ssh 進階技巧：通道、金鑰管理與自動化

ssh 進階技巧：通道、金鑰管理與自動化

在日常的 Linux 系統管理與開發工作中，SSH 不僅僅是用來登入遠端主機的工具。對於資深工程師而言，熟練掌握 SSH 的進階功能，如端口轉發（Port Forwarding）、公鑰金鑰管理以及自動化腳本，能大幅提升工作效率與安全性。本文將深入探討這些進階技巧，幫助你構建更強大且安全的連線環境。

一、SSH 端口轉發（Port Forwarding）

SSH 通道最強大的功能之一便是端口轉發。它可以將本機或遠端主機的端口流量透過加密通道轉發，常用於繞過防火牆限制或安全地訪問內部服務。

1. 本地端口轉發（Local Forwarding）

假設你無法直接從外部訪問遠端伺服器內部的資料庫（例如 MySQL，預設端口 3306），你可以透過 SSH 將遠端的 3306 端口映射到你本地的 33060 端口。

# 語法：ssh -L [本地端口]:[遠端目標地址]:[遠端目標端口] [使用者]@[SSH主機]
ssh -L 33060:localhost:3306 user@remote-server-ip

執行後，你只需在本地連線 localhost:33060，流量就會被加密並轉發至遠端伺服器的 localhost:3306。這對於開發人員在本地測試環境非常實用。

2. 遠端端口轉發（Remote Forwarding）

反之，如果你想在內部網路中的一台伺服器上訪問位於防火牆後面的另一台機器，可以使用 -R 選項。

# 語法：ssh -R [遠端端口]:[本地目標地址]:[本地目標端口] [使用者]@[SSH主機]
ssh -R 9090:localhost:8080 user@remote-server-ip

這會將遠端伺服器的 9090 端口綁定到你本機的 8080 端口。當有人在遠端伺服器上訪問 localhost:9090 時，流量會透過 SSH 通道回傳到你本機。

二、金鑰管理與無密碼登入

為了避免每次登入都要輸入密碼，並提升安全性，建議使用 SSH 金鑰對（Public/Private Key Pair）進行驗證。

1. 生成金鑰

在本地機器上執行以下指令生成 RSA 金鑰（推薦使用 4096 位元以確保安全）：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

執行過程中，系統會詢問金鑰儲存路徑（預設為 ~/.ssh/id_rsa）以及 passphrase（密碼鎖）。若希望完全自動化，可直接按 Enter 跳過 passphrase，但安全性會略微降低。

2. 部署公鑰到遠端

使用 ssh-copy-id 指令是最簡便的方式，它會自動將公鑰追加到遠端伺服器的 ~/.ssh/authorized_keys 檔案中：

ssh-copy-id user@remote-server-ip

若手動部署，可執行以下指令將公鑰內容複製到剪貼簿，然後手動貼上至遠端伺服器的對應檔案：

cat ~/.ssh/id_rsa.pub | ssh user@remote-server-ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

部署完成後，重新登入即可實現無密碼連線。

三、SSH 組態檔優化與自動化

對於經常連線多台伺服器的使用者，手動輸入冗長的指令既低效又容易出錯。善用 ~/.ssh/config 檔案可以簡化操作。

1. 設定 SSH Config

編輯 ~/.ssh/config 檔案，定義別名與連線參數：

# 檔案路徑：~/.ssh/config
Host web-server
    HostName 192.168.1.100
    User admin
    Port 22
    IdentityFile ~/.ssh/id_rsa_web

Host db-cluster
    HostName 10.0.0.50
    User dbadmin
    Port 2222
    IdentityFile ~/.ssh/id_rsa_db

設定後，你只需輸入 ssh web-server 即可自動連線至指定的 IP 與使用者，並使用指定的金鑰。

2. 自動化腳本範例

結合 SSH 與 Bash 腳本，可以輕鬆實現批量任務。以下範例示範如何同時向多台伺服器發送指令：

#!/bin/bash
# 定義伺服器列表
SERVERS=("web-server" "db-cluster")

for server in "${SERVERS[@]}"; do
    echo "正在連線至 $server..."
    ssh -o ConnectTimeout=5 -o StrictHostKeyChecking=no "$server" "uptime && df -h /"
    if [ $? -eq 0 ]; then
        echo "$server 連線成功"
    else
        echo "$server 連線失敗"
    fi
done

此腳本會依序連線至 web-server 與 db-cluster，並執行 uptime 和 df -h / 指令，最後檢查退出狀態碼以判斷連線是否成功。

常見問題 / 注意事項

1. 權限問題：SSH 對檔案權限非常嚴格。確保 ~/.ssh 目錄權限為 700，且 authorized_keys 或私鑰檔案權限為 600。若權限過於開放，SSH 會拒絕使用金鑰登入。

   chmod 700 ~/.ssh
   chmod 600 ~/.ssh/authorized_keys ~/.ssh/id_rsa

2. 防火牆與端口：使用端口轉發時，請確認遠端伺服器的防火牆（如 ufw 或 iptables）允許相關端口的流量。此外，若需將本地端口映射到遠端非 localhost 的地址，需確認 SSH 服務組態 /etc/ssh/sshd_config 中的 GatewayPorts 設定。

小結

透過本文，我們學習了如何利用 SSH 端口轉發突破網路限制，如何透過金鑰管理實現安全且便捷的無密碼登入，以及如何利用 ~/.ssh/config 和自動化腳本提升工作效率。掌握這些進階技巧，將使你在 Linux 系統管理與開發流程中更加得心應手。建議讀者實際操作這些範例，以加深理解並適應自己的工作環境。