Используя ssh можно подключаться к удаленным системам и работать с ними в интерактивном режиме. Для того, чтобы подключиться к sun как пользователь tux используйте одну из следующих команд:

ssh tux@sun
ssh -l tux sun

Если имя пользователя на локальном и удаленном компьютере совпадает, Вы можете его опустить: ssh sun. Удаленный компьютер запросит пароль удаленного пользователя. После успешной аутентификации Вы можете работать на удаленном компьютере в режиме командной строки и использовать интерактивные приложения, например YaST, в текстовом режиме.

Более того, ssh предоставляет возможность удаленного запуска неинтерактивных команд на удаленной системе ssh HOST COMMAND. COMMAND должна быть при необходимости взята в кавычки. Как и в обычной командной строке, можно объединить несколько команд.

ssh root@sun "dmesg | tail -n 25"
ssh root@sun "cat /etc/issue && uptime"

scp копирует файлы на удаленный компьютер или с него. Если имя пользователя на jupiter отличается от имени пользователя на sun, укажите последнее используя формат username@host. Если файл требется скопировать в директорию, отличную от домашней директории удаленного пользователя, укажите ее как sun:DIRECTORY. Следующие примеры показывают, как скопировать файл с локальной машины на удаленную и наоборот.

# local -> remote
scp ~/MyLetter.tex tux@sun:/tmp
# remote -> local
scp tux@sun:/tmp/MyLetter.tex ~
  

	Опция -l
Команда ssh может быть использована с опцией -l, чтобы указать удаленного пользователя (как альтернатива формату username@host). С командой scp опция -l используется для ограничения потребляемого scp канала.

После того, как правильный пароль введен, scp начинает передачу данных и показывает растущий ряд звездочек, имитируя процентное соотношение выполнения процесса. Кроме того, программа показывает предполагаемое время до его завершения. Если указан ключ -q, программа не будет ничего выводить на терминал.

scp также поддерживает рекурсивное копирование директорий. Команда

scp -r src/ sun:backup/

скопирует содержимое всей директории src, включая все поддиректории, в директорию backup системы sun. Если поддиректории не существуют, они будут созданы автоматически.

При использовании ключа -р, scp сохранит дату последнего изменения источника. Ключ -C позволит сжать передаваемые данные. Это минимизирует объем передаваемых данных, но нагрузит процессоры на обеих машинах.

Если Вы хотите скопировать несколько файлов, утилита sftp будет удобной альтернативой scp. Эта утилита открывает консоль с набором команд похожим на команды стандартной ftp консоли. Введите help в подсказке sftp для получения списка доступных команд. Дополнительную информацию можно получить на странице man sftp (1).

sftp sun
Enter passphrase for key '/home/fs/.ssh/id_rsa': 
Connected to sun.
sftp> help
Available commands:
bye                                Quit sftp
cd path                            Change remote directory to 'path'
[...]
  

Для работы с программами ssh и scp, в фоновом режиме должнен быть запущен SSH-демон, который будет использовать порт 22 TCP/IP. При запуске в первый раз, демон генерирует три пары ключей. Каждая пара стоит из секретного и открытого ключа. Таким образом, эта процедура называется основанной на открытом ключе. Чтобы гарантировать безопасность соединения через SSH, доступ к файлу с секретным ключом должен быть только у системного администратора. По умолчанию, этот файл имеет именно такие права. Секретный ключ используется только локальным SSH-демоном и не должен быть предоставлен кому-то ещё. Открытый ключ (узнаваемый по расширению файла .pub) отправляется клиенту, запросившему соединение. Файл, в котором находится открытый ключ, может прочитать любой пользователь системы.

Связь инициирует SSH-клиент. SSH-демон ожидает запроса от SSH-клиента для создания соединения. Первым шагом они обмениваются информацией идентификации, проверяя протокол и версию SSH, а так же уточняя номер порта, т.к. дочерние процессы, порожденные SSH-демоном, могут одновременно обслуживать несколько SSH-сессий.

OpenSSH для связи между SSH-сервером и SSH-клиентом поддерживает первую и вторую версию протокола SSH. По умолчанию используется вторая версия. Если Вы хотите использовать первую версию, используйте ключ -1.

При использовании версии 1, SSH-сервер посылает свой открытый ключ и так называемый "ключ сервера", которые генерируются раз в час. На основании этих ключей SSH-клиент генерирует ключ сессии, который в последствии он посылает SSH-серверу. SSH-клиент также говорит серверу какой метод шифрования использовать. Вторая версия протокола SSH не требуют ключа сервера. Обе стороны используют алгоритм Диффи-Хеллмана (Diffie-Hellman) для обмена ключами.

Секретный и серверный ключи необходимы для расшифровки ключа сессии и не могут быть получены, при использовании лишь открытых ключей. Только запрашиваемый SSH-демон может расшифровать ключ сессии, используя свои секретные ключи. Эта начальная фаза установки соедининения может быть исследована более детально (включая отладочную информацию) при помощи ключа -v SSH-клиента.

Рекомендуестся сохранять секретные и открытые ключи, которые находятся в /etc/ssh/, на каком-нибудь безопасном внешнем носителе. В этом случае можно отследить подделку ключей или использовать старые ключи повторно, к примеру, после переустановки системы.

	Существующие SSH ключи
Если Вы установите openSUSE на машину с уже установленной Linux системой, SSH ключ этой системы будет автоматически импортирован во время инсталляции с сохранением последнего времени доступа к нему.

При первом соединении с удаленным компьютером, клиент сохранит все открытые ключи в ~/.ssh/known_hosts. Это предотвратит любую атаку типа человек посередине—попытки других SSH серверов использовать поддельные имена и IP адреса. Такие атаки обнаруживаются либо по ключу, отсутствующему в ~/.ssh/known_hosts, либо по неспособности сервера расшифровать ключ сессии из-за отсутствия соответствующей защищенной части ключа.

В случае, если открытый ключ сервера изменился (что необходимо выяснить перед попыткой подключения к такому серверу), несоответствующие ключи могут быть удалены командой ssh-keygen -r HOSTNAME

В своей простейшей форме, аутентификация производится вводом пароля пользователя, как и при локальном входе в систему. Однако, запоминать пароли нескольких пользователей удаленных компьютеров достаточно непрактично. К тому же, эти пароли могут быть изменены. С другой стороны— при предоставлении доступа в качестве root администратору необходимо иметь возможность быстро отменить эти привилегии без изменения пароля root

Для входа в систему, не используя пароль удаленного пользователя, SSH использует другую пару ключей, которая должна быть сгенерирована пользователем. Она состоит из открытого (id_rsa.pub или id_dsa.pub) и защищенного ключа (id_rsa или id_dsa).

Чтобы войти в систему не указывая пароль удаленного пользователя, открытый ключ «пользователя SSH» должен существовать в ~/.ssh/authorized_keys. Этот подход также предполагает, что удаленный пользователь получает полный доступ: добавление ключа требует знания пароля удаленного пользователя и удаление ключа лишает прав удаленного подключения к системе.

Для максимальной безопасности этот ключ должен быть защищен паролем, который вводится при каждом использовании команд ssh, scp и sftp. В отличие от простой аутентификации, этот пароль не зависит от удаленного пользователя и поэтому не изменяется.

В качестве альтернативы описанной выше аутентификации основанной на ключах, SSH также предлагает аутентификацию основанную на имени хоста. С ее помощью пользователь доверенного компьютера может подключится к другому компьютеру используя своё имя пользователя. openSUSE сконфигурирована для использования аутентификации основанной на ключах и настройка на ней аутентификации основанной на имени хоста openSUSE находится за пределами данного руководства.

	Права доступа к файлам при использовании host-аутентификации
При использовании host-аутентификации, файл /usr/lib/ssh/ssh-keysign (32-битные системы) или /usr/lib64/ssh/ssh-keysign (64-битные системы) должен иметь SETUID бит, который в openSUSE не установлен по умолчанию. Вы должны установить его сами вручную. Используйте для этого файл /etc/permissions.local, чтобы быть уверенным, что SETUID бит сохранится и после обновления OpenSSH.

# ~/.ssh/id_rsa.pub
ssh-copy-id -i tux@sun

# ~/.ssh/id_dsa.pub
ssh-copy-id -i ~/.ssh/id_dsa.pub  tux@sun

# ~notme/.ssh/id_rsa.pub
ssh-copy-id -i ~notme/.ssh/id_rsa.pub  tux@sun

ssh-agent -s /bin/bash
eval $(ssh-agent)
    

ssh также может быть использован для перенаправления TCP/IP подключений. Эта опция, называемая SSH туннелированием, перенаправляет TCP соединения на определенный порт другого компьютера по зашифрованному каналу.

Используя следующую команду, любое соединение на jupiter порт 25 (SMTP) перенаправляется на SMTP порт на sun. Это особенно полезно для тех, кто использует SMTP серверы без SMTP-AUTH или POP-before-SMTP. Электронная почта, откуда бы она ни пришла, будет передана для дальнейшей доставки «домашнему» почтовому серверу.

ssh -L 25:sun:25 jupiter

Аналогично, все POP3 запросы (порт 110) на jupiter погут быть перенаправлены на POP3 порт sun при помощи следующей команды:

ssh -L 110:sun:110 jupiter

Обе команды должны быть выполненны с правами root, так как соединение использует привилегированные порты. При использовании электронной почты обычными пользователями будет использоваться SSH соединение. SMTP и POP3 должны быть установлены в localhost, чтобы это работало. Дополнительную информацию можно найти в man-руководствах для каждой из программ, описанной выше, а также в документации проекта OpenSSH: /usr/share/doc/packages/openssh.

Модуль YaST для настройки SSHD не входит в установку по умолчанию. Для работы с ним установите пакет yast2-sshd.

Для настройки sshd-сервера с помошью YaST запустите YaST и выберите Сетевые службы+Настройка SSHD. Затем сделайте следующее: