我在Deepin Linux 上使用ssh问题集锦

近期在Deepin Linux上使用ssh远程连接其他Linux服务器时，发现有些问题并逐步解决了；特记录下来供大家参考。

环境

• 个人电脑 Deepin Linux 15.2
• 远程服务器 CentOS 7

SSH连接慢

在用ssh连接远程服务器时，发现要等待一定时间。排查过程如下：

1. 将ssh连接过程信息输出

➜ tonny@tonny-pc  ~  ssh -v [email protected]

然后就会输出一大堆debug，通过debug信息就可以看到连接到什么地方被耽搁了比如会显示如下信息：

debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more informationNo credentials cache found

• 检测连接时间

➜ tonny@tonny-pc  ~ time ssh [email protected] exit

解决办法

1. 修改服务器端配置(修改参数值或去掉注释)

[root@snails ~]# vi /etc/ssh/sshd_config
UseDNS=no  #关闭DNS反向解析
GSSAPIAuthentication no #关闭SERVER上的GSS认证
IgnoreRhosts yes #打开SERVER上的IgnoreRhosts参数
[root@snails ~]# systemctl restart sshd

• 修改本机配置(考虑到没必要去每台服务器上修改)

➜ tonny@tonny-pc  ~  sudo vi /etc/ssh/ssh_config
GSSAPIAuthentication no #关闭SERVER上的GSS认证

超时自动断开连接

在离开办公桌一段时间后，发现原来的ssh连接已被断开。提示信息如下：

packet_write_wait: Connection to 115.29.240.144 port 22: Broken pipe

解决办法

1. 修改服务器端配置(修改参数值或去掉注释)

[root@snails ~]# echo "ClientAliveInterval 60">>/etc/ssh/sshd_config
[root@snails ~]# systemctl restart sshd

重启OPENSSH服务器后该项设置会生效。每一个连接到此服务器上的客户端都会受其影响。应注意启用该功能后，安全性会有一定下降（比如忘记登出时……）,所以 建议用客户端设置。
如果您只想让当前的 ssh 保持连接，可以使用以下的命令：

➜ tonny@tonny-pc  ~  ssh -o ServerAliveInterval=60 user@sshserver

• 修改本机配置

[root@snails ~]# echo "ServerAliveInterval 60">>/etc/ssh/ssh_config

采用spawn自动登录服务器(示例)

➜ tonny@tonny-pc  ~ vi ssh_115.29.240.144
#!/usr/bin/expect -f
set timeout -1
set passwd "THIS@IS@PASS"
spawn ssh -p22 [email protected]
expect {
"yes/no" { send "yes\r";exp_continue }
"password:" { send "$passwd\r" }
}
interact
➜ tonny@tonny-pc  ~  chmod +x ssh_115.29.240.144

补充说明

服务器安全是个永恒的话题，并且安全一直都是相对的。长期检查服务器登录日志、记录登录用户操作等等都是运维人员必须要做的日常事务。当然一开始就加强安全设置会更好。下面的内容主要介绍　如何配置ssh使用密钥登录,禁止口令登录

创建用户并赋予root权限

[root@snails ~]# adduser tonny
[root@snails ~]# passwd tonny
[root@snails ~]# ll /home/
drwx------ 2 tonny        tonny        4096 7月  20 16:09 tonny
[root@snails ~]# id tonny
uid=1002(tonny) gid=1002(tonny) 组=1002(tonny)
[root@snails ~]# visudo
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
tonny ALL=(ALL) ALL

编辑sshd配置文件，修改一些默认选项

[root@snails ~]# vi /etc/ssh/sshd_config
#使用不常用端口
Port 63210
#仅使用SSH2协议
Protocol 2
#修改密钥生成强度
ServerKeyBits 1024
#禁止root账户通过ssh登录
PermitRootLogin no
#禁止使用常规的用户名密码方式登录，此项慎用#在没有生成好Key，并且成功使用之前，要设置为yes
PasswordAuthentication no
#禁止空密码登录
PermitEmptyPasswords no  

生成个人的公钥与私钥

[root@snails ~]# su - tonny
[root@snails ~]$ ssh-keygen -t rsa -P '' -C "tonny"
#改名为sshd支持的默认公钥文件名
[tonny@snails ~]$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
#设置公钥文件名，如不设置为400，会无法登录
[tonny@snails ~]$ chmod 400 ~/.ssh/authorized_keys
#取出私钥文件(通过sftp下载)
[tonny@snails ~]$ rm -rf ~/.ssh/id_rsa

利用私钥文件登录

#自己的电脑，删除原有的公钥信息
➜ tonny@tonny-pc  ~ ssh-keygen -R 115.29.240.144
➜ tonny@tonny-pc  ~/ssh  mv id_rsa 115.29.240.144.pem 
➜ tonny@tonny-pc  ~/ssh  chmod 400 115.29.240.144.pem 
➜ tonny@tonny-pc  ~/ssh  ssh  -p 63210 [email protected] -i 115.29.240.144.pem

验证

#服务器
[root@snails ~]# systemctl restart sshd
#自己的电脑
➜ tonny@tonny-pc  ~/ssh  ssh -p 63210 [email protected]                      
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
➜ tonny@tonny-pc  ~/ssh  ssh  -p 63210 [email protected] -i 115.29.240.144.pem
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

1. 为什么说是安全的SSH链接呢？关闭了空密码链接、禁止常规的ssh用户名密码方式登录，只有在服务器上生成过key文件的用户方可访问，key文件+密钥，保护更完善一些。

• 友情提示: PasswordAuthentication no配置内容，一定要在已经生成好了至少一个key并可从远程登录之后再使用，否则会导致直接无法登录。

附录：
　　经常登录远程服务器操作，可以根据自己的喜好进行快捷配置
例如采用spawn、alias、oh-my-zsh支持的custom脚本、config配置