ssh说明
SSH (secure shell)是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境(这点很重要);SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。人们通常利用SSH来传输命令行界面和远程执行命令,SSH也支持隧道协议,端口映射和X11连接。借助SFTP或SCP协议还可以传输文件等;闲话不说了,如需要详细了解SSH请自行搜索;
我们通常接触最多的SSH(协议)的地方就是通过xshell xmanager或linux shell中通过SSH工具登录类unix系统;其他的认知可能并不太多,但没有关系,本人也是如此,但今天我们的dba提出一个需求,需要我来协助处理;
<强>题外话:
之前面试的时候,被问到两个IDC的主机怎么通讯?接下的技能就能解决,只是当时没有细想说用<强> ,其实根本不需要 强劲,因为它还要部署,不是很安全;接下来就见识下!
场景一:
有一台服务器是公司甲骨文数据库(IDC)为了安全只对内网开放(即数据库的私网ip侦听),dba平时通过windows上xshell向前的功能,从它自己的本地127.0.0.1:端口连接管理数据库(xhell做了连接转发),有一台开发机器是linux (IDC B),也需要在程序中调用数据库,需要做的就是在测试linux上也能这样通过本地测试机调用数据库;也就是需要ssh隧道转发功能,即测试机通过ssh私钥登录到数据库;通过ssh端口转发功能,把数据库上侦听在内网的端口转发到这台linux测试机上的内网端口,以便于linux测试程序能调用;这么说?
方案:
首先需要在数据库上为测试Linux提供私钥无密码认证登录(开一个账号用私钥登录),然后在测试Linux机器上进行ssh登录做端口转发,通过ssh登录长连接把远程端口转发到本地,通过本地的端口连接远程的数据端口
IDC数据库服务器新增一个登录账号(无密码私钥登录)
IDC B测试Linux通过以下登录IDC的数据库机器
<代码> # ssh -测试- c - f - n - g - l 1521: lanip: 1521 test@x.x.x。x - p端口(sshd) #说明:我私钥 - c压缩传输 - f前台运行 - n不执行远程程序 - g允许远程端口转发到本地 - l端口:主持人:远程端口即将远程的转港发映射在本地
远程某公网的上开放的复述,通过ssh隧道转发到本地,通过本地访问复述,
<代码> $ sudo netstat -ntpul san@TX_zgws_test02 ~ 活跃的互联网连接(只有服务器) 原型Recv-Q Send-Q本地地址外国地址状态PID/项目名称 tcp 0 0 0.0.0.0:6320 0.0.0.0: * 25103/redis-server听 ....省略....
本机通过ssh登录并转发
涂掉的部分即这台主机的公网ip和连接端口,命令执行需要个几秒时间不要ctrl + c
查看本地的端口
<代码> san@san-dong: ~ netstat -ntpul美元 (并非所有进程都能被检测到,所有非本用户的进程信息将不会显示,如果想看到所有信息,则必须切换到根用户) 激活互联网连接(仅服务器) 原型Recv-Q Send-Q本地地址外国地址状态PID/项目名称 tcp 0 0 0.0.0.0:6320 0.0.0.0: * 16968/ssh听
访问本地主机上的6320年
通过ssh隧道转发即可把访问本地的6320转发到远程的6320年,远程的6320是不对外开放的;这样就绕过了防火墙,怎么样,是不是很强大?两台服务器之前直接通过ssh协议隧道访问,不需要* * *自带ssh加密保护,获得到没有?
场景二:
由于我办公电脑是ubuntu的在公司内网,回家想访问我的的这台主机(ssh或vnc)这里就拿ssh模拟好了,如果网管不把我办公电脑的22端口做映射,我在外面是不能访问;此时就可以通过以下方式实现;前提是你得有一个外网的主机;具体做法就是通过办公电脑ssh登录到第三方的的ssh主机上并把办公电脑上的ssh 22端口的访问通过ssh隧道转发到远程主机上的其他本地端口,这样你在第三方(如果你家里有ddn能访问)主机上访问本地的端口即可访问公司办公电脑的服务,
架构如下:
