轉載自http://songtl.com/2012/04/22/%E4%BB%A3%E7%A0%81%E6%B5%8B%E8%AF%95/

Linux實現SSH遠端登入

遠端登入方式有telnet和ssh兩種方式，由於telnet使用的是明文傳輸，傳輸過程中系統帳號密碼等重要資訊容易被截獲，安全性比不上SSH（secure shell），因此本文討論的是通過ssh實現遠端登入的方法。

其實很多linux版本如ubuntu已經內建了ssh-agent，這是一個遠端連線的工具，即你可以通過ssh-agent連線到別人的電腦實現遠端登入，但是如果你要想實現在其他電腦遠端登入自己的電腦，就必須安裝openssh，可以通過以下命令
ubuntu

sudo apt-get install openssh

ArchLinux

sudo pacman -S openssh

系統會自動下載並完成安裝，完成後可通過以下命令檢視ssh服務是否啟動

ps -e | grep sshd

如果沒有sshd這個程序，手動啟動
ubuntu

 sudo /etc/init.d/ssh start

ArchLinux

sudo /etc/rc.d/sshd start

ArchLinux把sshd新增到DAEMONS陣列開機啟動

DAEMONS=(syslog-ng network crond dbus alsa @openntpd sshd)
 

如果出現sshd程序，表示ssh服務已經啟動，此時不出意外你在其他電腦上就可以通過ssh連線到自己的電腦上面了。關於ssh連結的工具，windows平臺上面推薦putty軟體，這是一個非常受歡迎的軟體，使用也比較簡單。建議官方下載英文版（其實也就那幾個簡單英文單詞），前段時間漢化版putty有後門的事在網上炒得沸沸揚揚。Linux系統因為已經自帶ssh-agent所以比較方便，直接在terminal裡面輸入以下命令

ssh [email protected]

username是你的登入賬戶，ip即ip地址，當然你也可以使用域名

ssh [email protected]
 

此時系統會要求你輸入密碼進行驗證，驗證通過就能登入到遠端主機。至此，我們就完成了ssh遠端登入的安裝！但是，我們需要對ssh服務進行一些簡單的安全配置，否則日後你檢視ssh日誌檔案的時候會發現大量ip的登入失敗資訊。其實是別人通過埠掃描軟體掃描出開啟來22（ssh預設）埠的主機，然後通過窮舉法進行密碼猜解，如果你使用的是弱口令，被猜解出的機率是非常高的。

配置資訊儲存在
ubuntu

/etc/ssh/ssh.conf

Archlinux

/etc/ssh/sshd.config

我們可以通過編輯這個檔案來進行配置。當你嘗試登入別人的主機的時候你會以什麼身份登入？當然是root使用者，因為root使用者每個系統都存在。因此我們應該禁用root使用者登入,找到

PermitRootLogin yes

把yes改為no即可。

埠掃描軟體預設掃描22埠，因此我們也可以把埠改成其他埠，找到以下語句

port 22

把其中的22改成你其他埠，比如1022之類的。

限制一下最大密碼錯誤次數,3次吧，自己登入基本不會連續錯3次，密碼錯誤超過3次拒絕登入

MaxAuthTries 3

修改之後儲存退出，至於高階進階的安全配置可以參考官方文件。

重啟ssh服務
ubuntu

sudo /etc/init.d/ssh restart

ArchLinux

sudo /etc/rc.d/sshd restart

注意，修改了埠之後用CLI模式登入時需要宣告埠

ssh -p 1022 [email protected]

通過簡單的配置後你會發現來自不明ip的失敗登入明顯的減少。忘了說，ssh登入日誌儲存在這個檔案

/var/log/auth.log

在Archlinux下這個檔案的擁有者為root，群組為log，許可權為640，為了方便普通使用者檢視日誌，把使用者加入到log組(不推薦others加許可權)

sudo gpasswd -a song log

平時可以cat一下這個檔案看看登入記錄，當然有時檔案會比較長，特別是沒禁用root使用者之前，往往來自同一個ip的登入失敗次數達到數千條，如果你一行行檢視得看到什麼時候，因此我們只輸出root登入失敗的記錄(雖然禁用root登入，但有人嘗試以root身份登入時系統仍會記錄）

grep "Failed password for root" /var/log/auth.log | awk {'print $11'} | uniq -c | sort -rn

系統會列出曾經登入失敗的ip並且統計失敗次數從高到底排列，當然你也可以輸入登入成功的記錄

grep "Accepted password for " /var/log/auth.log

系統會列出曾經登入主機的記錄，包括時間、ip地址等

另外，本人使用的是Android的手機，使用的是Linux的核心，所以希望也能從手機遠端登入自己的電腦。首先，手機上安裝支援ssh連線的軟體，Cyanogenmod7版本的系統就自帶一個Terminal，簡直就是一個微型的linux終端，基本上很多基本的指令都能執行，比如：ls，cd，mount，cat，nano等等。接下來還有一個問題，我使用的是電信的ADSL，通過TP-link路由器pppoe撥號上網，每次撥號獲取的ip都不一樣，這樣是無法ssh登入的，因為你不知道下一次獲取的ip地址是多少。於是想到了windows下的花生殼客戶端，可以動態解析域名，趕緊到花生殼網站申請了一個免費域名，不過當時還沒釋出linux的客戶端（現在有原始碼安裝），隱約好像記得TP-link有動態DNS功能，登入上去果不其然，在動態DNS的服務提供者選花生殼，賬戶密碼就填花生殼網站的賬戶密碼，登入之後就會把花生殼帳號繫結的域名解析到本地，但是當你通過域名ssh連線的時候發現是連線不上的，因為撥號上網的是路由器，花生殼會把域名解析到你的路由器，而不是你的電腦，因此還要做進一步設定。在TP-link路由器設定頁面的轉發規則裡選DMZ主機，把DMZ狀態設定啟用，DMZ主機ip地址填你從路由器DHCP伺服器獲得ip，如果你的路由器比較多人上網可能每次從DHCP獲得的ip也是不一樣的，所以要把你的主機mac地址和某一個ip地址繫結，也就是把某一個ip地址保留給你的網絡卡，讓你每次獲取的都是同一個ip，把這個ip地址填到DMZ主機ip地址裡面。再用域名來ssh連線發現已經可以正常連結了。

最後放上幾張手機遠端登入主機成功後的截圖
welcome to ubuntu

熟悉的根目錄

檔案詳細資訊