最核心的远程命令执行方式是SSH,通过加密通道确保通信安全。使用ssh user@host 'command'可执行非交互式命令,结合SSH密钥认证(如ssh-keygen生成密钥、ssh-copy-id上传公钥)可大幅提升安全性。建议禁用密码登录、更改默认端口、限制允许用户,并配合Fail2Ban和防火墙规则强化防护。执行时注意环境变量、变量传递及伪终端需求,用-t或-v等选项处理交互和调试问题。
在Linux中执行远程命令,最核心、最安全的方式无疑是使用SSH(Secure Shell)。它不仅能让你在远程服务器上运行指令,还能确保整个通信过程加密,不被窃听。简单来说,就是通过一个加密的通道,把你的指令安全地送到远端机器,再把结果安全地传回来。
要在Linux中执行远程命令,基本语法非常直观:
ssh [用户名]@[远程主机IP或域名] '[要执行的命令]'
举个例子,如果你想查看远程服务器上
/var/log
user
192.168.1.100
ssh user@192.168.1.100 'ls -l /var/log'
系统会提示你输入密码(如果使用的是密码认证),或者直接执行(如果配置了密钥认证)。
如果你需要执行多条命令,可以用分号
;
&&
&&
ssh user@192.168.1.100 'cd /tmp && mkdir my_new_dir && echo "Hello" > my_new_dir/test.txt'
这会在
/tmp
my_new_dir
我个人是坚决反对还在用密码登录SSH的,那简直是给自己挖坑。密码再复杂,也架不住暴力破解和字典攻击,更别说那些被泄露的密码。SSH密钥认证才是王道,它基于非对称加密,安全性高出不止一个量级。
原理很简单:你本地有一对密钥,一个私钥(自己保管,绝不能泄露),一个公钥(可以公开)。你把公钥放到远程服务器的
~/.ssh/authorized_keys
操作步骤:
生成密钥对: 在你的本地机器上,打开终端,输入:
ssh-keygen -t rsa -b 4096
-t rsa
-b 4096
~/.ssh/
id_rsa
id_rsa.pub
上传公钥到远程服务器: 最方便的方式是使用
ssh-copy-id
ssh-copy-id user@remote_host_ip
它会自动把你的公钥添加到远程服务器的
~/.ssh/authorized_keys
ssh-copy-id
cat ~/.ssh/id_rsa.pub | ssh user@remote_host_ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys"
(注意:
cat >>
禁用密码认证(可选但强烈推荐): 在远程服务器上,编辑SSH配置文件
/etc/ssh/sshd_config
PasswordAuthentication no PermitRootLogin no # 顺便把root登录也禁了,安全第一
修改后,重启SSH服务:
sudo systemctl restart sshd # 或者 service sshd restart
重要提示: 在禁用密码认证前,请务必确保你的密钥认证已经成功配置并且可以登录,否则你可能会把自己锁在服务器外面!
除了密钥认证,对SSH服务器的配置进行一些调整,能显著提升整体安全性。这就像给你的房子多加几道锁,虽然麻烦点,但心里踏实。
更改默认端口: SSH默认使用22端口,这是所有扫描器首要攻击的目标。将其更改为一个不常用的高位端口(例如22222),可以有效减少自动化攻击的尝试。 编辑
/etc/ssh/sshd_config
Port 22222
然后重启SSH服务。记住,以后连接时需要指定新端口:
ssh -p 22222 user@remote_host_ip
限制允许登录的用户: 如果你知道只有特定用户需要SSH访问,可以明确指定允许哪些用户登录。 在
/etc/ssh/sshd_config
AllowUsers user1 user2
这样,只有
user1
user2
使用Fail2Ban等入侵防御工具: 即使你做了很多安全措施,总有人会尝试暴力破解。Fail2Ban是一个非常实用的工具,它会监控SSH日志,一旦发现某个IP地址在短时间内多次尝试登录失败,就会自动将该IP地址加入防火墙黑名单,阻止其进一步尝试。 安装和配置Fail2Ban通常很简单,在大多数发行版中都可以通过包管理器安装。
配置防火墙规则: 确保你的服务器防火墙(如
ufw
firewalld
ufw
sudo ufw allow 22222/tcp # 允许新端口 sudo ufw enable
或者更严格地限制来源IP:
sudo ufw allow from your_static_ip to any port 22222
在实际操作中,远程执行命令会遇到一些细节问题,掌握一些高级技巧能让你的工作更顺畅。
环境变量问题: 当你通过SSH执行远程命令时,远程会话的环境变量可能与你直接登录时不同。例如,
PATH
ssh user@host '/usr/local/bin/my_script.sh'
ssh user@host 'export PATH=$PATH:/usr/local/bin && my_script.sh'
传递本地变量到远程命令: 如果你想在远程命令中使用本地脚本的变量,直接在单引号内引用是行不通的,因为单引号会阻止本地变量的展开。 解决方案:
LOCAL_VAR="Hello World" ssh user@host "echo \"$LOCAL_VAR\""
here-string
here-document
LOCAL_VAR="Hello World" ssh user@host "bash -s" <<< "echo '$LOCAL_VAR' from remote"
或者对于多行脚本:
ssh user@host 'bash -s' << 'EOF' echo "This is a multi-line script." echo "The current directory is: $(pwd)" EOF
注意
EOF
'EOF'
非交互式命令与伪终端: 有些命令在没有交互式终端时会表现异常或拒绝运行。SSH默认在执行单条命令时不会分配伪终端。 解决方案: 使用
-t
ssh -t user@host 'sudo apt update'
这在需要
sudo
调试连接问题: 如果SSH连接失败,或者远程命令没有按预期执行,
ssh -v
ssh -v user@host 'ls'
输出会告诉你SSH客户端尝试了哪些认证方式,连接到了哪个IP和端口,以及其他潜在的问题。
远程命令执行和SSH安全是一个持续学习和实践的过程。没有一劳永逸的方案,但遵循这些最佳实践,能让你的远程管理工作既高效又安全。
以上就是如何在Linux中执行远程命令 Linux ssh命令安全连接指南的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
495
收藏
