OpenSSH 是 SSH 协议的一个实现。一般通过 scp 或 sftp 用于远程登录、备份、远程文件传输等功能。SSH能够完美保障两个网络或系统间数据传输的保密性和完整性。尽管如此，它最大的优势是使用公匙加密来进行服务器验证。时不时会出现关于 OpenSSH 零日漏洞的传言。本文将描述如何设置你的 Linux 或类 Unix 系统以提高 sshd 的安全性。 OpenSSH 默认设置 TCP

这些年来，我已经写了许多关于 DevOps 工具的文章，也培训了这方面的人员。尽管这些工具很棒，但很明显，大多数都是按照开发人员的思路设计出来的。这也没有什么问题，因为以编程的方式接近配置管理是重点。不过，直到我开始接触 Ansible，我才觉得这才是系统管理员喜欢的东西。 喜欢的一部分原因是 Ansible 与客户端计算机通信的方式，是通过 SSH 的。作为系统管理员，你们都非常熟悉通过 SSH

学习使用 Seahorse GUI 工具去管理 PGP 和 SSH 密钥。 安全即内心的平静。毕竟，安全是许多用户迁移到 Linux 的最大理由。但是为什么要止步于仅仅采用该平台，你还可以采用多种方法和技术去确保你的桌面或者服务器系统的安全。 其中一项技术涉及到密钥 —— 用在 PGP 和 SSH 中。PGP 密钥允许你去加密和解密电子邮件和文件，而 SSH 密钥允许你使用一个额外的安全层去登入服

作为一个 Linux 用户，我们常用 ssh 命令 来登入远程机器。ssh 命令你用得越多，你在键入一些重要的命令上花的时间也越多。我们可以用 定义在你的 .bashrc 文件里的别名 或函数来大幅度缩减花在命令行界面（CLI）的时间。但这不是最佳解决之道。最佳办法是在 ssh 配置文件中使用 SSH 别名 。 这里是我们能把 ssh 命令用得更好的几个例子。 ssh 登入到 AWS（译注：Ama

所有人都知道 SSH 是一种远程登录工具，然而它也有许多其他用途。 创建一个 SOCKS 代理来浏览网页（也就是翻墙啦）： ssh -D 设置 localhost: 作为你浏览器的代理 连接一个堡垒机后的 Windows RDP 主机： ssh -L ::3389 让你的 RDP 客户端连接到 localhost: 在不使用 VNC 端口的情况下，连接远程 VNC 主机： ssh -L 5901:

什么是基于 SSH 密钥的认证？ 众所周知，Secure Shell，又称 SSH，是允许你通过无安全网络（例如 Internet）和远程系统之间安全访问/通信的加密网络协议。无论何时使用 SSH 在无安全网络上发送数据，它都会在源系统上自动地被加密，并且在目的系统上解密。SSH 提供了四种加密方式，基于密码认证，基于密钥认证，基于主机认证和键盘认证。最常用的认证方式是基于密码认证和基于密钥认证。

通过 SSH 和 SFTP 协议，我们能够访问其他设备，有效而且安全的传输文件等等。 几年前，我决定配置另外一台电脑，以便我能在工作时访问它来传输我所需要的文件。要做到这一点，最基本的一步是要求你的网络提供商（ISP）提供一个固定的地址。 有一个不必要但很重要的步骤，就是保证你的这个可以访问的系统是安全的。在我的这种情况下，我计划只在工作场所访问它，所以我能够限定访问的 IP 地址。即使如此，你依

如何为你的 SSH 服务器安装三种不同的双因子身份验证方案。 如今，安全比以往更加重要，保护 SSH 服务器是作为系统管理员可以做的最为重要的事情之一。传统地，这意味着禁用密码身份验证而改用 SSH 密钥。无疑这是你首先应该做的，但这并不意味着 SSH 无法变得更加安全。 双因子身份验证就是指需要两种身份验证才能登录。可以是密码和 SSH 密钥，也可以是密钥和第三方服务，比如 Google。这意味

你是否遇到过需要 SSH 登录到远程服务器并立即 cd 到一个目录来继续交互式作业？你找对地方了！这个简短的教程描述了如何直接 SSH 登录到远程 Linux 系统的特定目录。而且不仅是 SSH 登录到特定目录，你还可以在连接到 SSH 服务器后立即运行任何命令。这些没有你想的那么难。请继续阅读。 SSH 登录到远程系统的特定目录 在我知道这个方法之前，我通常首先使用以下命令 SSH 登录到远程系

用 Ansible 自动化你的数据中心的关键点。 Ansible 是一个开源自动化工具，可以从中央控制节点统一配置服务器、安装软件或执行各种 IT 任务。它采用一对多、 无客户端 agentless 的机制，从控制节点上通过 SSH 发送指令给远端的客户机来完成任务（当然除了 SSH 外也可以用别的协议）。 Ansible 的主要使用群体是系统管理员，他们经常会周期性地执行一些安装、配置应用的工作

每天似乎都有一个安全漏洞的新闻报道，说我们的数据会因此而存在风险。尽管 SSH 是一种远程连接系统的安全方式，但你仍然可以使它更安全。本文将向你展示如何做到这一点。 此时 双因子验证 two-factor authentication （2FA）就有用武之地了。即使你禁用密码并只允许使用公钥和私钥进行 SSH 连接，但如果未经授权的用户偷窃了你的密钥，他仍然可以借此访问系统。 使用双因子验证，你不

如果你经常通过 SSH 访问许多不同的远程系统，这个技巧将为你节省一些时间。你可以通过 SSH 为频繁访问的系统创建 SSH 别名，这样你就不必记住所有不同的用户名、主机名、SSH 端口号和 IP 地址等。此外，它避免了在 SSH 到 Linux 服务器时重复输入相同的用户名、主机名、IP 地址、端口号。 在 Linux 中创建 SSH 别名 在我知道这个技巧之前，我通常使用以下任意一种方式通过

在这篇树莓派文章中，你将学到如何在树莓派中启用 SSH 以及之后如何通过 SSH 进入树莓派。 在你可以用树莓派做的所有事情中，将其作为一个家庭网络的服务器是十分流行的做法。小体积与低功耗使它成为运行轻量级服务器的完美设备。 在这种情况下你做得到的事情之一是能够每次在树莓派上无须接上显示器、键盘、鼠标以及走到放置你的树莓派的地方就可以运行指令。 你可以从其它任意电脑、笔记本、台式机甚至你的手机通过

我们有时可能需要在远程机器上运行一些命令。如果只是偶尔进行的操作，要实现这个目的，可以登录到远程系统上直接执行命令。但是每次都这么做的话，就有点烦人了。既然如此，有没有摆脱这种麻烦操作的更佳方案？ 是的，你可以从你本地系统上执行这些操作，而不用登录到远程系统上。这有什么好处吗？毫无疑问。这会为你节省很多好时光。 这是怎么实现的？SSH 允许你无需登录到远程计算机就可以在它上面运行命令。 通用语法如

你可能已经熟悉使用 ssh 命令访问远程系统。ssh 命令背后所使用的协议允许终端的输入和输出流经安全通道。但是你知道也可以使用 ssh 来安全地发送和接收其他数据吗？一种方法是使用“ 端口转发 port forwarding ”，它允许你在进行 ssh 会话时安全地连接网络端口。本文向你展示了它是如何工作的。 关于端口 标准 Linux 系统已分配了一组网络端口，范围是 0 - 65535。系统

使用一组公钥/私钥对让你不需要密码登录到远程 Linux 系统或使用 ssh 运行命令，这会非常方便，但是设置过程有点复杂。下面是帮助你的方法和脚本。 在 Linux 系统上设置一个允许你无需密码即可远程登录或运行命令的帐户并不难，但是要使它正常工作，你还需要掌握一些繁琐的细节。在本文，我们将完成整个过程，然后给出一个可以帮助处理琐碎细节的脚本。 设置好之后，如果希望在脚本中运行 ssh 命令，尤

当你需要确保长时间运行的任务不会在 SSH 会话中断时被杀死时，Linux screen 命令可以成为救生员。以下是使用方法。 如果因 SSH 会话断开而不得不重启一个耗时的进程，那么你可能会很高兴了解一个有趣的工具，可以用来避免此问题：screen 工具。 screen 是一个终端多路复用器，它使你可以在单个 SSH 会话中运行多个终端会话，并随时从它们之中脱离或重新接驳。做到这一点的过程非常简

常用开源工具的省时快捷方式。 我经常使用 SSH。我发现自己每天都要登录多个服务器和树莓派（与我位于同一房间，并接入互联网）。我有许多设备需要访问，并且获得访问权限的要求也不同，因此，除了使用各种 ssh / scp 命令选项之外，我还必须维护一个包含所有连接详细信息的配置文件。 随着时间的推移，我发现了一些省时的技巧和工具，你可能也会发现它们有用。 SSH 密钥 SSH 密钥是一种在不使用密码的

Byobu 能让你在保持会话活跃的情况下维护多个终端窗口，通过 SSH 连接、断开、重连以及共享访问。 Byobu 是基于文本的窗口管理器和终端多路复用器。它类似于 GNU Screen，但更现代、更直观。它还适用于大多数 Linux、BSD 和 Mac 发行版。 Byobu 能让你在保持会话活跃的情况下维护多个终端窗口、通过 SSH（secure shell）连接、断开、重连，甚至让其他人访问。

由于你的公司标准规定，你可能只能允许部分人访问 Linux 系统。或者你可能只能够允许几个用户组中的用户访问 Linux 系统。那么如何实现这样的要求呢？最好的方法是什么呢？如何使用一个简单的方法去实现呢？ 是的，我们会有很多种方法去实现它。但是我们应该使用简单轻松的方法。为了简单轻松的完成目的，我们可以通过对 /etc/ssh/sshd_config 文件做必要的修改来实现。在这篇文章中我们将会