Linux远程登录命令ssh使用详解-linux运维-PHP中文网

SSH是安全远程登录Linux服务器的核心工具，通过加密通信保障数据安全。使用ssh 用户名@IP命令可连接服务器，首次连接需确认服务器指纹。推荐采用SSH密钥认证：运行ssh-keygen生成密钥对，用ssh-copy-id将公钥传至服务器，实现无密码登录。为提升安全性，可修改SSH默认端口（如2222），并配置防火墙规则。通过~/.ssh/config文件可设置主机别名、端口、密钥路径等，简化连接命令。利用SSH隧道可实现端口转发：-L参数将远程服务映射到本地，-R参数将本地服务暴露到远程。常见问题如连接被拒，需检查SSH服务状态与防火墙；认证失败需核对密钥权限与配置文件；连接超时则排查网络。性能优化包括服务器端关闭UseDNS与GSSAPI认证，客户端启用压缩（-C）及连接复用（ControlMaster），显著提升响应速度。调试时使用ssh -v查看详细日志，快速定位问题。

linux远程登录命令ssh使用详解

Linux远程登录命令SSH，简单来说，就是你在本地电脑上，通过一条指令，安全地连接到远端的Linux服务器。它就像是为你的远程操作打开了一扇加密的门，所有的指令、数据传输都会经过加密处理，确保了通信的安全性。没有SSH，我们几乎无法想象如何高效、安全地管理那些部署在世界各地的服务器。

解决方案

要使用SSH登录一台远程Linux服务器，最基本的命令格式是：

ssh [用户名]@[服务器IP地址或域名]

登录后复制

举个例子，如果你的服务器IP是

192.168.1.100

登录后复制

，登录用户是

root

登录后复制

，那么命令就是：

ssh root@192.168.1.100

登录后复制

当你第一次连接一台新的服务器时，SSH会提示你验证服务器的指纹（fingerprint）。这是为了防止“中间人攻击”，确保你连接的确实是目标服务器。它会问你“Are you sure you want to continue connecting (yes/no/[fingerprint])?”，通常输入

yes

登录后复制

并回车即可。这个指纹会被记录在你的本地

~/.ssh/known_hosts

登录后复制

文件中。

接下来，系统会提示你输入该用户的密码。输入密码时，屏幕上不会显示任何字符，这是正常现象。输入完毕后按回车，如果密码正确，你就成功登录到远程服务器的命令行界面了。我第一次成功登录远程服务器时，那种感觉就像是突然拥有了掌控远方机器的能力，非常奇妙。

SSH密钥认证：告别密码，拥抱安全与便捷

我个人强烈建议，在任何实际应用场景，尤其是生产环境中，都抛弃密码认证，转而使用SSH密钥对进行认证。这不仅大大提升了安全性，还能极大简化你的登录流程。密码再复杂，也比不上密钥对的安全性，而且频繁输入长密码也确实让人头疼。

SSH密钥认证的核心思想是：你有一对密钥，一个私钥（

id_rsa

登录后复制

）保存在你本地，一个公钥（

id_rsa.pub

登录后复制

）放在远程服务器上。当你尝试连接时，服务器会用你的公钥加密一个随机字符串，发送给你。你的本地SSH客户端会尝试用私钥解密，成功后，服务器就知道你是合法的用户。这个过程是自动的，不需要你手动输入密码。

生成密钥对：

在你的本地机器上，打开终端，输入：

ssh-keygen -t rsa -b 4096

登录后复制

-t rsa

登录后复制

指定了加密算法，

-b 4096

登录后复制

则指定了密钥的长度，4096位比默认的2048位更安全。一路回车即可，也可以设置一个密码来保护你的私钥，这样即使私钥泄露，没有密码也无法使用，但每次连接都需要输入私钥密码。我通常会给私钥设置密码，多一层保障总是好的。

生成后，你的密钥对会默认存储在

~/.ssh/

登录后复制

目录下，通常是

id_rsa

登录后复制

(私钥) 和

id_rsa.pub

登录后复制

(公钥)。

将公钥上传到服务器：

最方便的方法是使用

ssh-copy-id

登录后复制

命令：

ssh-copy-id [用户名]@[服务器IP地址或域名]

登录后复制

例如：

ssh-copy-id root@192.168.1.100

登录后复制

它会提示你输入一次远程用户的密码，然后自动将你的公钥添加到服务器的

~/.ssh/authorized_keys

登录后复制

文件中。如果服务器上没有这个文件或目录，它也会帮你创建。

稿定PPT

海量PPT模版资源库

146

查看详情

如果没有

ssh-copy-id

登录后复制

命令（比如在一些精简的系统上），你也可以手动复制：

在本地查看公钥内容：
```
cat ~/.ssh/id_rsa.pub
```
登录后复制
登录到远程服务器（使用密码）：
```
ssh root@192.168.1.100
```
登录后复制
在服务器上创建
```
.ssh
```
登录后复制
目录并设置权限：
```
mkdir -p ~/.ssh
```
登录后复制
```
chmod 700 ~/.ssh
```
登录后复制
将本地复制的公钥内容粘贴到服务器的
```
~/.ssh/authorized_keys
```
登录后复制
文件中：
```
echo "你的公钥内容" >> ~/.ssh/authorized_keys
```
登录后复制
设置
```
authorized_keys
```
登录后复制
文件的权限：
```
chmod 600 ~/.ssh/authorized_keys
```
登录后复制

完成这些步骤后，你就可以直接使用

ssh root@192.168.1.100

登录后复制

无密码登录了。这种丝滑的体验，一旦用上就回不去了。

SSH配置进阶：端口修改、代理与隧道魔法

SSH的功能远不止登录那么简单，它还是一把网络工具的“瑞士军刀”。在实际工作中，我经常需要进行一些高级配置，比如修改默认端口来增加安全性，或者利用SSH隧道访问内网资源。

修改SSH默认端口：

SSH默认使用22端口。虽然改端口不能阻止有针对性的攻击，但确实能有效减少大量针对22端口的自动化扫描和暴力破解尝试，让你的日志文件清净不少。

服务器端配置： 编辑SSH服务器的配置文件
```
/etc/ssh/sshd_config
```
登录后复制
。找到
```
Port 22
```
登录后复制
这一行，将其修改为一个不常用的端口，比如
```
Port 2222
```
登录后复制
。如果这一行被注释掉了（前面有
```
#
```
登录后复制
），请取消注释。修改后，保存文件并重启SSH服务：
```
sudo systemctl restart sshd
```
登录后复制
(或
```
sudo service sshd restart
```
登录后复制
，取决于你的Linux发行版) 重要提示： 在修改端口并重启服务之前，请务必确保你的防火墙（如
```
ufw
```
登录后复制
或
```
firewalld
```
登录后复制
）已经允许新端口的流量通过，否则你可能会把自己锁在服务器外面！我曾经就犯过这个错误，那次经历让我深刻体会到“先开门再换锁”的重要性。
客户端连接： 当服务器端口修改后，你需要在客户端指定新端口进行连接：
```
ssh -p 2222 root@192.168.1.100
```
登录后复制

SSH客户端配置文件

~/.ssh/config

登录后复制

：

为了方便管理多个服务器连接，或者为特定服务器设置复杂的SSH参数，你可以编辑本地的

~/.ssh/config

登录后复制

文件。这个文件可以让你为不同的主机定义别名、指定用户、端口、密钥文件等，极大地简化了命令行输入。

一个典型的

~/.ssh/config

登录后复制

文件可能看起来像这样：

Host my_server_prod
    Hostname 192.168.1.100
    User root
    Port 2222
    IdentityFile ~/.ssh/id_rsa_prod

Host dev_box
    Hostname dev.example.com
    User admin
    Port 22
    IdentityFile ~/.ssh/id_rsa_dev
    # 启用连接复用，加快后续连接速度
    ControlMaster auto
    ControlPath ~/.ssh/control:%h:%p:%r
    ControlPersist 600s

登录后复制

有了这个配置，你只需要输入

ssh my_server_prod

登录后复制

就可以连接到

192.168.1.100

登录后复制

的

登录后复制

端口，使用

root

登录后复制

用户和指定的密钥文件，省去了记忆和输入大量参数的麻烦。

SSH隧道（端口转发）：

SSH隧道是SSH最强大的功能之一。它允许你通过一个加密的SSH连接，将本地端口的流量转发到远程服务器的某个端口，或者反过来。

本地端口转发 (
```
-L
```
登录后复制
)：将远程服务器上的服务映射到你本地的某个端口。这在访问内网服务时非常有用。例如，远程服务器
```
192.168.1.100
```
登录后复制
上运行着一个MySQL数据库，监听在
```
127.0.0.1:3306
```
登录后复制
，你希望在本地访问它：
```
ssh -L 3307:127.0.0.1:3306 root@192.168.1.100
```
登录后复制
现在，你可以在本地通过
```
127.0.0.1:3307
```
登录后复制
访问到远程服务器的MySQL服务了。我经常用它来连接内网的数据库，或者测试一些只有服务器才能访问的API。
远程端口转发 (
```
-R
```
登录后复制
)：将本地的服务映射到远程服务器的某个端口，使得远程服务器能够访问你本地的服务。这在需要将本地Web服务暴露给外部访问时非常方便（通常需要远程服务器允许
```
GatewayPorts yes
```
登录后复制
）。例如，你本地有一个Web服务运行在
```
127.0.0.1:8000
```
登录后复制
，想让远程服务器上的其他人通过
```
192.168.1.100:8080
```
登录后复制
访问：
```
ssh -R 8080:127.0.0.1:8000 root@192.168.1.100
```
登录后复制
这需要远程服务器的
```
/etc/ssh/sshd_config
```
登录后复制
中设置
```
GatewayPorts yes
```
登录后复制
并重启
```
sshd
```
登录后复制
服务。

SSH常见问题与性能优化：从卡顿到流畅

在使用SSH的过程中，我们总会遇到一些小问题，或者觉得连接不够流畅。这些问题大多有迹可循，并且通常可以通过一些配置来优化。

常见连接问题及排查：

```
ssh: connect to host ... port 22: Connection refused
```
登录后复制
：这通常意味着远程服务器的SSH服务没有运行，或者防火墙阻止了连接，或者你尝试连接的端口不正确。 排查： 检查服务器SSH服务状态 (
```
sudo systemctl status sshd
```
登录后复制
)，检查服务器防火墙规则 (
```
sudo ufw status
```
登录后复制
或
```
sudo firewall-cmd --list-all
```
登录后复制
)，确认IP地址和端口是否正确。
```
Permission denied (publickey,password)
```
登录后复制
：这表示认证失败。可能是密码错误，或者密钥认证配置有问题。 排查： 如果是密码，请仔细检查。如果是密钥认证，确认：
1. 本地私钥 (
```
~/.ssh/id_rsa
```
  登录后复制
  ) 权限是否为
```
600
```
  登录后复制
  (
```
chmod 600 ~/.ssh/id_rsa
```
  登录后复制
  )。
2. 远程服务器
```
~/.ssh
```
  登录后复制
  目录权限是否为
```
700
```
  登录后复制
  ，
```
~/.ssh/authorized_keys
```
  登录后复制
  文件权限是否为
```
600
```
  登录后复制
  。
3. ```
authorized_keys
```
  登录后复制
  文件中是否包含正确的公钥。
4. 远程服务器的
```
/etc/ssh/sshd_config
```
  登录后复制
  中是否允许
```
PubkeyAuthentication yes
```
  登录后复制
  。
连接超时 (
```
ssh: connect to host ... port 22: Operation timed out
```
登录后复制
)：通常是网络问题，或者服务器防火墙完全阻止了SSH端口的连接。 排查： 检查网络连通性 (
```
ping
```
登录后复制
服务器IP)，检查服务器防火墙。

SSH连接性能优化：

我遇到过几次SSH连接突然变得非常卡顿的情况，尤其是在网络条件不佳时，每次敲命令都有明显的延迟。以下是一些常用的优化方法：

禁用DNS反向解析 (
```
UseDNS no
```
登录后复制
)：在服务器的
```
/etc/ssh/sshd_config
```
登录后复制
中添加或修改
```
UseDNS no
```
登录后复制
。SSH服务器在接收到连接时，默认会尝试对客户端IP进行DNS反向解析，这在DNS解析慢或不可用时会导致登录延迟。修改后重启
```
sshd
```
登录后复制
服务。
禁用GSSAPI认证 (
```
GSSAPIAuthentication no
```
登录后复制
)：同样在服务器的
```
/etc/ssh/sshd_config
```
登录后复制
中添加或修改
```
GSSAPIAuthentication no
```
登录后复制
。GSSAPI认证在大多数个人使用场景中并不需要，禁用它可以避免不必要的认证尝试和延迟。修改后重启
```
sshd
```
登录后复制
服务。
启用压缩 (
```
Compression yes
```
登录后复制
)：在客户端连接时，可以使用
```
-C
```
登录后复制
参数或在
```
~/.ssh/config
```
登录后复制
中设置
```
Compression yes
```
登录后复制
。这会在SSH连接上传输数据时进行压缩，对于网络带宽较差的环境有明显改善，但会增加CPU开销。
```
ssh -C root@192.168.1.100
```
登录后复制
连接复用 (
```
ControlMaster
```
登录后复制
,
ControlPath
登录后复制
,
ControlPersist
登录后复制
)：这是我最喜欢的一个优化技巧。当你频繁地对同一台服务器进行SSH操作（比如同时打开多个终端窗口，或者运行
```
scp
```
登录后复制
、
```
sftp
```
登录后复制
命令）时，每次都建立新的SSH连接会消耗时间。通过在
```
~/.ssh/config
```
登录后复制
中配置连接复用，可以重用第一个SSH连接，后续连接会瞬间建立。
```
Host *
    ControlMaster auto
    ControlPath ~/.ssh/control:%h:%p:%r
    ControlPersist 600s # 第一个连接关闭后，保持主连接600秒
```
登录后复制
这个配置会让SSH在连接到任何主机时，都尝试建立一个可复用的主连接。当你在600秒内再次连接同一台主机时，它会直接复用已有的连接，速度飞快。