SSH全称(Secure SHell)是一种安全的应用层网络协议，用于计算机间的安全通信，是目前一套成熟的远程登陆解决方案。

最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的。SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别：1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。

登陆方式有两种：密码登陆与公钥登陆，详见 SSH安全登陆原理：密码登陆与公钥登陆。

密码登陆

（1）客户端发起连接请求。
（2）远程主机收到用户的登录请求，把自己的公钥发给客户端。
（3）客户端接收远程主机的公钥，然后使用远程主机的公钥加密登录密码，紧接着将加密后的登录密码连同自己的公钥一并发送给远程主机。
（4）远程主机接收客户端的公钥及加密后的登录密码，用自己的私钥解密收到的登录密码，如果密码正确则允许登录，到此为止双方彼此拥有了对方的公钥，开始双向加密解密。等下次再登陆时，客户端检测到收到的公钥已经在本地存在，就不会报警告了

第一次连接时会有类似的提示：

The authenticity of host 'host (18.18.229.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
  Are you sure you want to continue connecting (yes/no)?

如果确定这个公钥就是目标服务器发过来的公钥，就点击yes,完成登陆。

• 提示：警惕中间人攻击。在密码登陆进行到第2步时，客户端收到了服务器的公钥，但是不确定这个公钥到底是不是要访问的目标服务器（也可能时中间攻击者，发送过来的假公钥）。

密码登陆.jpg

公钥登录

公钥登陆相对密码登陆可以避免中间攻击，同时也简单很多
1.客户端在本地生成一对公私钥
2.将客户端本地生成的公钥手动添加到远端服务器上
3.客户端发起登陆请求到远端服务器
4.远端服务器收到请求后，会本地生成一串随机字符，并将该随机字符串发送给客户端
5.客户端收到远端服务器的随机字符串后，用本地私钥加密，并将密文传给远端服务器
6.远端服务器将收到的密文用保存的客户端公钥解密，并将解密结果与原随机字符串对比，若一致的话证明客户端可信，允许登陆。

公钥登陆.jpg

手机端常用App

iOS：WebSSH、Termius、iTerminal、Shelly、SSH助手；
Android：Termius、JuiceSSH、ConnectBot
做一个简单的评测：

iOS_WebSSh

iOS_Termius

iOS_iTerminal

iOS_Shelly

iOS_SSH助手

Android_Termius

Android_JuiceSSH

Android_ConnectBot

常用命令集合

• ls ls命令显示文件和目录的信息

ls　以默认方式显示当前目录文件列表
ls -a 显示所有文件包括隐藏文件
ls -l 显示文件属性，包括大小，日期，符号连接，是否可读写及是否可执行
ls -lh 显示文件的大小，以容易理解的格式印出文件大小 (例如 1K 234M 2G)
ls -lt 显示文件，按照修改时间排序
ls -F 在列出的文件名和目录名后添加标志。例如，在可执行文件后添加“*”，在目录名后添加“/”以区分不同的类型。

• cd 切换目录

cd dir　切换到当前目录下的dir目录
cd /　切换到根目录
cd ..　切换到到上一级目录
cd ../..　切换到上二级目录
cd ~　切换到用户目录，比如是root用户，则切换到/root下

• cp 复制文件

cp source target　将文件source复制为target
cp /root/source .　将/root下的文件source复制到当前目录
cp –av soure_dir target_dir　将整个目录复制，两目录完全一样

• top 实时显示进程的状态。默认状态显示的是cpu密集型的进程，并且每5秒钟更新一次。你可以通过PID的数字大小，age (newest first), time (cumulative time),resident memory usage（常驻内存使用）以及进程从启动后占用cpu的时间。刷新中想退出，输入命令q即可。

top -b 批量处理模式，加上-b后，top显示的时候，将每一次显示的结果都打印出来，不会将上一次的结果给冲掉。
top -p pid 显示某个进程的信息
top -p pid1,pid2,pid3 显示多进程信息
top -u username 显示某个用户的进程信息
top -H 显示线程的信息，而不是进程的信息
top -d ntime设置刷屏的时间(单位为s)

• rm 删除文件或目录

rm file　删除某一个文件
rm -f file 删除时候不进行提示。可以与r参数（递归删除）配合使用
rm -rf dir　删除当前目录下叫dir的整个目录

• diff比较文件内容

diff dir1 dir2　比较目录1与目录2的文件列表是否相同，但不比较文件的实际内容，不同则列出
diff file1 file2　比较文件1与文件2的内容是否相同，如果是文本格式的文件，则将不相同的内容显示，如果是二进制代码则只表示两个文件是不同的
comm file1 file2　比较文件，显示两个文件不相同的内容

• df检查文件系统的磁盘空间占用情况。可以利用该命令来获取硬盘被占用了多少空间，目前还剩下多少空间等信息。

df -a 列出全部目录
df -Ta 列出全部目录，并且显示文件类型
df -B 显示块信息
df -i 以i节点列出全部目录
df -h 按照日常习惯显示（如：1K、100M、20G）
df -x [filesystype] 不显示[filesystype]

• ps显示进程信息

ps ux 显示当前用户的进程
ps uxwww 显示当前用户的进程的详细信息
ps aux显示所有用户的进程
ps ef 显示系统所有进程信息

• cat显示文件的内容

cat file 显示file内容

• vi 编辑文件file

vi 基本使用及命令：
在命令模式下，按一下"a"（"A"）键或者”i” （"I"）或者"o"（"O"）键，即进入插入态文本输入模式。在文本输入模式下，按Esc键，即回到命令模式。
按"a"键，插入到当前光标的后面；按"i"键，在当前光标处插入；按"A"键，在当前光 标所在行的最后插入；按"I"键，在当前光标所在行的开头插入。
退出Vi 的方式: 先按[ESC]键回到命令模式，然后输入:w(写入文件)，注意要先输入冒号！:w!(不询问方式写入文件）,:wq保存并退出,:q退出,s:q!不保存退出,：x 该命令的功能同命令模式下的ZZ命令功能相同
在命令模式中，连按两次大写字母Z，若当前编辑的文件曾被修改过，则Vi保存该文件后退出，返回到shell；若当前编辑的文件没被修改过，则Vi直接退出, 返回到shell。

• touch 创建一个空文件

touch aaa.txt 当前目录下创建一个空文件，文件名为aaa.txt

• man 查看某个命令的帮助，如果你不知道某个命令的用法不懂，可以问他，他知道就回告诉你

man ls 显示ls命令的帮助内容

SFTP

SFTP是一种安全的文件传输协议，一种通过网络传输文件的安全方法；它确保使用私有和安全的数据流来安全地传输数据。

SFTP要求客户端用户必须由服务器进行身份验证，并且数据传输必须通过安全通道（SSH）进行，即不传输明文密码或文件数据。它允许对远程文件执行各种操作，有点像远程文件系统协议。SFTP允许从暂停传输，目录列表和远程文件删除等操作中恢复。与FTP相比，经过SSH通道加密更安全，但相对的效率也降低。

SSH1和SSH2

SSH(Secure SHell)到目前为止有两个不兼容的版本——SSH1和SSH2。

SSH1又分为1.3和 1.5两个版本。SSH1采用DES、3DES、Blowfish和RC4等对称加密算法保护数据安全传输，而对称加密算法的密钥是通过非对称加密算法（RSA）来完成交换的。SSH1使用循环冗余校验码（CRC）来保证数据的完整性，但是后来发现这种方法有缺陷。

SSH2避免了RSA的专利问题，并修补了CRC的缺陷。SSH2用数字签名算法（DSA）和Diffie-Hellman（DH）算法代替RSA来完成对称密钥的交换，用消息证实代码（HMAC）来代替CRC。同时SSH2增加了AES和Twofish等对称加密算法。

而现在几乎都不支持SSH1了，仅支持SSH2版本。

参考资料：

SSH协议详解