- 最簡單的使用,登錄 SSH 主機
- 中文亂碼的處理
- PuTTY 常用配置的說明
- 複製、粘貼
- 保存會話
- 註銷
- 自動登錄用戶名
- 自動設置環境變量
- 設置代理服務器
- 自動執行命令
- 備份、刪除 PuTTY 的設置
- PuTTY 的 X11 轉發
- 如何用 PuTTY 建立 SSH 隧道
- 如何用 PuTTY 建立反向的 SSH 隧道,像個特洛伊木馬一樣突破防火牆
- 把 PuTTY 作爲一個安全的代理服務器
- 安全的上網不被嗅探
- 避免 MSN 等聊天工具被監聽
- 安全的上網不被嗅探
- 怎樣用 PSCP、PSFTP 安全的傳輸文件
- 功能強大的 SFTP 客戶端 WinSCP
- 功能強大的 SFTP 客戶端 WinSCP
- 用 PuTTYgen 生成密鑰,登錄 SSH 主機不再需要口令
- Pagent 代理密鑰,每次開機只需要輸入一次密鑰口令
- Plink 簡單而又迅速的執行 SSH 主機上的程序
- 常見問題
除了上面的這些,還夾雜了一些 PuTTY 使用上的技巧、服務器配置的一些安全建議。說起來這是一些有關 PuTTY 的使用教程,其實也就是 SSH 的參考教程,絕大多數的內容在其他系統或軟件上也都是一樣的。不同的是參數、配置、命令行之類的,只要會了一個,其他也就觸類旁通了。
一些基本知識
簡介
PuTTY 的官方網站:[url]http://www.chiark.greenend.org.uk/~sgtatham/putty/[/url],截止到 2006年11月,發佈的最高穩定版本是 0.58 2007年6月,發佈的最高穩定版本是 0.6。
PuTTY 是一個跨平臺的遠程登錄工具,包含了一組程序,包括:
- PuTTY (Telnet 和 SSH 客戶端)
- PSCP (SCP 客戶端, 命令行下通過 SSH 拷貝文件,類似於 Unix/Linux 下的 scp 命令)
- PSFTP (SFTP 的命令行客戶端,類似於 FTP 的文件傳輸,只不過使用的是 SSH 的 22 端口,而非 FTP 的 21 端口,類似於 Unix/Linux 下的 sftp 命令)
- PuTTYtel (僅僅是一個 Telnet 客戶端)
- Plink (命令行工具,執行遠程服務器上的命令)
- Pageant (PuTTY、PSCP、Plink 的 SSH 認證代理,用這個可以不用每次都輸入口令了)
- PuTTYgen (用來生成 RSA 和 DSA 密鑰的工具).
雖然包含了這麼多,但平時經常見到只是用 PuTTY 登錄服務器,完全沒有發揮出 PuTTY 的強大功能。
PuTTY 作爲一個組件也存在於很多的軟件中,比如 FileZilla、WinSCP
在後面的文字中,如非特別說明,默認的登錄的協議是 SSH。畢竟用 PuTTY 主要就是登錄 SSH 主機,用 Telnet、RLogin 沒法體現出 PuTTY 的強大功能。
安裝
下載頁面在這裏:[url]http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html[/url]
PuTTY 需要安裝麼?需要麼?需要麼?真的需要麼?不需要。PuTTY 是一個準綠色軟件,說它綠色是因爲直接就能使用,完全沒有任何的安裝程序。準綠色是指 PuTTY 的所有配置都保存到了註冊表,如果不記得備份註冊表中的相關內容,下次重裝機器所有配置就沒了,而且配置也不方便用閃存盤隨身攜帶。但是 PuTTY 的配置刪除還是蠻方便的,運行時指定個參數 -cleanup 就可以清除 PuTTY 的所有配置信息。
第一印象,開始登錄一臺遠程主機
運行 PuTTY 就可以看到下面這個界面
在這裏輸入服務器的 IP 或主機名,選擇好登錄協議,還有協議的端口,如果希望把這次的輸入保存起來,以後就不需要再重新輸入了,就在第4步輸入好會話保存的名稱,比如:mail-server,或者乾脆就是主機的地址,點擊保存就可以了。
最後點下面的 Open 按鈕,輸入正確的用戶名和口令,就可以登錄服務器了。
首次登錄一臺主機時
第一次登錄時,會看到這個對話框
這是要告訴你登錄的主機密鑰指紋,點 Yes 就保存起來,以後就不會再彈出這個窗口,然後就正常登錄。點 No 不保存,下次還是要提示你,然後也可以正常登錄。如果一臺主機我們只是臨時登錄一下,當然就是點 No 了。Cancel 就是取消,也就是取消了這次登錄。
如果你曾經登錄過這臺主機,但是又彈出來這個對話框,可能有以下幾種情形:
- 主機重新安裝了操作系統
- 這臺主機可能有多個IP,這次用的是另外一個 IP
- 有其他不懷好意的主機來冒充,誘騙我們登錄,竊取隱祕信息
前兩個情形很常見,一般點 Yes 就行了。後面這個嘛……唔……唔……,點 No/Cancel,再去詢問相關的主機管理人員。
又看到了中文亂碼
成功登錄主機後,輸入命令,這……這……顯示,又是亂碼。唉,中文亂碼是一個老生常談的問題,提起來就頭大。原因嘛,不外乎字符集、終端編碼之類的,還是可以解決的。
PuTTY 的默認字體和字符集並不適合中文顯示, 在窗口標題上點擊右鍵,選擇 Change Settings...
在打開的配置窗口左邊選擇 Appearance,在右邊點 Font settings 裏面的 Change 按鈕,選擇好中文字體,比如:宋體、新宋體之類的
字體選擇好了,還要確定字符集。
選擇配置窗口左邊的 Translation,在右邊的 Received data assumed to be in which character set 下拉列表中選擇最後一個“Use font encoding”,最後點下面的 Apply 按鈕就生效了。
重新執行命令 ls -l,就可以正常看到中文了
怎麼還是亂碼?
如果還是亂碼的話,就執行以下命令,看看系統的字符集
echo $LANG $LANGUAGE
哦,原來系統的字符集是 UTF-8 呀。重新返回上面選擇字符集的那一步, 選擇配置窗口左邊的 Translation,在右邊的 Received data assumed to be in which character set 下拉列表中選擇“UTF-8”
這下99%的情形下,漢字是不會有亂碼了。最後,總之一下 PuTTY 中亂碼的解決辦法:
先看看系統的字符集,如果是 UTF-8 的,那就簡單了,選擇好中文字體,然後編碼選擇 UTF-8 就行了。
如果編碼是 GB2312、GBK、GB18030,當然也包括 BIG5這些,在 PuTTY 的編碼選擇中看不到這些編碼,那就選擇最後一個“Use font encoding”,絕大部分情況下這樣就沒啥問題了,反正我是沒碰到有什麼例外的情況。
現在的 Linux 如果默認語言選擇爲中文,默認的編碼就是 UTF-8 了。以前安裝 Redhat AS 3 時,語言選擇爲中文,默認的編碼是 zh_CN.gb2312, zh_CN.gb18030,好像從 AS 3 update 6 開始,包括現在的 AS4、AS5,中文的默認編碼都成了 zh_CN.utf8。至於 Debian、Ubuntu 等等這些上面,好像一直都是 UTF-8。
至於是使用 UTF-8呢,還是用 GB2312、GBK 或者 GB18030呢?我個人還是傾向於 UTF-8。畢竟我們使用的大多數軟件都是國外的,處理中文編碼多多少少有些問題,PuTTY 自然也不例外。
下面的這個圖上,我把終端編碼修改爲 zh_CN.utf8,然後也按照前面的所說的方法把 PuTTY 的字符集修改爲 UTF-8。然後在終端中輸入漢字“柴鋒”,按左方向鍵,可以看到漢字顯示很正常。
我重新把終端的編碼修改爲 zh_CN.gb2312,同樣的,把 PuTTY 的字符集修改爲最後一個“Use font encoding”。還是在終端上輸入漢字“柴鋒”,按下左方向鍵以後,會看到漢字亂碼了。
至於用哪個編碼,主要還是看領導的決定了,我們的領導就喜歡 GBK,連 GB18030 都不行。以前在用 Debian 的時候,好像默認都不支持 GBK 編碼。這幾年公司的開發在漢字編碼問題上出過幾次麻煩,還不就是在 ISO8859-1, GB2312/GBK/GB18030和UTF-8上折騰來折騰去。
給大家看一張 emacs 的截圖,看看上面的這麼多語言的文字共同顯示,這個會是用 GB2312/GBK/GB18030 的編碼麼?
用 UTF-8 也不是爲了要在一個屏幕上顯示好幾種不認識的文字,也不一定非要是跟國際接軌弄個外包給老外開發程序做個其他語言的界面讓老外用,起碼不要在那麼多編碼裏折騰了,頂多兩個 ISO8859-1 和 UTF-8。發發牢騷,下面繼續……
在 PuTTY 裏面怎樣選中,複製和粘貼?
在 PuTTY 的窗口裏面複製、粘貼可不能用 Windows 裏的這些 Ctrl+C, Ctrl+Ins, Ctrl+V 這些快捷鍵,Ctrl+C 在控制檯上可是終止當前的命令執行。
PuTTY 的選擇、複製、粘貼這些操作都是通過鼠標來完成的。
在 Window-〉Selection 這裏可以設置複製和粘貼的方式。
默認的 Action of mouse buttons (鼠標按鍵的功能)的選項是 Compromise,這種方式下選中有兩種方式,一是直接用鼠標左鍵拖拉選中就可以了,二是用鼠標中鍵單擊選中區域的開頭,用滾動條拖拉到期望選中區域的末尾,再用鼠標中鍵單擊,就可以選中了。
選中以後,單擊鼠標左鍵就把選中部分複製到剪貼板了。粘貼也很簡單,單擊鼠標右鍵。
Action of mouse buttons 的第一個選項是 Windows (Windows 方式的),鼠標中鍵的操作跟前面提到的一樣。右鍵不是粘貼了,而是打開了右鍵菜單。
其實這個右鍵菜單在標題欄上點擊,也都可以看得到。
第三個選項是 xterm (xterm 方式),這個跟默認的 Compromise 方式相反的,中鍵和右鍵的操作調換了一下,就不多說了。
下面那個 Shift overrides application's use of mouse 是和 Shift 鍵有關的。有些 Rogue Like 的程序,比如 mc、links、Lynx、VIM 等等,都支持鼠標操作,想在用鼠標在上面選擇或粘貼就不行了。這個選項默認是選中的,在支持鼠標操作的 Rogue Like 界面下,按住 Shift 鍵,就可以像前面的那樣用鼠標來選擇、複製、粘貼了。
看下面的這個圖片,用 Links 打開了 Google 的首頁,用鼠標去選中 頂部中間的 Google,我們會發現,彈出了保存的對話框。
按住 Shift 鍵重新操作一次,哈哈,這次選中了。
在 Control use of mouse 裏面還有個 Default selection mode (默認的選擇模式),默認是 Normal,就像文字處理工具裏這樣的選擇
另外一個是 Rectangular block(塊選擇方式),至於用哪種方式就看自己的選擇了。
實時保存會話
這次更改配置參數了,關閉窗口後,下次使用還是要重新選擇的,麻煩。
還是回到上面修改配置的哪個地方,選擇左邊的 Session,在右邊選擇要覆蓋的會話名稱,或者重新輸入一個新的名稱,點擊 Save 按鈕保存。
關於註銷登錄的一些事情
成功登錄主機後,也能正常看到中文了。這樣,我們就可以完成大部分的工作。最後要關閉窗口了,該怎麼辦呢?我見過很多人,包括我們公司負責專職維護的同事,都是直接點擊窗口上的關閉按鈕,完全沒有理會彈出警告窗口,直接點擊了 Yes。
這樣做是不對的,首先這不是正確的註銷方式,應該輸入命令 exit 來正常註銷;其次直接關閉窗口後,你的登錄其實還在服務器上,如果一連多次的這樣強制關閉窗口,用命令 w 或者 who 命令查看時,可以看到很多的用戶還在系統上登錄,佔用了系統的資源。最重要的是,你的這次登錄可能只是爲了啓動一下 WebLogic 或者其他什麼應用服務器,直接關閉窗口後,可能會導致你的業務在隨後的幾分鐘內也被終止,這應該不是你所希望看到的吧。
如果上述的理由是每次要輸入 exit 然後回車,比較麻煩。你可以用快捷鍵 Ctrl+d 來註銷登錄,一般情況下,快捷鍵一按窗口都直接關閉了,還省了兩次鼠標點擊。
在前面說道保存會話時,大家或許也注意到,下面有個 Close window on exit 有三個選項:
- Always (不管怎樣,窗口總是要關閉的)
- Never (無論是否有程序還在運行,都不要關閉窗口)
- Only on clear exit (這個是默認選中的,只有在本次登錄中運行的程序都正常終止或者在後臺運行,窗口才關閉)
有的程序在執行時,雖然在命令最後面加上 “&”就能放到後臺運行。但是正常註銷登錄後,窗口沒有被自動關閉,還能看到程序的輸出,這時強制關閉窗口還是可以的。爲了避免這種情形,可以使用 nohup 命令。
用法嘛就是: nohup 命令 命令參數,這樣就可以了。
窗口保存的輸出有點少,前面的都看不到了
執行了一個命令,輸出了好多東西,但是默認的配置下,PuTTY只保存了最後200行的內容,滿足不了我們的需求。
還是在標題欄上點右鍵選擇 Change settings...,在配置窗口的左邊選擇 Window,修改右邊的 Lines of scrollback,改大點,比如 20000、80000的
在上面的 Set the size of the window 裏設置的是窗口顯示的行數和列數,默認是 24 行、80 列,根據自己的需要來修改吧。
When window is resized 這個選項配置的是,當窗口大小發生改變時該採取什麼動作。
- Change the number of rows and columns(這個是默認的,改變窗口大小時,自動修改行數和列數)
- Change the size of the font(這個是根據窗口的大小來修改字體的大小,窗口最大化的時候,字都是很大的)
- Change font size only when maximised(只有在窗口最大化的時候才改變字體大小)
- Forbid resizing completely(完全禁止改變窗口大小,一了百了)
在現代的 Unix/Linux 主機上,默認選項已經不存在任何問題了。如果是 Solaris 8 這樣的老式 Unix 上最好用第2或第4個選項。
第3個選項嘛,要求你的屏幕不是寬屏的,選中這個選項以後,大家可以先把窗口往窄的縮一下,然後最大化窗口,哈哈,滿足一下不是寬屏的虛榮心。
順便說一下,在 PuTTY 中的前後翻頁,與 Linux 終端一樣,用 Shift+PageUp/PageDown 來上下翻頁,而 Ctrl+PageUp/PageDown 則是一行一行的。
新建一個會話時,還有些東西再囉嗦一下
前面把如何用 PuTTY 登錄一臺主機到註銷的過程聊了一遍,但是在新建會話時還是有些東西需要再囉嗦一下的。
保持連接,不要自動斷開
在 Connection 裏面有個 Seconds between keepaliaves,這裏就是每間隔指定的秒數,就給服務器發送一個空的數據包,來保持連接。以免登錄的主機那邊在長時間沒接到數據後,會自動斷開 SSH 的連接。
默認輸入 0 是禁用保持連接,在這裏我習慣的設置了 10。
下面的那兩個複選框都保持默認選中吧。
自動登錄用戶
在 Connection-〉Data 裏面有個 Auto-login username,可以指定默認的登錄用戶。如果每次登錄主機都是用同一個用戶,不妨在這裏設置一下。SSH、Telnet、Rlogin 這三種協議都支持,但不是所有的 Telnet 服務器支持自動登錄用戶
自動設置環境變量
還是前面的那個界面,下面有個 Environment variables,在 Variable 輸入環境變量的名稱,Value裏設置上環境變量的值,登錄主機後就會自動設置上,但是這個不一定能用,有些主機爲了安全,可能會禁用這個特性,一旦登錄就會收到這樣一個錯誤提示:
Server refused to set environment variables
設置代理服務器
這個經常用到,設置方法大同小異,注意選擇好 Proxy type(代理服務器的類型)就可以了。
代理服務器的地址填寫到 Proxy hostname 這裏,Port 就是代理服務的端口(HTTP代理常用端口有 3128、8080,Socks5代理常用端口有 1080)
Exclude Hosts/IPs 這裏是填寫排除的主機地址和IP,有些地址不需要代理,就在這裏填寫。
有些代理需要認證,用戶名填寫到 Username,密碼則填寫到下面的 Password。
自動執行一個命令
在 Connection-〉SSH 裏有個 Remote command,在這裏面填寫上遠程服務器上的某個命令,比如:df,登錄後就會自動執行。
我們在 Unix 上用 ssh 登錄主機時用的命令 ssh,在 ssh 的最後面加上遠程主機上的命令,就跟這個一樣。
但是……,先彆着急,一旦設置上這個選項,你會發現在登錄成功後,窗口一下就關閉了,嘿,怎麼啦?什麼也沒看見。
因爲命令執行完畢的同時,本次 SSH 登錄連接也隨之關閉。
你可以把遠程自動執行的命令修改成 sleep 10,然後重新登錄,再看看效果。
登錄成功後,沒有出現命令提示符,10秒鐘後,窗口自動關閉。這也驗證了剛纔我說的,命令執行完畢後,SSH 連接自動斷開。
冰雪聰明的你一定會想到,如果每次登錄主機,都是要重新啓動一下 tomcat,那這裏就可以填寫上這樣的命令:
export CATALINA_HOME="~/apache-tomcat-5.5.17";export JAVA_HOME="~/jdk1.5.0_07";export PATH=$JAVA_HOME/bin;$PATH ; cd $CATALINA_HOME/bin;./shutdown.sh;./startup.sh;tail -f $CATALINA_HOME/logs/catalina.out
(上面的命令是一行的哦)
先自動設置一下環境變量(前面有提到,服務器可能會禁用自動設置環境變量,爲了保險起見,在這裏設置了一下),然後進入 tomcat 的 bin 目錄,用 shutdown.sh 停止 tomcat,然後再 startup.sh 啓動 tomcat,最後 tail 命令持續觀察 tomcat 的日誌輸出,不想看了,就直接 Ctrl+C 就可以終止 SSH 的會話了。
哈哈,是不是很方便?
不過前面提到的命令 sleep 10,只是建立了 SSH 連接,然後 10 秒鐘後自動斷開。是不是覺得很無聊沒什麼用途啊?其實這個命令配合後面提到的 Tunnels(隧道),可以自動保持隧道一定時間的開放,如果指定時間內(在這裏就是 10 秒鐘)隧道沒有被使用,就自動關閉 SSH 連接和隧道。
如果選中了 Don't start a shell or command at all 就禁用了自動執行命令這一個特性,這個主要是配合 Tunnels (隧道)來使用的。因爲有時候,我們只需要利用隧道建立一個 VPN,而並不需要登錄上去執行命令。用這個方法建立好隧道以後,就一直開放了,除非自己手工關閉。
嗯,還有個問題哦,如果一次要執行的命令很多,該怎麼辦呢?嗯,給 PuTTY 用 -m 選項指定一個包含遠程主機上執行的命令的文本文件。不過以後還會說到 Plink,就是專門做這個用的,慢慢來慢慢來。
數據自動壓縮傳輸,變相的提高傳輸速率
還是前面的那個界面,Protocol options 裏面有個 Enable compression,這個選項的意思就是傳輸時壓縮數據,在連接速度不變的情況下,變相的提高了傳輸速率。一般的 SSH 服務器都會允許這個選項的,所以還是選中好了。
無需口令登錄
在 Connection-〉SSH-〉Auth 這裏面有兩個需要了解的,以後在講到 PuTTYGEN 和 Pagent 時會詳細介紹的。
一個是 Allow agent forwarding,作用是允許私鑰代理的轉發。
另外一個是最下面的 Private key file for authentication,選擇私鑰認證文件。
這兩個可以讓你用 SSH 登錄不用輸入主機口令,但是私鑰的口令還是需要輸入的,如果使用了私鑰代理 Pagent ,私鑰口令也可以省略。再配合前面提到的自動指定用戶名登錄,可以實現自動登錄主機。登錄到主機上以後,用 SSH 登錄另外一個同樣配置了相同的私鑰認證的主機,也可以不用再次輸入口令。
這些可以大大減輕了我們的重複工作,不用單調枯燥的輸入用戶名和口令,但是這樣使用有個後遺症就是如果主機密碼沒有在另外一個地方記錄下來的話,這個密碼很快會忘記的,好處嘛,密碼可以設置的很長很變態 XD。
X11 轉發能夠讓你在 Windows 上使用 Linux 的程序
這裏很簡單,選中 Enable X11 forwarding 後登錄主機,記得在我們本地運行 X 服務端程序(比如:免費好用的 Xming)。
然後在控制檯直接輸入 X 環境下運行的程序,比如:xlogo,我們就可以看到 Linux 上的GUI界面的程序在Windows桌面上打開了。
運行個複雜的,比如 gnome-session,這個是 GNOME 的啓動命令,如果想打開 KDE 就是 startkde
這樣跟在本地使用 X Window 幾乎是一樣的了,而且還是運行在 Windows 的桌面上呢,騙騙小 mm 還是不錯的。或許你會問這樣用跟 vnc 那還不一樣了?答案是,不一樣。如果網絡環境不好,還是用vnc吧,否則遲鈍的圖形響應速度會讓你抓狂的。
打開了 GNOME 桌面,怎麼關閉呢?點菜單的註銷吧。如果你點了關機,這可關不了你的Windows,關的是遠程主機。
用 SSH Tunnels(SSH 隧道),突破防火牆
哇哦,突破防火牆!是不是忽然有了做黑客的感覺呢?呀!子彈,我躲——,身子往後仰,繼續閃……,噢,肚皮被子彈蹭了一下。
簡單的說一下,SSH 協議能夠通過已經建立好的 SSH 加密鏈路來轉發任意的網絡連接,從而避免了網絡中的明文傳輸,也就無法用一些 Sniffer 工具嗅探到我們的隱祕信息了。
先說一下大致的使用過程,登錄到主機上以後,就可以建立好一個 SSH 隧道,這時在你的機器本地會開放一個端口,通過本地的這個端口訪問,就相當於在主機上去直接訪問。很像代理服務器吧,如果隧道另一端的端口是動態的,SSH 隧道就是一個代理了,SSH 隧道的意思大致就是這個。通過 SSH 隧道,我們可以保證從我們這一段到主機那一端是安全的,不會被監聽到。
說了這麼多,實際演練演練就知道了。在 PuTTY 的 Connection-〉SSH-〉Tunnels 這裏就是配置 SSH 隧道的。
Add new forwarded port 這裏就是添加隧道轉發端口的,其中 Source port 是隧道的源端口,也就是隧道的入口,連接隧道時要連接這個端口。Destination 這裏是目的地,隧道的出口,輸入的格式是: server:port。
還要說明的一點是 SSH 隧道是有方向的,這個方向是由下面的單選按鈕 Local/Remote/Dynamic 來決定的。如果下面的單選按鈕選中的是 Local,那麼 Destination 這裏填寫的目標是相對於遠程主機而言,而非你的機器。這樣的隧道可以稱之爲正向隧道,隧道的入口是在你的本地,出口在遠程主機那一端。如果單選按鈕選中的是 Remote,那麼目標地址就是相對與你的機器而言,而非遠程主機。這樣的隧道稱之爲反向隧道,隧道的入口是遠程主機那一端,隧道的出口則是你的本地機器。這與 Local 選項是相反的。而最後一個 Dynamic 則不用指明 Destination 目標地址,也就是說目標地址是動態的了,連入隧道時可以隨意指定目標地址,而不像 Local/Remote 指明的固定目標地址,所以這樣的隧道就成了變相的加密 socks5 代理服務器了。
看明白了麼?是不是會有些糊塗?後面我會舉個例子來詳細說說的。
開始演練,我們現在建立一條到遠程主機 guantouping 上端口 7001 的隧道,在 guantouping 上可以用 nc -l -p 7001 localhost 這條命令建立一個監聽本地到端口 7001 的連接,這樣確保無法從其他機器訪問這臺主機的端口,只能在 guantouping 這臺主機上用 telnet localhost 7001 來連接。現在我的機器 IP 是 192.168.6.25,如果直接用命令 telnet guantouping 7001 訪問的話,那麼在主機 guantouping 上會看到這樣的提示:
[taylor@guantouping taylor]$ nc -l -p 7001 localhost
invalid connection to [192.168.6.200] from (UNKNOWN) [192.168.6.25] 1926
在這個配置面板上, Source port 上填寫 8080,也就是我們要通過本地的 8080 端口來進入 SSH 隧道, Destination 這裏填上 127.0.0.1:7001,就表示被登錄的主機 guantouping 訪問該主機本地的 127.0.0.1:7001 這個端口。正常登錄到主機 guantouping 以後,SSH 隧道就建立好了。在我的機器 192.168.6.25 上輸入命令 telnet localhost 8080,輸入一些東西,就會在 guantouping 上看到有響應。在這裏我用的是 nc,看起來方便一點,telnet 也是一樣的。
這就是正向 SSH 隧道的一個例子,大家實地操作幾次也就會明白了。最上面有個複選框是“Local ports accept connections from other hosts”,這個選項的作用是允許其他主機連接你機器上的隧道入口,默認情況下建立好隧道以後,只允許本地鏈接。只有選中這個複選框才允許其他主機連接你的本地隧道入口。
象特洛伊木馬一樣建立一條 SSH 反向隧道
下面要說的就是選中單選按鈕 Remote 後建立的反向 SSH 隧道,這樣的隧道做什麼用呢?一般防火牆都是允許從內往外鏈接,而不允許從外到內的鏈接,除非在防火牆上做好nat或端口轉發。現在,你在防火牆的內部,但是又想讓外面的人鏈接到你的機器上。防火牆厚厚的城門緊閉,外面的人進不來,只有你能從裏面打開這扇防護嚴密的大門,就像一個特洛伊木馬一樣,你主動連接出去建立一個反向的 SSH 隧道,然後外面的人就可以通過這個反向的 SSH 隧道輕鬆突破防火牆鏈接到的你的本地機器。看下面這個圖:
在 Source port 這裏填寫 8080,也就是隧道的入口是端口8080,Destination 這裏填寫 localhost:7001,也就是隧道的出口是本地的 7001 端口,下面的單選按鈕要選中 Remote,表示建立的隧道是個反向隧道,填寫完畢別忘記點 Add 按鈕,在上面就可以看到顯示的是 R8080 localhost:7001。成功登錄遠程主機 guantouping 後,反向隧道就建立好了。在遠程主機 guantouping 上輸入命令 telnet localhost 8080 就可以連接到你的本地端口7001。
哈哈,這樣一個特洛伊木馬般的反向 SSH 隧道就建立完畢了。我們在遠程主機上連接 8080 端口,其實就連接到了我們本地機器的7001 端口了。上面共有兩個複選框,我們提到了一個,已經說了,選中以後就允許其他機器連接隧道入口了。那第二個“Remote ports do the same (SSH-2 only)”,則是給反向隧道使用的,也就是說遠程主機的那個反響隧道入口也做同樣的事情,也就是允許其他機器連接遠程主機上的反向隧道入口,不過一般情況下這個選項都不會起作用的 ^_^。
把 PuTTY 作爲一個安全的代理服務器來使用
這個簡單,在 Source port 那裏填寫上 1080,Destination 這裏空下不填,選中下面的 Dynamic,最後別忘了點 Add 按鈕。
登錄遠程主機後,一個代理服務器就建立好了,這個代理服務器的地址就是 localhost:1080,還是加密的哦。據說國外某著名的主機供應商就提供遠程的 SSH 鏈接,通過這個方法我們就建立了一個加密的 socks5 代理,可以輕鬆繞過萬惡的 GFW 去擁抱 Wikipedia,波~~~,來一口。
設置 PuTTY 的默認設置
每次登錄主機,無一例外的修改字體,修改字符集,修改窗口的大小,指定私鑰文件,允許 X11 轉發,……
幾臺主機還好說,幾十個上百個主機這樣三天兩頭的設置也會讓唐僧煩了的。
選中一個先前配置好的會話,點 Load 按鈕。
然後修改Saved Sessions會話名稱 和 Host Name 這裏的主機地址,點Save
如果在 Saved Sessions 這裏和上面的 Host Name 清空,點 Save 按鈕,就可以把設置保存爲默認設置。
備份 PuTTY 的設置
用 PuTTY 最不爽的就是,它把所有的設置都保存到註冊表了,本來這不是什麼問題。但是難免會重裝一下機器,用下面的命令可以備份 PuTTY 的所有設置
regedit /e PuTTY.config.reg "HKEY_CURRENT_USER\Software\SimonTatham\PuTTY"
刪除 PuTTY 的設置
如果只是在其他機器上臨時用了一個 PuTTY,用完以後想刪除 PuTTY 的配置,就在控制檯裏輸入如下的命令:
putty.exe -cleanup
用 PuTTYgen 來生成密鑰,以後可以不用密碼登錄服務器了
PuTTYgen 是密鑰生成器,用來生成一對公鑰和私鑰供 PuTTY、PSCP、Plink、Pagent 來使用。
直接運行 PuTTYgen 可以看到如下的界面。
點擊 Generate 按鈕就開始生成一個公鑰和私鑰對,生成完畢後,點下面的 Save private key 就可以把私鑰保存起來,擴展名是 .ppk 的文件。
Load 按鈕可以把先前保存的私鑰重新打開,然後做些修改,比如修改註釋和私鑰口令,或者把 PuTTY 格式的私鑰轉換爲 OpenSSH 格式的。
開始用 PuTTYgen 創建密鑰
單擊 Generate 按鈕,然後你會看到進度條上面有個提示“Please generate some radomness by moving the mouse over the blank area.”,意思就是讓你用鼠標在空白區域隨機移動。隨着鼠標在空白區域的移動,進度條會一直走下去。停止移動鼠標,進度條也就停止了。那我們就移動鼠標,直到進度條走滿爲止。
等進度條走完之後,會出現下面的界面
最上面那個大大的只讀文本框裏面是公鑰,用來保存到 OpenSSH 的 authorized_keys 文件中,這個文件中的每一行都是一個公鑰。默認情況下,這個文件位於 Linux 用戶主目錄的 .ssh/ 子目錄中,如果文件和目錄都不存在,可以直接創建。
但是創建的文件、目錄和用戶主目錄($HOME, $HOME/.ssh, $HOME/.ssh/authorized_keys)的權限有個限制就是對除了本帳戶的其他所有帳戶都要求是隻讀的,否則的話,即使公鑰、私鑰都匹配無誤,也是無法登入系統的。這是 SSH 服務器的一個安全要求,因爲如果別的帳戶可以修改你的 authorized_keys 的話,惡意的增加一個公鑰,那對方不用你的帳戶口令也能以你的帳戶登入系統了。對於一些特殊要求,你可以在 SSH 服務器的配置文件 sshd_config 中用指令
StrictModes no
來取消這個限制。在 sshd_config 的幫助手冊中可以看到
StrictModes
Specifies whether sshd should check file modes and ownership of
the user’s files and home directory before accepting login. This
is normally desirable because novices sometimes accidentally
leave their directory or files world-writable. The default is
“yes”.
小技巧:每次修改 authorized_keys 這個文件時,你可以用如下的命令來修改,確保所有的文件屬性和權限無誤
mkdir -p $HOME/.ssh && touch $HOME/.ssh/authorized_keys \
&& chmod go-w $HOME $HOME/.ssh $HOME/.ssh/authorized_keys && vim $HOME/.ssh/authorized_keys
還有一個要強調的是那個 Key comment,這是密鑰的註釋,一定要修改。因爲這個密鑰是給自己用的,所以最起碼要輸入自己的名字,用默認的註釋很容易和其他人的密鑰混淆的。如果擔心自己的密碼忘記了,可以在後面加上密碼提示,當然了,不要讓別人用註釋猜出你的密鑰口令。比如,我可以把註釋修改爲
ChaiFeng [20061120] w.z.
後面的 w.z. 就是我的密碼提示,能猜出來麼?呵呵
輸入註釋,上面的公鑰也會隨之發生變化。
現在最重要的是,輸入自己的密鑰口令。就是 Key passphrase 和 Confirm passphrase 這個兩個輸入框。
如果不輸入口令,直接保存私鑰會看到這個提示。爲了安全起見還是輸入口令吧,要不任何人得到這個私鑰都可以不用口令登入系統了。
最後單擊 Save private key 來保存私鑰吧,保存到自己認爲安全的地方,比如存放到私人的 USB 閃存盤上。需要登錄時,插上 USB 閃存盤。登錄完畢後就可以把 USB 閃存盤取下來,哈哈,這樣子就比較安全了。
大家也注意到了,還有個 Save public key 按鈕,這個是保存 SSH2 格式的公鑰,有些 SSH 服務器要求用這種格式的公鑰文件。一般情況下,我們是不需要的,所以這裏也就保存了。以後還想的話,就用 PuTTYgen 把私鑰 Load 出來,然後再保存也可以。
用密鑰登錄服務器的流程
上面雜七雜八的說了一堆創建密鑰時的事情,大家會不會已經有些亂了呢?我把這個過程再羅列一遍:
- 如果沒有公鑰/密鑰對,就用 PuTTYgen 創建一個,已經有了就可以忽略這一步。一個公鑰/密鑰對可以用在不同的服務器上,所以也不需要重複創建,關鍵要有足夠強健的密碼和安全的存放。
- 象先前一樣輸入帳戶名和口令登錄到主機上。
- 輸入如下命令,來編輯 authorized_keys 文件
mkdir -p $HOME/.ssh && touch $HOME/.ssh/authorized_keys \
&& chmod go-w $HOME $HOME/.ssh $HOME/.ssh/authorized_keys && vim $HOME/.ssh/authorized_keys - 把
這個文本框裏的公鑰粘貼到 vim 中去,需要說明幾點:這個文本框裏的內容是一行的,粘貼到 vim 中時,別忘了按字母 o 這個鍵,否則的話,粘貼進去後,開頭的 ssh-rsa 會變成 sh-rsa,爲什麼呢?哈哈,想想吧。
爲什麼不按字母鍵 i 呢?這個在 vim 中不就是插入麼?原因是我很懶,按字母 o,我可以節省一次按回車鍵。雖然按大寫 O 也行,那我不是還得再按一下 Shift 鍵麼?
別忘了,在 PuTTY 中默認的粘貼可是按鼠標右鍵哦,然後按一下 ESC 鍵,然後輸入 :wq 保存退出,等等,大家先彆着急的輸入 :wq,既然輸入冒號還得按下 Shift 鍵,那我們就乾脆直接兩下大寫的字母 Z,也就是 ZZ。怎麼樣?vim 也一樣保存退出了吧。這次又節省了一次按鍵和兩次尋找字母的移動,把懶得優良傳統再一次在實踐中發揚光大。 - 如果已經有了私鑰,第4步裏的那個公鑰忘記保存了,就用 PuTTYgen 把這個私鑰 Load 上去,然後重新複製一下公鑰吧。
- 在 PuTTY 的配置 Connection->SSH->Auth 這裏面,指定上私鑰,然後記得保存 Session,以後就不需要重複這一步了。
- 最好也指定上自動登錄的用戶名,還記得這裏嗎?
- 開始登錄吧,這次你會看到一個不同於以往的登錄提示
現在輸入的口令可不是主機上這個賬戶的口令了,而是先前創建的這個密鑰的口令。以後不管這個賬戶的口令是什麼,即使再複雜,也和我們沒關係了。只要這個賬戶的 $HOME/.ssh/authorized_keys 文件中,有我們的公鑰,我們就隨時用匹配的私鑰都可以登錄了。配合後面提到的 Pagent,我們連輸入密鑰口令這一步也可以忽略過去。 - 登錄成功了,別忘了按 Ctrl+d 註銷哦。
以後這些步驟就不需要再重複了,只需要打開 PuTTY 後,雙擊一下保存的會話名稱,輸入密鑰口令。
Pagent 加載密鑰,每次開機後只需要輸入一次密鑰口令
終於輪到 Pagent 出場了,雙擊一下 Pagent.exe,嗯,沒反應?再雙擊一下,咦?出來個提示,說已經運行了。
看看右下角吧,在這裏呢
雙擊一下 Pagent 的圖標,出來這樣一個界面。很簡潔的,Add Key 是添加私鑰,Remove Key 是把選中的私鑰從 Pagent 中卸載了。
好,現在單擊 Add Key 按鈕添加私鑰,我把這個演示用的私鑰保存到 C:\ 了
然後會出現輸入密鑰口令的對話框,輸入正確的密鑰後,單擊 OK
這時,在 Pagent 的窗口中就能看到我們的私鑰已經裝載上去了。
現在打開 PuTTY,選擇先前保存的 Session,雙擊一下。只要自動登錄用戶名設置上,主機上改帳戶的 authorized_keys 文件裏也有匹配的公鑰。哈哈,發現沒有?完全不需要口令,我們已經登錄到系統了。
在 Pagent 的圖標上點右鍵,也可以快捷的選擇已經保存的會話。
建議大家把 Pagent 放到啓動組裏面,這樣每次一開機,Pagent 自動運行,然後我們只需要把私鑰裝載一下,然後我們就可以一直享受自動登錄系統的樂趣了。再配合上以後會講到的 Plink、PSCP 這些,我們可以實現很多工作的自動化進行。完全不需要每次輸入用戶名、口令、輸入又長又多的命令,再做一些煩躁的文件備份,最後還得記得註銷系統,難道不覺得麻煩麼?這一切煩惱很快就會遠離我們了,繼續往下看吧。
用 SSH 來傳輸文件
PuTTY 提供了兩個文件傳輸工具
- PSCP (PuTTY Secure Copy client)
- PSFTP (PuTTY SFTP client)
PSCP 通過 SSH 連接,在兩臺機器之間安全的傳輸文件,可以用於任何 SSH(包括 SSH v1、SSH v2) 服務器。
PSFTP 則是 SSH-2 中新增的特性,使用的是新的 SFTP 協議,使用上與傳統的 FTP 類似。事實上 PSCP 如果發現 SFTP 可用,PSCP就會使用 SFTP 協議來傳輸文件,否則還是 SCP 協議。PSFTP 與 PSCP 相比,PSFTP 的優點是可以與服務器進行交互,遍歷服務器上的文件系統,在一個會話中上傳或下載多個文件。而 PSCP 只能一次傳輸一個文件,傳輸完畢後立刻終止會話。
PSCP 的使用
在控制檯直接執行 pscp 可以看到幫助
C:\>pscp
PuTTY Secure Copy client
Release 0.58
Usage: pscp [options] [user@]host:source target
pscp [options] source [source...] [user@]host:target
pscp [options] -ls [user@]host:filespec
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-p preserve file attributes
-q quiet, don't show statistics
-r copy directories recursively
-v show verbose messages
-load sessname Load settings from saved session
-P port connect to specified port
-l user connect with specified username
-pw passw login with specified password
-1 -2 force use of particular SSH protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-batch disable all interactive prompts
-unsafe allow server-side wildcards (DANGEROUS)
-sftp force use of SFTP protocol
-scp force use of SCP protocol
C:\>
可以看出 PSCP 的使用是很簡單的,把常用的幾個選項說一下:
- -q 安靜模式,傳輸文件時什麼也不顯示,否則會顯示出文件的傳輸進度,默認是關閉的
- -P port 指定服務器的 SSH 端口,注意這個是大寫字母 P,默認是 -P 22,如果主機的 SSH 端口就是 22,就不用指定了
- -l user 指定以哪個用戶的身份登錄主機,如果沒有指定,則 PSCP 會在 PuTTY 保存的同名 Session 中獲得默認的用戶名稱。用戶名稱也可以和主機名稱寫在一起,用 @ 分割開,比如:username@server
- -pw passwd 指定登錄時所用的口令爲 passwd
- -i keyfile 就是指定登錄時所用的密鑰文件
- 最後面指定的主機名也可以是 PuTTY 中保存的 Session 名稱。比如我們在 PuTTY 中保存了一個名爲 foobarserver 的會話,而我們所在的網絡又的確沒有名爲 foobarserver 的主機名稱。而在這個 foobarserver 會話中保存的主機名稱是 demo-server,保存的自動登錄的用戶是 taylor。那麼用命令
pscp c:\autoexec.bat foobarserver:backup/
就把本地的 c:\autoexec.bat 複製到了主機 demo-server 上的用戶 taylor 所在的主目錄下的 backup 子目錄中(這個路徑可能是 /home/taylor/backup
所以 PSCP 大致用法的例子就是:
pscp -P 22 -i c:\path\your-private-key.ppk -C username@server:/remote/path/
下面還是用一些實例來說明會比較簡單一些:
把本地的 C:\path\foo.txt 複製到遠程主機 192.168.6.200 的 /tmp 目錄下
pscp c:\path\foo.txt 192.168.6.200:/tmp
把本地的 C:\path\foo.txt 複製到主機 192.168.6.200 的 /tmp 目錄下,但是以主機上的用戶 taylor 的權限執行
pscp c:\path\foo.txt taylor@192.168.6.200:/tmp
或者是
pscp -l taylor c:\path\foo.txt 192.168.6.200:/tmp
把本地的 C:\path\foo.txt 傳送到主機 192.168.6.200 的 /tmp 目錄下,但是主機的 SSH 端口是 3122
pscp -P 3122 c:\path\foo.txt 192.168.6.200:/tmp
把本地的 C:\path\foo.txt 複製到主機 192.168.6.200 的用戶 taylor 的主目錄下
pscp c:\path\foo.txt [email protected]:.
把主機 192.168.6.200 上的用戶 taylor 主目錄下的所有 *.tgz 文件拷貝到本地的 c:\backup 目錄中,如果 SSH 版本是 SSH v1,那這個命令就會出錯。
pscp [email protected]:*.tgz c:\backup
再來看看 PSFTP
在控制檯執行命令 psftp -h,可以得到 psftp 的幫助
C:\>psftp -h
PuTTY Secure File Transfer (SFTP) client
Release 0.58
Usage: psftp [options] [user@]host
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-b file use specified batchfile
-bc output batchfile commands
-be don't stop batchfile processing if errors
-v show verbose messages
-load sessname Load settings from saved session
-l user connect with specified username
-P port connect to specified port
-pw passw login with specified password
-1 -2 for