104 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在某些环境中，系统管理员想要允许极少数用户在可以传输文件到Linux机器中，但是不允许使用 SSH。要实现这一目的，我们可以使用SFTP，并为其构建chroot环境。

SFTP & chroot背景：

SFTP是指SSH文件传输协议（SSH File Transfer protocol）或安全文件传输协议（Secure File Transfer Protocol），它提供了可信数据流下的文件访问、文件传输以及文件管理功能。当我们为SFTP配置chroot环境后，只有被许可的用户可以访问，并被限制到他们的家目录中，换言之：被许可的用户将处于牢笼环境中，在此环境中它们甚至不能切换它们的目录。

在本文中，我们将配置RHEL 6.X 和 CentOS 6.X中的SFTP Chroot环境。我们开启一个用户帐号‘Jack’，该用户将被允许在Linux机器上传输文件，但没有ssh访问权限。

步骤：1 创建组

[root@localhost ~]# groupadd  sftp_users

步骤：2 分配附属组(sftp\_users)给用户

如果用户在系统上不存在，使用以下命令创建（ LCTT 译注：这里给用户指定了一个不能登录的 shell，以防止通过 ssh 登录）：

[root@localhost ~]# useradd  -G sftp_users  -s /sbin/nologin  jack
[root@localhost ~]# passwd jack

对于已经存在的用户，使用以下usermod命令进行修改：

[root@localhost ~]# usermod –G sftp_users  -s /sbin/nologin  jack

注意：如果你想要修改用户的默认家目录，那么可以在useradd和usermod命令中使用‘-d’选项，并设置合适的权限。

步骤：3 现在编辑配置文件 “/etc/ssh/sshd\_config”

# vi /etc/ssh/sshd_config
#comment out the below line and add a line like below
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp

# add Below lines  at the end of file
  Match Group sftp_users
  X11Forwarding no
  AllowTcpForwarding no
  ChrootDirectory %h                      
  ForceCommand internal-sftp

此处：

• Match Group sftp\_users – 该参数指定以下的行将仅仅匹配sftp\_users组中的用户
• ChrootDirectory %h – 该参数指定用户验证后用于chroot环境的路径（默认的用户家目录）。对于用户 Jack，该路径就是/home/jack。
• ForceCommand internal-sftp – 该参数强制执行内部sftp，并忽略任何~/.ssh/rc文件中的命令。

重启ssh服务

# service sshd restart

步骤：4 设置权限：

[root@localhost ~]# chmod 755 /home/jack
[root@localhost ~]# chown root /home/jack
[root@localhost ~]# chgrp -R sftp_users /home/jack

如果你想要允许jack用户上传文件，那么创建一个上传文件夹，设置权限如下：

[root@localhost jack]# mkdir /home/jack/upload
[root@localhost jack]# chown jack. /home/jack upload/

步骤：5 现在尝试访问系统并进行测试

尝试通过ssh访问系统

正如下图所示，用户jack通过SFTP登录，而且因为chroot环境不能切换目录。

现在进行上传和下载测试，如下图：

正如上图所示，jack用户的上传下载功能都工作得很好。

via: http://www.linuxtechi.com/configure-chroot-sftp-in-linux/

原文作者：Pradeep Kumar

译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

一个系统管理员可能会同时管理着多台服务器，这些服务器也许会放在不同的地方。要亲自一台一台的去访问来管理它们显然不是最好的方法，通过远程控制的方法应该是最有效的。远程访问最通用的一款应用程序就是 SSH（什么？你还用telnet？....$%@%&W@$##）。

SSH 是什么

SSH（全称 Secure Shell)是一种加密的网络协议。使用该协议的数据将被加密，如果在传输中间数据泄漏，也可以确保没有人能读取出有用信息。要使用 SSH，目标机器应该安装 SSH 服务端应用程序，因为 SSH 是基于客户-服务模式的。 当你想安全的远程连接到主机，可中间的网络（比如因特网）并不安全，通常这种情况下就会使用 SSH。

安装 SSH

的 Linux 系统默认已经安装了 SSH。如果碰巧你的机器没装（译注：我能吐槽么？没有不装ssh的Linux服务器吧，不过，大家要记得升级你的ssh服务器），我们可以手工来安装一下。最简单的方式就是使用 Linux 包管理器。

基于 Debian / Ubuntu 的系统 :

安装 ssh-client

$ sudo apt-get install openssh-client

安装 ssh-server

$ sudo apt-get install openssh-server

基于 RedHat / CentOS 的系统 :

# yum install openssh-server openssh-clients

SSH 一旦安装上，我们就可以在终端下输入 ssh 来检查下安装的是否正常。

使用 SSH

提供了许多可使用的选项。这篇文章会介绍一些我们在日常操作中经常使用的选项。

1. 无选项参数运行 SSH

通常使用 SSH 的方式就是不加任何选项参数,仅仅输入 "ssh"。下面是示例：

$ ssh 192.168.0.103

第一次连接目标主机时，ssh 会让你确认目标主机的真实性。如果你回答的是 NO，SSH 将不会继续连接，只有回答 Yes 才会继续（译注：会加入RSA key的指纹作为记录，如果下次连接发现指纹变化，会提示你）。

下一次再登陆此主机时，SSH 就不会提示确认消息了。对此主机的真实验证信息已经默认保存在每个用户的 /home/user/.ssh 文件里。

2. 指定登陆用户

默认的，ssh 会尝试用当前用户作为用户名来连接。在上面的示例命令中，ssh 会尝试用用户名叫 pungki 的用户身份来登入服务器，这是因为用户 pungki 正在客户机上使用 ssh 客户端软件。

假如目标主机上没有叫 pungki 的用户呢？这时你就必须提供一个目标主机上存在的用户名。从一开始就要指定用户名的，可以使用 -l 选项参数。

$ ssh -l leni 192.168.0.103

我们也可以这样输入：

$ ssh [email protected]

3. 指定端口

SSH 默认使用的端口号是 22。大多现代的 Linux 系统 22 端口都是开放的。如果你运行 ssh 程序而没有指定端口号，它直接就是通过 22 端口发送请求的。

一些系统管理员会改变 SSH 的默认端口号。让我们试试，现在端口号是 1234.要连上那主机，就要使用 -p 选项，后面在加上 SSH 端口号。

$ ssh 192.168.0.103 -p 1234

要改变端口号，我们需要修改 /etc/ssh/ssh\_config 文件，找到此行：

Port 22

把它换成其他的端口号，比如上面示例的 1234 端口，然后重启 SSH 服务。

4.对所有数据请求压缩

有了这个选项，所有通过 SSH 发送或接收的数据将会被压缩，并且任然是加密的。要使用 SSH 的压缩功能，使用 -C 选项。

$ ssh -C 192.168.0.103

如果你的连网速度很慢的话，比如用 modem 上网，这个选项非常有用。但如果你使用的是像 LAN 或其它更高级网络的话，压缩反而会降低你的传输速度。可以使用 -o 选项加上压缩级别参数来控制压缩的级别，但这个选项仅仅只在 SSH-1 下起作用。

5. 指定一个加密算法

SSH 提供了一些可用的加密算法。可以在 /etc/ssh/ssh\_config 或 ~/.ssh/config 文件中看到（如果存在的话）。

让我们试试比如你想使用 blowfish 算法来加密你的 SSH 会话，那么你只要把这一行加入你的 /etc/ssh/ssh\_config 或 ~/.ssh/config 文件就可以：

Cipher blowfish

默认的，SSH 会使用 3des 算法。

6. 打开调试模式

因为某些原因，我们想要追踪调试我们建立的 SSH 连接情况。SSH 提供的 -v 选项参数正是为此而设的。

$ ssh -v 192.168.0.103

7. 绑定源地址

如果你的客户端有多于两个以上的 IP 地址，你就不可能分得清楚在使用哪一个 IP 连接到 SSH 服务器。

为了解决这种情况，我们可以使用 -b 选项来指定一个IP 地址。这个 IP 将会被使用做建立连接的源地址。

$ ssh -b 192.168.0.200 -l leni 192.168.0.103

服务端，我们可以使用 netstat 命令来检查到服务的连接是否建立。可以看到 IP 为 192.168.0.200 的连接已经建立。

8. 使用其他配置文件

默认情况下，ssh 会使用位于 /etc/ssh/ssh\_config 的配置文件。这个配置文件作用于系统的所有用户。但你想要为特定的用户指定特殊的设置的话，可以把配置放入 ~/.ssh/config 文件中。如果此文件不存在，可以手工创建一个。

下面是一个通用 ssh\_config 文件配置的例子。这配置文件位于 /home/pungki 目录下。

Host 192.168.0.*
ForwardX11 yes
PasswordAuthentication yes
ConnectTimeout 10
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Protocol 2
HashKnownHosts yes

要使用指定的配置文件，可以使用 -F 选项。

$ ssh -F /home/pungki/my_ssh_config 192.168.0.101

9. 使用 SSH X11 Forwarding

某些时候，你可能想把服务端的 X11 应用程序显示到客户端计算机上，SSH 提供了 -X 选项。但要启用这功能，我们需要做些准备，下面是它的设置：

在服务器端，你需要使 /etc/ssh/ssh\_config 文件中的行设置成 ForwardX11 yes 或者 X11Forwad yes，以启用 X11 Forwarding，重启 SSH 服务程序。

然后在客户端，输入 ssh -X user@host:

$ ssh -X [email protected]

一旦登陆，可以输入：

$ echo $DISPLAY

来检查，你应该可以看到向如下所示的

localhost:10:0

随后就可以运行应用了，仅仅只能输入应用程序的命令。让我们试试，比如想运行 xclock 程序，输入：

$ xclock

它就运行起来了，xclock 确实是运行在远端系统的，但它在你的本地系统里显示了。

10. 可信任的 X11 转发

如果你敢肯定你的网络是安全的，那么你可以使用可信任的 X11 转发机制。这意味着远程的 X11 客户端可以完全的访问源 X11 显示内容。要使用此功能，可以使用 -Y 选项。

$ ssh -Y [email protected]

结论

我们相信 SSH 的使用范围非常之广。SSH 给用户提供了网络连接的极大安全性和灵活性。通常我们都会输入 man ssh 和 man ssh\_config 来显示它的用户手册及查看更多的细节。

（译注补充：建议使用ssh的协议版本2，因此请修改 ssh\_config 文件的 Protocol 字段为：2，而将对协议1的支持取消。）

via: http://linoxide.com/linux-command/learn-ssh-connection-options/

译者：runningwater 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

隧道 被设计用于远端客户端和本地(可通过inetd启动)或远端服务器间的SSL加密封装。它可以用于为inetd进程增加SSL功能，像POP2（译注：厄，POP2这个服务还有人用么？），POP3和IMAP服务而不必改变程序代码。隧道使用OpenSSL库用于加密，因此它支持任何被编译进库的加密算法。简而言之，隧道可以使任何一个不安全的端口变得安全加密。

在本篇中，我会描述如何通过SSL水稻封装SSH。这个步骤非常简单。你需要在你的客户端PC和远程PC都已经安装运行了sshd。

我正在使用下面提到的两个系统。

远程系统:

操作系统: Debian 7
IP 地址: 192.168.1.200/24

客户端(本地) 系统:

操作系统: Ubuntu 13.04 desktop
IP 地址: 192.168.1.100/24

配置远程系统

让我们在远程Debian 7服务器上安装stunnel包。

# apt-get install stunnel4

现在让我们像下面那样创建一个SSL证书。

# openssl genrsa 1024 > stunnel.key

示例输出:

Generating RSA private key, 1024 bit long modulus
............................................++++++
...................++++++
e is 65537 (0x10001)

# openssl req -new -key stunnel.key -x509 -days 1000 -out stunnel.crt

你会被询问若干个问题如国家、州、公司细节等。

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:Tamilnadu
Locality Name (eg, city) []:Erode
Organization Name (eg, company) [Internet Widgits Pty Ltd]:unixmen
Organizational Unit Name (eg, section) []:Technical
Common Name (e.g. server FQDN or YOUR name) []:server.unixmen.com
Email Address []:[email protected]

# cat stunnel.crt stunnel.key > stunnel.pem
# mv stunnel.pem /etc/stunnel/

现在我们需要配置stunnel来将 443(https)隧道到22(ssh)。这可以通过在/etc/stunnel/目录下创建stunnel.conf文件来实现：

 # vi /etc/stunnel/stunnel.conf

并加入下面的行:

pid = /var/run/stunnel.pid
cert = /etc/stunnel/stunnel.pem
[ssh]
accept = 192.168.1.200:443
connect = 127.0.0.1:22

上面的几行说明了stunnel在哪里寻找证书文件和哪里接收和转发ssh链接。在本例中，stunnel会接收来自443端口的流量并会转发给22端口。

保存并关闭文件。

现在让我们启用stunnel服务。要这么做，编辑文件 /etc/default/stunnel4:

# vi /etc/default/stunnel4

改变行从 ENABLED = 0 到 1。

# /etc/default/stunnel
# Julien LEMOINE <[email protected]>
# September 2003

# Change to one to enable stunnel automatic startup
ENABLED=1
FILES="/etc/stunnel/*.conf"
OPTIONS=""

# Change to one to enable ppp restart scripts
PPP_RESTART=0

接着使用命令启用stunnel服务:

# service stunnel4 start

配置本地系统

用这个命令安装stunnel:

$ sudo apt-get install stunnel4

我们需要远程系统上相同的证书文件(stunnel.pem)。复制远程系统上的 stunnel.pem文件到我们本地系统中并在相同的位置保存(也就是 /etc/stunnel)。

在 /etc/stunnel/目录下创建新的文件stunnel.conf：

$ sudo vi /etc/stunnel/stunnel.conf

加入下面的行:

pid = /var/run/stunnel.pid
cert = /etc/stunnel/stunnel.pem
client=yes
[ssh]
accept=443
connect=192.168.1.200:443

保存并关闭文件。这里的192.168.1.200是我们的远程系统IP。

现在让我们启用stunnel服务。要这么做，编辑文件/etc/default/stunnel4:

$ sudo vi /etc/default/stunnel4

改变行从 ENABLED = 0 到 1.

# /etc/default/stunnel
# Julien LEMOINE <[email protected]>
# September 2003

# Change to one to enable stunnel automatic startup
ENABLED=1
FILES="/etc/stunnel/*.conf"
OPTIONS=""

# Change to one to enable ppp restart scripts
PPP_RESTART=0

接着使用命令启用stunnel服务:

$ sudo service stunnel4 start

测试SSH连接

现在这样已经很好了，你可以使用命令连接到你的远程机器上了：

$ ssh sk@localhost -v -p 443

示例输出:

OpenSSH_6.1p1 Debian-4, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to localhost [127.0.0.1] port 443.
debug1: Connection established.
debug1: identity file /home/sk/.ssh/id_rsa type -1
debug1: identity file /home/sk/.ssh/id_rsa-cert type -1
debug1: identity file /home/sk/.ssh/id_dsa type -1
debug1: identity file /home/sk/.ssh/id_dsa-cert type -1
debug1: identity file /home/sk/.ssh/id_ecdsa type -1
debug1: identity file /home/sk/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-4
debug1: match: OpenSSH_6.0p1 Debian-4 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1p1 Debian-4
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 78:05:ba:1b:73:02:75:86:10:33:8c:0f:21:61:d4:de
debug1: Host '[localhost]:443' is known and matches the ECDSA host key.
debug1: Found key in /home/sk/.ssh/known_hosts:12
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/sk/.ssh/id_rsa
debug1: Trying private key: /home/sk/.ssh/id_dsa
debug1: Trying private key: /home/sk/.ssh/id_ecdsa
debug1: Next authentication method: password
sk@localhost's password: #   ## Enter your remote system user password
debug1: Authentication succeeded (password).
Authenticated to localhost ([127.0.0.1]:443).
debug1: channel 0: new [client-session]
debug1: Requesting [email protected]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LC_PAPER = en_IN.UTF-8
debug1: Sending env LC_ADDRESS = en_IN.UTF-8
debug1: Sending env LC_MONETARY = en_IN.UTF-8
debug1: Sending env LC_NUMERIC = en_IN.UTF-8
debug1: Sending env LC_TELEPHONE = en_IN.UTF-8
debug1: Sending env LC_IDENTIFICATION = en_IN.UTF-8
debug1: Sending env LANG = en_US.UTF-8
debug1: Sending env LC_MEASUREMENT = en_IN.UTF-8
debug1: Sending env LC_TIME = en_IN.UTF-8
debug1: Sending env LC_NAME = en_IN.UTF-8
Linux server 3.2.0-4-486 #1 Debian 3.2.51-1 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Last login: Mon Dec 30 15:12:22 2013 from localhost
sk@server:~$

或者你可以简单地使用下面的命令:

$ ssh -p 443 sk@localhost

示例输出:

sk@localhost's password: 
Linux server 3.2.0-4-486 #1 Debian 3.2.51-1 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Last login: Mon Dec 30 15:22:08 2013 from localhost
sk@server:~$

现在你可以用ssh连接到你的远程机器上了，但是所有的流量通过SSL隧道。

你已经完成了！即使ssh的默认端口被防火墙阻止了，你仍然可以使用SSH到你的远程系统。

参考链接:

• stunnel 主页

via: http://www.unixmen.com/tunnel-ssh-connections-ssl-using-stunnel-debian-7-ubuntu-13-10/

译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

下面的教程会指导所有的Linux使用者如何在系统上安装SSH，以便通过安卓智能手机远程访问他们的电脑。

如今我们所有人都拥有一台平板或触屏手机，我们经常使用它们在深夜里看电影或电视节目，听歌或者阅读一本好书。你可以把这篇文章称作是为那些懒人们准备的教程，他们在大晚上会因为太过疲惫而懒得去开启他们电脑上的某些程序，更懒得去移动、删除、复制或重命名某些文件，甚至关掉PC。

的确，已经有各种各样的远程桌面解决方案，但是许多方案费用很高，或者实现效果很糟糕，无法像预期一样运行，逼得你最终还是得去电脑上做你原本想做的事情。

在这个教程里面，我们将使用一种简单、安全、高效的协议，它被称为SSH (Secure SHell)，它很容易从默认的软件仓库中安装（在Arch linx中是openssh，在Ubuntu中时openssh-server）。

配置SSH服务器

在安装完成后，你需要为SSH服务器进行基本配置。为此，你需要使用文本编辑器编辑/etc/ssh/sshd\_config这个文件。

1.在文件尾部添加下面一行（下面的yourusername使用你的Linux机器上实际存在的用户名代替）

AllowUsers yourusername

2.取消"#PermitRootLogin"这行注释，把"no"替换成"yes"：

PermitRootLogin no

3.为了安全起见，你需要修改SSH连接默认的22端口到一个更大编号的端口，譬如在我们的例子中是55441 （建议不要跟着我使用55441，这是我选择的，你可以找另一个四位或者五位数字）。因此，取消注释并编辑"#Port 22"如下（译注：你可以选择大于1024，小于65535的其它端口，前提是没有被其它服务所占用，为什么不试试你的幸运数字？）：

Port 55441 

开启SSH服务器

在Ubuntu上，SSH服务通过下面的命令启动：

sudo /etc/init.d/ssh start 

当你每次修改上述配置文件时，都需要通过下面的命令重启：

sudo /etc/init.d/ssh restart 

在Arch Linux上，你可以使用下面的命令启动SSH服务：

sudo systemctl start sshd 

配置安卓设备上的SSH客户端

JuiceSSH似乎是安卓上最好的SSH客户端之一，而且是免费的。此外，如果你认为它的功能简单，也可以花费少量的钱得到更多高级的特性，譬如亚马逊 AWS/EC2 集成，团队协作，以及更多其它的特性。

一旦软件安装完毕，运行它，然后你会要求输入一个加密的密码以保证安全连接的安全。这个密码由AES-256进行加密，因此除非你的设备被偷，否则没有人能够获取他们。

现在，添加一个新连接，选择名称，你的电脑的IP地址，上面设定的端口号和一个需要被创建的身份。

这就是我的Arch Linux机器，可以通过我的安卓平板上的JuiceSSH客户端访问到。如果在这个教程中你遇到问题，请在下面进行评论。

via: http://news.softpedia.com/news/How-to-Control-Your-Linux-PC-with-an-Android-Device-396004.shtml

译者：KayGuoWhu 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出