SSH面试题及答案.docxVIP

SSH面试题及答案

一、基础概念题

什么是SSH？它主要解决了什么问题？

答：SSH是SecureShell的缩写，是一种加密的远程登录协议。主要解决了传统Telnet（明文传输）的安全问题——通过数据加密防止登录密码、操作指令被抓包窃取，同时支持远程命令执行、文件传输（搭配scp/sftp），是服务器运维的核心工具。

SSH有哪些常见版本？实际运维中优先用哪个？为什么？

答：主要有SSH1和SSH2两个版本。实际肯定优先用SSH2，因为SSH1存在严重安全漏洞（比如中间人攻击风险、加密算法缺陷），而且现在主流Linux发行版（CentOS、Ubuntu）默认只启用SSH2，SSH1基本被淘汰了。

二、核心原理与配置题

SSH的两种认证方式是什么？对比说明优缺点及适用场景。

答：两种方式是密码认证和密钥认证：

密码认证：优点是配置简单，直接用账号密码登录；缺点是密码容易被暴力破解，且多服务器管理时密码记忆麻烦。适合临时登录、单台测试机。

密钥认证：需要生成公钥（放服务器）和私钥（存本地），登录时通过密钥配对验证。优点是安全性极高（暴力破解几乎不可能），支持免密登录（适合多服务器批量管理）；缺点是首次配置稍复杂，私钥丢失会导致无法登录。适合生产环境、多服务器运维场景。

如何配置SSH密钥认证登录？关键步骤和注意事项是什么？

答：以Linux本地连Linux服务器为例，步骤如下：

本地生成密钥对：执行ssh-keygen-trsa（rsa是常用算法），一路回车（可设密钥密码，更安全），生成~/.ssh/id_rsa（私钥）和id_rsa.pub（公钥）；

上传公钥到服务器：用ssh-copy-id用户名@服务器IP，输入服务器密码后，公钥会自动追加到服务器~/.ssh/authorized_keys；

测试登录：ssh用户名@服务器IP，无需输密码即成功。

注意事项：①服务器~/.ssh目录权限必须是700，authorized_keys必须是600（权限过宽会导致SSH拒绝识别）；②私钥要妥善保存，本地权限设600，不可泄露。

SSH服务的主配置文件路径是什么？列举3个常用配置项及作用。

答：主配置文件是/etc/ssh/sshd_config（注意是sshd_config，客户端配置是ssh_config）。常用配置项：

Port22：指定SSH服务端口，默认22，生产环境建议改非默认端口（比如2222），减少端口扫描攻击；

PermitRootLoginno：禁止root直接登录，强制用普通用户登录后su切换，降低root账号风险；

PasswordAuthenticationno：禁用密码认证，只允许密钥登录，彻底杜绝暴力破解。

三、实操与安全题

如何通过SSH远程执行单条命令？如何传输文件？

答：①远程执行命令：格式ssh用户名@服务器IP命令，比如sshadmin@00df-h（查看服务器磁盘使用）；

②传输文件：用scp命令，本地传服务器：scp/本地文件路径用户名@服务器IP:/目标路径，比如scp~/test.txtadmin@00:/home/admin/；服务器传本地反之，把路径互换即可。如果传目录，加-r参数（递归传输）。

生产环境中，如何加固SSH服务？至少说4点措施。

答：①改默认端口（Port），避免22端口被扫描；②禁用root登录（PermitRootLoginno）；③禁用密码认证（PasswordAuthenticationno），只用密钥；④限制允许登录的用户，配置AllowUsers用户名1用户名2（比如只让admin和ops用户登录）；⑤用防火墙限制来源IP，比如iptables设-AINPUT-ptcp--dport2222-s公司IP段-jACCEPT，只允许公司IP访问；⑥定期清理无用的公钥（authorized_keys里删除离职人员的公钥）。

什么是SSH端口转发？常用的转发类型有哪些？举个实际使用场景。

答：SSH端口转发是把本地或远程的端口流量通过SSH加密隧道转发，实现“绕过网络限制”或“加密传输非加密服务”。常用类型：

本地转发（-L）：把本地端口的请求转发到服务器端目标地址，比如本地:8888→服务器00→目标数据库:3306，命令ssh-L8888::3306admin@00，本地连:8888就等于连数据库，适合本地访问服务器内网的服务。

远程转发（-R）：把服务器端口的请求转发到本地目标地址，比如服务器00