SSH服务有什么用？

• 远程登录其他服务器
• 账户名+密码登录
• 公钥登录

• 远程连接Git服务器，拉取上传代码

• 除非主动禁用，否则几乎每个系统都默认开启SSH服务

SSH服务的配置

• 管理SSH服务的配置文件一般在 ~/.ssh/ 下
目录中的几个重要文件扮演了不同的角色：
1. config 文件： config 文件用于配置 SSH 客户端的行为。你可以在这个文件中设置各种选项，例如端口号、主机别名、代理设置等。这样可以使你在使用 SSH 连接到远程服务器时不必每次都输入一长串的命令和参数。
这个文件可以包括许多配置选项，以定义特定主机的连接参数或全局设置。

Host myserver
   HostName example.com
   User username
   Port 2222
   IdentityFile ~/.ssh/id_rsa

SSH 的 config 文件可以高度定制化，用于简化和优化SSH连接。以下是一些常见的配置选项，这些选项可以为单个主机或所有主机设置：
1. Host： 为配置定义一个模式或别名。可以是具体的主机名、通配符或简短的别名。

Host myserver

2. HostName： 指定实际要连接的主机名或IP地址。

HostName example.com

3. User： 指定连接的默认用户名。

User myusername

4. Port： 指定连接的端口。

Port 22

5. IdentityFile： 指定用于此连接的私钥文件。

IdentityFile ~/.ssh/id_rsa

6. ForwardAgent： 指定是否转发SSH代理。这对于使用密钥链式连接或使用 ssh-agent 很有用。

ForwardAgent yes

7. ProxyCommand： 用于连接到目标主机的代理命令，通常用于跳板机或SSH隧道。

ProxyCommand ssh jumpbox -q -W %h:%p

8. ServerAliveInterval： 指定客户端向服务器发送空数据包的频率，以保持连接活动。

ServerAliveInterval 60

9. StrictHostKeyChecking： 控制是否在 known_hosts 文件中检查主机的密钥。

StrictHostKeyChecking no

10. Compression： 是否启用压缩。

Compression yes

11. TCPKeepAlive： 是否发送TCP保持活动消息。

TCPKeepAlive yes

这只是 config 文件中可以设置的选项的一部分。实际上，根据你的需求和环境，可能还有许多其他有用的配置选项。
2. id_rsa 文件： id_rsa 是用户的私钥文件。当你使用基于密钥的身份验证时，这个私钥用于验证你的身份。私钥必须保密，不应与任何人共享。
这是私钥文件，应始终保密。其内容类似于以下：

-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAu4GRzDlq/FoU8XRnL6f...
...
X0R+meOaudPTBxoSgCCM51poFgaqt4l6VlTNw==
-----END RSA PRIVATE KEY-----

3. id_rsa.pub 文件： id_rsa.pub 是与 id_rsa 相对应的公钥文件。你可以把这个公钥放在你想连接的远程服务器的 ~/.ssh/authorized_keys 文件中。当你尝试连接服务器时，服务器会使用这个公钥来验证你的私钥。因为公钥只能用于验证私钥，而不能用于还原私钥，所以你可以将公钥分享给任何你信任的远程服务器。
这是与上述私钥配对的公钥文件。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCu4ZHMO...
[email protected]

4. known_hosts 文件： known_hosts 文件用于存储你已知的远程主机的公钥信息。当你首次连接到远程主机时，主机的公钥会被添加到这个文件中。在后续的连接中，SSH 客户端会检查远程主机的公钥是否与 known_hosts 文件中的相匹配。如果它们不匹配（例如，由于中间人攻击），SSH 客户端会发出警告。这提供了一个防止未经授权的主机冒充合法主机的保护机制。
这个文件存储了你曾经连接过的主机的公钥信息。

example.com ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAq2A7hR...

通过这些文件和配置，SSH 能够提供一种安全的、加密的远程连接方法，允许用户通过不可信的网络（例如互联网）安全地访问远程主机。
在 ~/.ssh/ 目录中可能还会有其他重要的文件和设置，具体取决于特定的用途和配置。以下是一些可能存在的其他文件：
1. 其他密钥对文件： 除了 id_rsa 和 id_rsa.pub 之外，你可能还会看到其他的私钥和公钥文件，如 id_ecdsa、id_ed25519 等。这些是不同类型的密钥对，与 RSA 密钥类似，但使用了不同的加密算法。
2. authorized_keys 文件： 这个文件通常存在于远程主机上，但有时也可能在本地找到。它包含了所有允许访问该主机的公钥列表。当有人尝试使用 SSH 连接到主机时，主机会检查尝试连接的客户端的私钥是否与 authorized_keys 文件中的任何公钥相匹配。
这个文件存储了允许通过密钥身份验证连接到远程主机的所有公钥。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCu4ZHMO...
[email protected]
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINW7R01luKL...
[email protected]

其中包括多个公钥，每个公钥通常占一行。
3. known_hosts 的变体： 在某些情况下，你可能会在 ~/.ssh/ 目录下看到 known_hosts2 等文件。这些文件的作用与 known_hosts 相同，但可能与特定的SSH客户端或版本有关。
4. 自定义密钥对： 有时，用户可能会为特定的服务或主机创建自定义的密钥对，并给它们特殊的名字。这些文件的作用与 id_rsa 和 id_rsa.pub 相同，但可能仅用于特定的连接。
5. ssh_config 和 ssh_host_* 文件： 与用户级别的 config 文件相似，全局的 ssh_config 文件允许系统管理员为所有用户设置SSH客户端选项。而 ssh_host_* 文件通常位于系统级 SSH 配置目录（而非用户的 ~/.ssh/ 目录）中，用于存储主机的密钥信息。
6. 临时认证代理的套接字文件： 例如，ssh-agent 可以使用套接字文件来存储私钥。这允许用户在多个SSH会话中重用同一私钥，而无需每次都输入密码。
请注意，不是所有的SSH配置都会使用所有这些文件，具体取决于你的系统和你使用SSH的方式。如果你是系统管理员或有特殊安全需求，你可能还会遇到其他特定的配置文件和选项。
 

SSH是什么？

1. 客户端和服务器架构

2. 密钥交换

• 服务器身份验证：服务器向客户端发送其公钥。客户端使用此公钥验证服务器的身份。

• 会话密钥创建：客户端和服务器协商一个会话密钥，用于此特定连接的加密。

3. 用户身份验证

• 密码身份验证：客户端提供用户名和密码。

• 公钥身份验证：客户端使用与存储在服务器上的公钥匹配的私钥进行身份验证。

4. 加密会话

5. 通信

6. 断开连接

总结

ssh 命令详解

SSH Agent

SSH Server

生成一个 GitLab 专用的 SSH 密钥

1. 打开终端：在你的计算机上打开命令行终端。

2. 检查现有的 SSH 密钥：你可以先检查是否已经有现有的 SSH 密钥。运行以下命令：

ls -al ~/.ssh

如果你看到名为 id_rsa.pub 或类似名称的文件，那么你已经有一个 SSH 密钥。如果你想为 GitLab 创建一个新的密钥，请继续以下步骤。

3. 创建新的 SSH 密钥：运行以下命令来创建一个新的 SSH 密钥。你可以将 [email protected] 替换为你在 GitLab 上使用的电子邮件地址。

ssh-keygen -t rsa -b 4096 -C "[email protected]"

4. 保存密钥：系统会提示你输入文件的保存路径。如果你想为 GitLab 创建一个专用密钥，请输入一个与默认路径不同的路径，例如：

/Users/yourusername/.ssh/id_rsa_gitlab

5. 设置密码：你可以为密钥设置密码，增加安全性，或者直接按 Enter 键跳过。

6. 将新密钥添加到 ssh-agent：确保 ssh-agent 在后台运行，并将新密钥添加到 ssh-agent。

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_rsa_gitlab

7. 将公钥添加到 GitLab：使用以下命令将公钥复制到剪贴板：

pbcopy < ~/.ssh/id_rsa_gitlab.pub

然后，登录到 GitLab 账户，转到 "Settings" > "SSH Keys"，并将剪贴板上的公钥粘贴到文本框中。