将 SSH 用户会话限制访问到特定的目录内，特别是在 web 服务器上，这样做有多个原因，但最显而易见的是为了系统安全。为了锁定 SSH 用户在某个目录，我们可以使用 chroot 机制。

在诸如 Linux 之类的类 Unix 系统中更改 root（chroot）是将特定用户操作与其他 Linux 系统分离的一种手段；使用称为 chrooted 监狱 的新根目录更改当前运行的用户进程及其子进程的明显根目录。

在本教程中，我们将向你展示如何限制 SSH 用户访问 Linux 中指定的目录。注意，我们将以 root 用户身份运行所有命令，如果你以普通用户身份登录服务器，请使用 sudo 命令。

步骤 1：创建 SSH chroot 监狱

1、 使用 mkdir 命令开始创建 chroot 监狱：

# mkdir -p /home/test

2、 接下来，根据 sshd_config 手册找到所需的文件，ChrootDirectory 选项指定在身份验证后要 chroot 到的目录的路径名。该目录必须包含支持用户会话所必需的文件和目录。

对于交互式会话，这需要至少一个 shell，通常为 sh 和基本的 /dev 节点，例如 null、zero、stdin、stdout、stderr 和 tty 设备：

# ls -l /dev/{null,zero,stdin,stdout,stderr,random,tty}

列出所需文件

3、 现在，使用 mknod 命令创建 /dev 下的文件。在下面的命令中，-m 标志用来指定文件权限位，c 意思是字符文件，两个数字分别是文件指向的主要号和次要号。

# mkdir -p /home/test/dev/      
# cd /home/test/dev/
# mknod -m 666 null c 1 3
# mknod -m 666 tty c 5 0
# mknod -m 666 zero c 1 5
# mknod -m 666 random c 1 8

创建 /dev 和所需文件

4、 在此之后，在 chroot 监狱中设置合适的权限。注意 chroot 监狱和它的子目录以及子文件必须被 root 用户所有，并且对普通用户或用户组不可写：

# chown root:root /home/test
# chmod 0755 /home/test
# ls -ld /home/test

设置目录权限

步骤 2：为 SSH chroot 监狱设置交互式 shell

5、 首先，创建 bin 目录并复制 /bin/bash 到 bin 中：

# mkdir -p /home/test/bin
# cp -v /bin/bash /home/test/bin/

复制文件到 bin 目录中

6、 现在，识别 bash 所需的共享库，如下所示复制它们到 lib64 中：

# ldd /bin/bash
# mkdir -p /home/test/lib64
# cp -v /lib64/{libtinfo.so.5,libdl.so.2,libc.so.6,ld-linux-x86-64.so.2} /home/test/lib64/

复制共享库文件

步骤 3：创建并配置 SSH 用户

7、 现在，使用 useradd 命令创建 SSH 用户，并设置安全密码：

# useradd tecmint
# passwd tecmint

8、 创建 chroot 监狱通用配置目录 /home/test/etc 并复制已更新的账号文件（/etc/passwd 和 /etc/group）到这个目录中：

# mkdir /home/test/etc
# cp -vf /etc/{passwd,group} /home/test/etc/

复制密码文件

注意：每次向系统添加更多 SSH 用户时，都需要将更新的帐户文件复制到 /home/test/etc 目录中。

步骤 4：配置 SSH 来使用 chroot 监狱

9、 现在打开 sshd_config 文件。

# vi /etc/ssh/sshd_config

在此文件中添加或修改下面这些行。

# 定义要使用 chroot 监狱的用户
Match User tecmint
# 指定 chroot 监狱
ChrootDirectory /home/test

配置 SSH chroot 监狱

保存文件并退出，重启 sshd 服务：

# systemctl restart sshd
或者
# service sshd restart

步骤 5：测试 SSH 的 chroot 监狱

10、 这次，测试 chroot 监狱的设置是否如希望的那样成功了：

# ssh [email protected]
-bash-4.1$ ls
-bash-4.1$ date
-bash-4.1$ uname

测试 SSH 用户 chroot 监狱

从上面的截图上来看，我们可以看到 SSH 用户被锁定在了 chroot 监狱中，并且不能使用任何外部命令如（ls、date、uname 等等）。

用户只可以执行 bash 以及它内置的命令（比如：pwd、history、echo 等等）：

# ssh [email protected]
-bash-4.1$ pwd
-bash-4.1$ echo "Tecmint - Fastest Growing Linux Site"
-bash-4.1$ history

SSH 内置命令

步骤 6： 创建用户的主目录并添加 Linux 命令

11、 从前面的步骤中，我们可以看到用户被锁定在了 root 目录，我们可以为 SSH 用户创建一个主目录（以及为所有将来的用户这么做）：

# mkdir -p /home/test/home/tecmint
# chown -R tecmint:tecmint /home/test/home/tecmint
# chmod -R 0700 /home/test/home/tecmint

创建 SSH 用户主目录

12、 接下来，在 bin 目录中安装几个用户命令，如 ls、date、mkdir：

# cp -v /bin/ls /home/test/bin/
# cp -v /bin/date /home/test/bin/
# cp -v /bin/mkdir /home/test/bin/

向 SSH 用户添加命令

13、 接下来，检查上面命令的共享库并将它们移到 chroot 监狱的库目录中：

# ldd /bin/ls
# cp -v /lib64/{libselinux.so.1,libcap.so.2,libacl.so.1,libc.so.6,libpcre.so.1,libdl.so.2,ld-linux-x86-64.so.2,libattr.so.1,libpthread.so.0} /home/test/lib64/

复制共享库

步骤 7：测试 sftp 的 用 chroot 监狱

14、 最后用 sftp 做一个测试；测试你先前安装的命令是否可用。

在 /etc/ssh/sshd_config 中添加下面的行：

# 启用 sftp 的 chroot 监狱 
ForceCommand internal-sftp

保存并退出文件。接下来重启 sshd 服务：

# systemctl restart sshd
或者
# service sshd restart

15、 现在使用 ssh 测试，你会得到下面的错误：

# ssh [email protected]

测试 SSH Chroot 监狱

试下使用 sftp：

# sftp [email protected]

测试 sFTP SSH 用户

建议阅读： 使用 chroot 监狱将 sftp 用户限制在主目录中。

就是这样了！在文本中，我们向你展示了如何在 Linux 中限制 ssh 用户到指定的目录中（ chroot 监狱）。请在评论栏中给我们提供你的想法。

作者简介：

Aaron Kili 是一个 Linux 及 F.O.S.S 热衷者，即将成为 Linux 系统管理员、web 开发者，目前是 TecMint 的内容创作者，他喜欢用电脑工作，并坚信分享知识。

via: http://www.tecmint.com/restrict-ssh-user-to-directory-using-chrooted-jail/

作者：Aaron Kili 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

SSH （指 SSH 客户端）是一个用于访问远程主机的程序，它使得用户能够 在远程主机上执行命令。这是在登录远程主机中的最受推崇的方法之一，因为其设计目的就是在非安全网络环境上为两台非受信主机的通信提供安全加密。

SSH 使用系统全局以及用户指定（用户自定义）的配置文件。在本文中，我们将介绍如何创建一个自定义的 ssh 配置文件，并且通过特定的选项来连接到远程主机。

先决条件：

1. 你必须 在你的桌面 Linux 上安装好 OpenSSH 客户端。
2. 了解通过 ssh 进行远程连接的常用选项。

SSH 客户端配置文件

以下为 ssh 客户端配置文件：

1. /etc/ssh/ssh_config 为默认的配置文件，属于系统全局配置文件，包含应用到所有用户的 ssh 客户端的设置。
2. ~/.ssh/config 或者 $HOME/.ssh/config 为用户指定/自定义配置文件，这个文件中的配置只对指定的用户有效，因此，它会覆盖掉默认的系统全局配置文件中的设置。这也是我们要创建和使用的文件。

默认情况下，用户是通过在 ssh 中输入密码来获取验证的，你可以以一个简单的步骤来 使用 Keygen 来设置 ssh 无密码登录。

注：如果你的系统上不存在 ~/.ssh 目录，那就手动创建它，并设置如下权限：

$ mkdir -p ~/.ssh
$ chmod 0700 ~/.ssh   

以上的 chmod 命令表明，只有目录属主对该目录有读取、写入和执行权限，这也是 ssh 所要求的设置。

如何创建用户指定的 SSH 配置文件

该文件并不会被默认创建的，所以你需要使用具有读取/写入权限的用户来创建它。

$ touch ~/.ssh/config
$ chmod 0700 ~/.ssh/config

上述文件包含由特定主机定义的各个部分，并且每个部分只应用到主机定义中相匹配的部分。

~/.ssh/config 文件的常见格式如下，其中所有的空行和以 ‘#’ 开头的行为注释：

Host  host1
ssh_option1=value1
ssh_option2=value1 value2
ssh_option3=value1
Host  host2
ssh_option1=value1
ssh_option2=value1 value2
Host  *
ssh_option1=value1
ssh_option2=value1 value2

如上格式详解：

1. Host host1 为关于 host1 的头部定义，主机相关的设置就从此处开始，直到下一个头部定义 Host host2 出现，这样形成一个完整的定义。
2. host1 和 host2 是在命令行中使用的主机别名，并非实际的远程主机名。
3. 其中，如 sshoption1=value1、sshoption2=value1 value2 等配置选项将应用到相匹配的主机，可以缩进以看起来更整齐些。
4. 对于 ssh\_option2=value1 value2 这样的选项，ssh 执行时会按照顺序优先使用 value1 的值。
5. 头部定义 Host * (其中 * 为匹配模式/通配符，匹配零个或多个字符) 会匹配零个或者多个主机。

仍旧以上述的格式为例，ssh 也是也这样的形式类读取配置文件的。如果你执行 ssh 命令来访问远程主机 host1，如下：

$ ssh host1

以上 ssh 命令会进行一下动作：

1. 匹配配置文件中主机别名 host1，并使用头部定义中的各个设置项。
2. 继续匹配下一个主机定义，然后发现命令行中提供的主机名没有匹配的了，所以接下来的各个设置项会被略过。
3. 最后执行到最后一个主机定义 Host *， 这会匹配所有的主机。这里，会将接下来的所有设置选项应用到所有的主机连接中。但是它不会覆写之前已经有主机定义的那些选项。
4. ssh host2 与此类似。

如何使用用户指定的 SSH 配置文件

在你理解了 ssh 客户端配置文件的工作方式之后，你可以通过如下方式来创建它。记得使用你的服务器环境中对应的选项、值 (主机别名、端口号、用户名等)。

通过你最喜欢的编辑器来打开配置文件：

$ vi ~/.ssh/config

并定义必要的部分：

Host fedora25
HostName 192.168.56.15
Port 22
ForwardX11 no
Host centos7
HostName 192.168.56.10
Port 22
ForwardX11 no
Host ubuntu
HostName 192.168.56.5
Port 2222
ForwardX11 yes
Host *
User tecmint
IdentityFile ~/.ssh/id_rsa
Protocol 2
Compression yes
ServerAliveInterval 60
ServerAliveCountMax 20
LogLevel INFO

以上 ssh 配置文件的详细解释：

1. HostName - 定义真正要登录的主机名，此外，你也可以使用数字 IP 地址，不管是在命令行或是 HostName 定义中都允许使用其中任一种。
2. User – 指定以哪一个用户来登录。
3. Port – 设置连接远程主机的端口，默认是 22 端口。但必须是远程主机的 sshd 配置文件中定义的端口号。
4. Protocol – 这个选项定义了优先使用 ssh 支持的协议版本。常用的值为 ‘1’ 和 ‘2’，同时使用两个协议版本则必须使用英文逗号隔开。
5. IdentityFile – 指定一个用于读取用户 DSA、Ed25519、ECDSA 等授权验证信息的文件。
6. ForwardX11 – 定义 X11 连接是否自动重定向到安全通道和 DISPLAY 设置。有两个可以设置的值，即 yes 或 no。
7. Compression – 默认值为 no，如果设置为 yes，则在连接远程主机过程中使用压缩进行传输。
8. ServerAliveInterval – 设置当没有收到服务器响应 （或者数据)）时的超时时间，单位为秒，ssh 会通过加密信道发送信息，请求服务器响应。默认值为 0，这意味着 ssh 不会向服务器发送响应请求；如果定义了 BatchMode 选项，则默认是 300 秒。
9. ServerAliveCountMax – 设置服务器在没有接收到服务器的任何响应时，由服务器发送的活动信息数量。
10. LogLevel – 定义 ssh 登录信息的的日志冗余级别。允许的值为：QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2 和 DEBUG3，默认为 INFO。

连接任意远程主机的标准方法是在上述两个文件中定义第二个部分（我连接的是 CentOS 7）。一般情况下，我们这样输入命令：

$ ssh -i ~/.ssh/id_rsa -p 22 [email protected]

然而，使用了 ssh 客户端配置文件之后，我们还可以这样：

$ ssh centos7

你也可以在 man 帮助页面寻找更多的设置选项和使用实例：

$man ssh_config

至此，文毕。我们在文中向你介绍了在 Linux 中如何使用用户指定 (自定义) 的 ssh 客户端配置文件。通过下方的反馈表单来写一些与本文的相关的想法吧。

作者简介：

Aaron Kili 是一名 Linux 和 F.O.S.S 忠实拥护者、高级 Linux 系统管理员、Web 开发者，目前在 TecMint 是一名活跃的博主，热衷于计算机并有着强烈的只是分享意愿。

译者简介：

GHLandy —— 生活中所有欢乐与苦闷都应藏在心中，有些事儿注定无人知晓，自己也无从说起。

via: http://www.tecmint.com/configure-custom-ssh-connection-in-linux/

作者：Aaron Kili 译者：GHLandy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

介绍

目的

我们的目的是 Kali Linux 上安装 SSH（安全 shell）。

要求

你需要有特权访问你的 Kali Linux 安装或者 Live 系统。

困难程度

很容易！

惯例

• # - 给定命令需要以 root 用户权限运行或者使用 sudo 命令
• $ - 给定命令以常规权限用户运行

指导

安装 SSH

从终端使用 apt-get 命令安装 SSH 包：

# apt-get update
# apt-get install ssh

启用和开始使用 SSH

为了确保安全 shell 能够使用，在重启系统后使用 systemctl 命令来启用它：

# systemctl enable ssh

在当前对话执行中使用 SSH:

# service ssh start

允许 SSH Root 访问

默认情况下 SSH 不允许以 root 用户登录，因此将会出现下面的错误提示信息：

Permission denied, please try again.

为了通过 SSH 进入你的 Kali Linux 系统，你可以有两个不同的选择。第一个选择是创建一个新的非特权用户然后使用它的身份来登录。第二个选择，你可以以 root 用户访问 SSH 。为了实现这件事，需要在SSH 配置文件 /etc/ssh/sshd_config 中插入下面这些行内容或对其进行编辑：

将

#PermitRootLogin prohibit-password

改为：

PermitRootLogin yes

对 /etc/ssh/sshd_config 进行更改以后，需在以 root 用户登录 SSH 前重启 SSH 服务：

# service ssh restart

via: https://linuxconfig.org/how-to-install-ssh-secure-shell-service-on-kali-linux

作者：Lubos Rendek 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在本系列中，我们将介绍五种将黑客拒之门外的最简单的方法。

在互联网上没有什么比诱人的 Linux 机器让黑客更喜欢的了。在最近的 Linux 基金会网络研讨会中，我分享了黑客用来侵入的战术、工具和方法。

在这个系列的博文中，我们将介绍五种将黑客拒之门外的最简单的方法，并知道他们是否已经侵入。想要了解更多信息？请观看免费的网络研讨会点播。

简单的 Linux 安全提示 #1

如果你没有在使用安全 shell，你应该取使用它。

这是一个有非常非常长时间的提示了。Telnet 是不安全的。 rLogin 是不安全的。仍然有服务需要这些，但它们不应该暴露在互联网上。如果你没有 SSH ，那就关闭互联网连接。我们总是说：使用 SSH 密钥。

SSH 规则 1：不要使用密码认证。SSH 规则 2：不要使用密码认证。SSH 规则 3：不要使用密码认证。重要的事情重复三遍。

如果你有一台 Linux 机器在互联网上，不管时间长短，你总是面临暴力破解。肯定会这样的。暴力破解用的是脚本。扫描器只要看到对互联网开放的端口 22，它们就会攻击它。

你可以做的另一件事是修改 SSH 的标准端口，我们许多人都这么做。这可以防止少量的暴力攻击，但是，一般来说，不使用密码认证，你会更安全。

SSH 的第四条规则：所有密钥都要设置密码。无密码密钥根本就不是真正的密钥。我知道如果你想要自动登录或自动化一些事情，这会使得难以处理，但所有的密钥应该有密码！

我最喜欢做的就是入侵一台主机，并找到主目录与私钥。一旦我拥有了私钥，那你就玩完了。我可以闯入使用该公钥的任何地方。

如果你有口令短语，哪怕只是一个密码，它不用是你的密钥环的长密码，但是它会使我的行为更加、更加困难。

简单的 Linux 安全提示 #2

安装 Fail2ban

我说的那些暴力攻击？fail2ban 将大大有助于你。它将自动激活 iptables 规则以阻止 SSH 到你的机器的重复尝试。把它配置好，让它不会把你关在门外或者占用太多的资源。要使用它、爱它、看着它。

它有自己的日志，所以一定要查看它们，并检查它是否在实际运行。这是一件非常重要的事情。

在本系列的第 2 部分，我会给你三个更容易的安全提示，以让黑客远离你的 Linux 机器。你也可以现在观看完整的免费网络研讨会。

via: https://www.linux.com/news/webinar/2017/how-keep-hackers-out-your-linux-machine-part-1-top-two-security-tips

作者：Mike Guthrie 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在大多数情况下，Linux 系统管理员使用 SSH 登录到程 Linux 服务器时，要么是通过密码，要么是无密码 SSH 登录或基于密钥的 SSH 身份验证。

如果你想自动在 SSH 登录提示符中提供密码和用户名怎么办？这时 sshpass 就可以帮到你了。

sshpass 是一个简单、轻量级的命令行工具，通过它我们能够向命令提示符本身提供密码（非交互式密码验证），这样就可以通过 cron 调度器执行自动化的 shell 脚本进行备份。

ssh 直接使用 TTY 访问，以确保密码是用户键盘输入的。 sshpass 在专门的 tty 中运行 ssh，以误导 ssh 相信它是从用户接收到的密码。

重要：使用 sshpass 是最不安全的，因为所有系统上的用户在命令行中通过简单的 “ps” 命令就可看到密码。因此，如果必要，比如说在生产环境，我强烈建议使用 SSH 无密码身份验证。

在 Linux 中安装 sshpass

在基于 RedHat/CentOS 的系统中，首先需要启用 EPEL 仓库并使用 yum 命令安装它。

# yum install sshpass
# dnf install sshpass    [Fedora 22 及以上版本]

在 Debian/Ubuntu 和它的衍生版中，你可以使用 apt-get 命令来安装。

$ sudo apt-get install sshpass

另外，你也可以从最新的源码安装 sshpass，首先下载源码并从 tar 文件中解压出内容：

$ wget http://sourceforge.net/projects/sshpass/files/latest/download -O sshpass.tar.gz
$ tar -xvf sshpass.tar.gz
$ cd sshpass-1.06
$ ./configure
# sudo make install 

如何在 Linux 中使用 sshpass

sshpass 与 ssh 一起使用，使用下面的命令可以查看 sshpass 的使用选项的完整描述：

$ sshpass -h

下面为显示的 sshpass 帮助内容：

Usage: sshpass [-f|-d|-p|-e] [-hV] command parameters
-f filename   Take password to use from file
-d number     Use number as file descriptor for getting password
-p password   Provide password as argument (security unwise)
-e            Password is passed as env-var "SSHPASS"
With no parameters - password will be taken from stdin
-h            Show help (this screen)
-V            Print version information
At most one of -f, -d, -p or -e should be used

正如我之前提到的，sshpass 在用于脚本时才更可靠及更有用，请看下面的示例命令。

使用用户名和密码登录到远程 Linux ssh 服务器（10.42.0.1），并检查文件系统磁盘使用情况，如图所示。

$ sshpass -p 'my_pass_here' ssh [email protected] 'df -h' 

重要提示：此处，在命令行中提供了密码，这是不安全的，不建议使用此选项。

sshpass – 使用 SSH 远程登录 Linux

但是，为了防止在屏幕上显示密码，可以使用 -e 标志，并将密码作为 SSHPASS 环境变量的值输入，如下所示：

$ export SSHPASS='my_pass_here'
$ echo $SSHPASS
$ sshpass -e ssh [email protected] 'df -h' 

sshpass – 在终端中隐藏密码

注意：在上面的示例中，SSHPASS 环境变量仅用于临时目的，并将在重新启动后删除。

要永久设置 SSHPASS 环境变量，打开 /etc/profile 文件，并在文件开头输入 export 语句：

export SSHPASS='my_pass_here'

保存文件并退出，接着运行下面的命令使更改生效：

$ source /etc/profile 

另外，也可以使用 -f 标志，并把密码放在一个文件中。 这样，您可以从文件中读取密码，如下所示：

$ sshpass -f password_filename ssh [email protected] 'df -h'

sshpass – 在登录时提供密码文件

你也可以使用 sshpass 通过 scp 传输文件或者 rsync 备份/同步文件，如下所示：

------- Transfer Files Using SCP ------- 
$ scp -r /var/www/html/example.com --rsh="sshpass -p 'my_pass_here' ssh -l aaronkilik" 10.42.0.1:/var/www/html
------- Backup or Sync Files Using Rsync -------
$ rsync --rsh="sshpass -p 'my_pass_here' ssh -l aaronkilik" 10.42.0.1:/data/backup/ /backup/

更多的用法，建议阅读 sshpass 的 man 页面，输入：

$ man sshpass

在本文中，我们解释了 sshpass 是一个非交互式密码验证的简单工具。 虽然这个工具可能是有帮助的，但还是强烈建议使用更安全的 ssh 公钥认证机制。

请在下面的评论栏写下任何问题或评论，以便可以进一步讨论。

作者简介：Aaron Kili 是一位 Linux 和 F.O.S.S 爱好者，未来的 Linux 系统管理员，web 开发人员， 还是 TecMint 原创作者，热爱电脑工作，并乐于分享知识。

via: http://www.tecmint.com/sshpass-non-interactive-ssh-login-shell-script-ssh-password/

作者：Aaron Kili 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

写这篇文章的主要目的就是提供一步一步的指导，关于如何使用 SSHFS 通过 SSH 挂载远程的 Linux 文件系统或目录。

这篇文章对于那些无论出于什么目的，希望在他们本地的系统中挂载远程的文件系统的用户或者系统管理员有帮助。我们通过 Linux 系统中的一个安装了 SSHFS 客户端进行实际测试，并且成功的挂载了远程的文件系统。

在我们进一步安装之前，让我们了解一下 SSHFS 的相关内容，以及它是如何工作的。

Sshfs 挂载远程的 Linux 文件系统或者目录

什么是 SSHFS？

SSHFS（Secure SHell FileSystem）是一个客户端，可以让我们通过 SSH 文件传输协议（SFTP）挂载远程的文件系统并且在本地机器上和远程的目录和文件进行交互。

SFTP 是一种通过 SSH 协议提供文件访问、文件传输和文件管理功能的安全文件传输协议。因为 SSH 在网络中从一台电脑到另一台电脑传输文件的时候使用数据加密通道，并且 SSHFS 内置在 FUSE（用户空间的文件系统）内核模块，允许任何非特权用户在不修改内核代码的情况下创建他们自己的文件系统。

在这篇文章中，我们将会向你展示在任意 Linux 发行版上如何安装并且使用 SSHFS 客户端，在本地 Linux 机器上挂载远程的 Linux 文件系统或者目录。

步骤 1：在 Linux 系统上安装 SSHFS

默认情况下，sshfs 包不存在所有的主流 Linux 发行版中，你需要在你的 Linux 系统中启用 epel 仓库，在 Yum 命令行的帮助下安装 SSHFS 及其依赖。

# yum install sshfs
# dnf install sshfs              【在 Fedora 22+ 发行版上】
$ sudo apt-get install sshfs     【基于 Debian/Ubuntu 的系统】

步骤 2：创建 SSHFS 挂载目录

当你安装 SSHFS 包之后，你需要创建一个挂载点目录，在这儿你将要挂载你的远程文件系统。例如，我们在 /mnt/tecmint 下创建挂载目录。

# mkdir /mnt/tecmint
$ sudo mkdir /mnt/tecmint     【基于 Debian/Ubuntu 的系统】

步骤 3：使用 SSHFS 挂载远程的文件系统

当你已经创建你的挂载点目录之后，现在使用 root 用户运行下面的命令行，在 /mnt/tecmint 目录下挂载远程的文件系统。视你的情况挂载目录可以是任何目录。

下面的命令行将会在本地的 /mnt/tecmint 目录下挂载一个叫远程的一个 /home/tecmint 目录。（不要忘了使用你的 IP 地址和挂载点替换 x.x.x.x）。

# sshfs [email protected]:/home/tecmint/ /mnt/tecmint
$ sudo sshfs -o allow_other [email protected]:/home/tecmint/ /mnt/tecmint      【基于 Debian/Ubuntu 的系统】

如果你的 Linux 服务器配置为基于 SSH 密钥授权，那么你将需要使用如下所示的命令行指定你的公共密钥的路径。

# sshfs -o IdentityFile=~/.ssh/id_rsa [email protected]:/home/tecmint/ /mnt/tecmint
$ sudo sshfs -o allow_other,IdentityFile=~/.ssh/id_rsa [email protected]:/home/tecmint/ /mnt/tecmint     【基于 Debian/Ubuntu 的系统】

步骤 4：验证远程的文件系统挂载成功

如果你已经成功的运行了上面的命令并且没有任何错误，你将会看到挂载在 /mnt/tecmint 目录下的远程的文件和目录的列表

# cd /mnt/tecmint
# ls
[root@ tecmint]# ls
12345.jpg                       ffmpeg-php-0.6.0.tbz2                Linux                                           news-closeup.xsl     s3.jpg
cmslogs                         gmd-latest.sql.tar.bz2               Malware                                         newsletter1.html     sshdallow
epel-release-6-5.noarch.rpm     json-1.2.1                           movies_list.php                                 pollbeta.sql
ffmpeg-php-0.6.0                json-1.2.1.tgz                       my_next_artical_v2.php                          pollbeta.tar.bz2

步骤 5：使用 df -hT 命令检查挂载点

如果你运行 df -hT命令，你将会看到远程文件系统的挂载点。

# df -hT

样本输出：

Filesystem                          Type        Size  Used Avail Use% Mounted on
udev                                devtmpfs    730M     0  730M   0% /dev
tmpfs                               tmpfs       150M  4.9M  145M   4% /run
/dev/sda1                           ext4         31G  5.5G   24G  19% /
tmpfs                               tmpfs       749M  216K  748M   1% /dev/shm
tmpfs                               tmpfs       5.0M  4.0K  5.0M   1% /run/lock
tmpfs                               tmpfs       749M     0  749M   0% /sys/fs/cgroup
tmpfs                               tmpfs       150M   44K  150M   1% /run/user/1000
[email protected]:/home/tecmint fuse.sshfs  324G   55G  253G  18% /mnt/tecmint

步骤 6：永久挂载远程文件系统

为了永久的挂载远程的文件系统，你需要修改一个叫 /etc/fstab 的文件。照着做，使用你最喜欢的编辑器打开文件。

# vi /etc/fstab
$ sudo vi /etc/fstab     【基于 Debian/Ubuntu 的系统】         

移动到文件的底部并且添加下面的一行，保存文件并退出。下面条目表示使用默认的设置挂载远程的文件系统。

sshfs#[email protected]:/home/tecmint/ /mnt/tecmint fuse.sshfs defaults 0 0

确保服务器之间允许 SSH 无密码登录，这样系统重启之后才能自动挂载文件系统。

如果你的服务器配置为基于 SSH 密钥的认证方式，请加入如下行：

sshfs#[email protected]:/home/tecmint/ /mnt/tecmint fuse.sshfs IdentityFile=~/.ssh/id_rsa defaults 0 0

接下来，你需要更新 fstab 文件使修改生效。

# mount -a
$ sudo mount -a   【基于 Debian/Ubuntu 的系统】

步骤 7：卸载远程的文件系统

为了卸载远程的文件系统，只需要发出以下的命令即可。

# umount /mnt/tecmint

目前为止就这样了，如果你在挂载远程文件系统的时候遇到任何问题或者需要任何帮助，请通过评论联系我们，如果你感觉这篇文章非常有用，请分享给你的朋友们。

via: http://www.tecmint.com/sshfs-mount-remote-linux-filesystem-directory-using-ssh/

作者：Ravi Saive 译者：yangmingming 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出