<![CDATA[ssh 命令详解]]>usage: ssh [-46AaCfGgKkMNnqsTtVvXxYy] [-B bind_interface] [-b bind_address] [-c cipher_spec] [-D [bind_address:]port] [-E log_file] [-e escape_char] [-F configfile] [-I pkcs11] [-i identity_file] [-J destination] [-L address] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-P tag] [-p port] [-Q query_option] [-R address] [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]] destination [command [argument ...]]

ssh 命令是 Linux/Unix 系统中用于安全远程登录的核心工具,其参数众多,功能强大。

为了更清晰地理解,我将这些参数按照功能逻辑分为了 连接与身份端口转发认证与密钥会话与调试 以及 版本与配置 五大类进行详细解释。

1. 连接、目标与身份

这些参数用于指定你要连接到哪里,以及以谁的身份登录。

参数 全称/含义 详细解释
destination 目标主机 核心参数,指定要连接的远程主机。格式通常为 [user@]hostname
[command] 执行命令 如果指定,将在远程主机上执行该命令后退出,而不是启动交互式 shell。
-p port 端口 指定远程 SSH 服务监听的端口号(默认是 22)。
-l login_name 登录名 指定登录远程主机的用户名(例如 ssh -l root host)。
-4 仅 IPv4 强制 SSH 仅使用 IPv4 地址进行连接。
-6 仅 IPv6 强制 SSH 仅使用 IPv6 地址进行连接。
-J destination 跳板/代理跳转 通过一个或多个跳板机(Jump Host)连接到最终目标(例如 ssh -J user@gateway user@final)。

2. 端口转发与隧道

SSH 不仅仅是登录,还可以作为安全隧道传输其他数据。

参数 全称/含义 详细解释
-L 本地端口转发 将本地的某个端口流量通过 SSH 隧道转发到远程主机的某个地址和端口(例如 -L 8080:localhost:80,本地访问 8080 即访问远程的 80 端口)。
-R 远程端口转发 将远程主机的某个端口流量通过 SSH 隧道转发回本地(例如 -R 9000:localhost:80,远程访问 9000 即访问本地的 80 端口)。
-D 动态端口转发 开启 SOCKS 代理服务器。指定本地一个端口,所有发往该端口的流量都会通过 SSH 隧道动态转发。
-g 网关端口 允许远程主机连接到本地转发的端口(默认情况下,端口转发仅绑定到 localhost,使用此参数可让其他机器连接)。
-w TUN/TAP 隧道 用于转发网络层(Layer 3)或链路层(Layer 2)的数据包,常用于构建 VPN。

3. 认证、密钥与代理

这些参数控制如何证明你的身份。

参数 全称/含义 详细解释
-i identity_file 身份文件 指定用于公钥认证的私钥文件(默认是 ~/.ssh/id_rsa 等)。
-A 启用代理转发 允许将本地的 SSH 代理(ssh-agent)连接转发到远程主机。注意: 这有安全风险,因为远程用户可能利用你的本地密钥进行跳板攻击。
-a 禁用代理转发 禁止转发认证代理的连接(默认行为)。
-K GSSAPI 委托 启用基于 GSSAPI(如 Kerberos)的身份验证和凭据转发。
-k 禁用 GSSAPI 禁用向服务器转发 GSSAPI 凭据。
-I pkcs11 智能卡/PKCS#11 指定用于与智能卡通信的 PKCS#11 共享库,用于硬件密钥认证。

4. 会话、控制与调试

控制终端行为、连接管理和故障排查。

参数 全称/含义 详细解释
-t 强制伪终端 强制分配一个伪终端(PTY)。当你需要在远程运行基于屏幕的程序(如 topvim 或菜单脚本)时非常有用。
-T 禁止分配终端 禁止分配伪终端。适用于执行自动化脚本或传输文件时,防止远程系统分配不必要的资源。
-f 后台运行 请求 SSH 在执行命令前转入后台运行(通常与 -n 配合使用)。
-n 重定向 stdin 将标准输入重定向到 /dev/null。通常用于后台运行,防止 SSH 从标准输入读取数据。
-N 不执行命令 不在远程执行任何命令。通常仅用于端口转发(-L/-R)时,只建立隧道而不打开 shell。
-v 冗详模式 显示详细的调试信息。-v 显示一级信息,-vvv 显示最详细信息,用于排查连接失败原因。
-q 安静模式 抑制大部分警告和诊断信息,让输出更干净。
-e escape_char 转义字符 设置用于退出 SSH 会话的控制字符(默认是 ~)。例如 -e none 会使会话完全透明,禁用转义功能。
-C 压缩数据 启用压缩(类似 gzip),在慢速网络下可以加速传输,但会增加 CPU 负担。
-S ctl_path 控制套接字 指定用于连接共享(Connection Multiplexing)的控制套接字路径,允许复用同一个 TCP 连接以加快后续连接速度。

5. 配置与加密

指定配置文件和加密算法。

参数 全称/含义 详细解释
-F configfile 配置文件 指定一个替代的用户级配置文件(默认是 ~/.ssh/config),而不是使用系统默认配置。
-o option 配置选项 Key=Value 的形式传递配置指令(例如 ssh -o "StrictHostKeyChecking=no" host),用于设置没有单独命令行开关的选项。
-c cipher_spec 加密算法 指定会话加密的密码算法(如 aes256-ctr)。OpenSSH 会自动协商,通常无需手动指定。
-m mac_spec MAC 算法 指定消息认证码(Message Authentication Code)算法,用于确保数据完整性。
-B bind_interface 绑定接口 在多网卡机器上,指定从哪个本地网络接口发出连接。
-b bind_address 绑定地址 在多 IP 地址的机器上,指定连接的源 IP 地址。
-E log_file 日志文件 将调试日志追加到指定文件中,而不是输出到标准错误 stderr。

💡 补充说明

  • 大小写敏感:注意 -v(小写)是详细模式,而 -V(大写)是显示版本信息并退出。
  • 参数优先级:命令行参数的优先级最高,其次是用户配置文件 (~/.ssh/config),最后是系统配置文件 (/etc/ssh/ssh_config)。
  • 安全性:使用 -A(代理转发)时要非常小心,因为它可能让远程服务器上的恶意用户利用你的本地私钥访问其他服务器。
]]>https://bbs.pymud.cn/topic/29/ssh-命令详解RSS for NodeSat, 11 Apr 2026 03:38:22 GMTMon, 26 Jan 2026 22:37:52 GMT60<![CDATA[Reply to ssh 命令详解 on Mon, 26 Jan 2026 22:39:09 GMT]]>按字母顺序排列的详解速查:

SSH 客户端参数详解

ssh (Secure Shell) 是一个用于安全远程登录和执行命令的工具。以下参数基于 OpenSSH 客户端。

常用参数概览

ssh [-46AaCfGgKkMNnqsTtVvXxYy] [-B bind_interface] [-b bind_address]
    [-c cipher_spec] [-D [bind_address:]port] [-E log_file]
    [-e escape_char] [-F configfile] [-I pkcs11] [-i identity_file]
    [-J destination] [-L address] [-l login_name] [-m mac_spec]
    [-O ctl_cmd] [-o option] [-P tag] [-p port] [-R address]
    [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]]
    destination [command [argument ...]]
ssh [-Q query_option]

参数详细说明

参数 说明
-4 强制使用 IPv4 地址。
-6 强制使用 IPv6 地址。
-A 启用认证代理转发。允许远程主机通过本地 SSH 代理进行认证。
-a 禁止认证代理转发。
-C 启用压缩。所有数据在传输前都会被压缩。
-f 后台运行。SSH 会在执行命令前转入后台,通常与 -n 配合使用。
-g 允许远程主机连接本地转发的端口。如果不使用此选项,端口转发仅绑定到本地回环地址。
-i identity_file 指定用于公钥认证的私钥文件路径(例如 ~/.ssh/id_rsa)。
-l login_name 指定登录远程主机的用户名。
-N 不执行远程命令。仅用于端口转发。
-n 将标准输入重定向到 /dev/null。通常用于后台运行 SSH。
-p port 指定远程 SSH 服务监听的端口号(默认为 22)。
-q 静默模式。抑制所有警告和诊断信息。
-t 强制分配伪终端。对于运行全屏程序(如 top 或文本菜单)非常有用。
-v 详细模式。打印调试信息。可使用多个 -v(如 -vvv)以增加详细程度。
-X 启用可信的 X11 转发。
-x 禁用 X11 转发。
-Y 启用可信的 X11 转发(比 -X 更宽松的信任级别)。
-y 启用信任的 X11 转发(与 -Y 类似,具体行为可能依赖于实现)。
-B bind_interface 指定 SSH 客户端发送数据包的网络接口。
-b bind_address 在本地主机上绑定指定的源地址(源 IP)发出连接。
-c cipher_spec 指定用于加密会话的加密算法。
-D [bind_address:]port 指定本地动态应用程序级端口转发。SSH 将充当 SOCKS 代理服务器。
-E log_file 将调试日志追加到指定的文件中。
-e escape_char 设置转义字符(默认为 ~)。
-F configfile 指定一个替代的配置文件(默认为 ~/.ssh/config)。
-I pkcs11 指定 PKCS#11 共享库的路径,用于硬件安全密钥。
-J destination 指定跳转主机(Jump Host)。格式为 [user@]host[:port],可指定多个。
-L address 指定本地端口转发。将本地端口映射到远程主机的某个端口。
-m mac_spec 指定用于数据完整性校验的消息认证码(MAC)算法。
-O ctl_cmd 控制一个正在运行的 SSH 多路复用主进程(如 check, exit, stop)。
-o option 选项=值 的形式指定配置选项(如 -o StrictHostKeyChecking=no)。
-P tag -Q 一起使用,用于查询特定的配置参数。
-R address 指定远程端口转发。将远程主机的端口映射到本地主机的某个端口。
-S ctl_path 指定用于连接共享的控制套接字路径。
-W host:port 将本地标准输入输出直接连接到远程主机的指定端口。
-w local_tun[:remote_tun] 请求 TUN/TAP 接口转发,用于创建虚拟专用网络(VPN)。
-Q query_option 查询可用的加密算法、MAC 等信息(如 ssh -Q cipher)。

使用示例

  • 基本连接: ssh user@hostname
  • 指定端口: ssh -p 2222 user@hostname
  • 本地端口转发: ssh -L 8080:localhost:80 user@hostname (将本地 8080 转发到远程的 80)
  • 动态端口转发(SOCKS 代理): ssh -D 1080 user@hostname
  • 后台运行并静默: ssh -f -N -L 8080:localhost:80 user@hostname
]]>https://bbs.pymud.cn/post/102https://bbs.pymud.cn/post/102Mon, 26 Jan 2026 22:39:09 GMT