上海百度網(wǎng)站建設(shè),wordpress微博分享,做相冊的網(wǎng)站（網(wǎng)易,wordpress 跳過ftp一、Dropbear 是什么#xff1f; Dropbear 是一個開源、輕量級的 SSH 服務(wù)器和客戶端實現(xiàn)#xff0c;主要特點是#xff1a; 體積小#xff1a;比 OpenSSH 小很多#xff0c;非常適合嵌入式設(shè)備、路由器、單板機#xff08;如 OpenWrt、樹莓派精簡系統(tǒng)#xff09;等。功…一、Dropbear 是什么Dropbear是一個開源、輕量級的 SSH 服務(wù)器和客戶端實現(xiàn)主要特點是體積小比 OpenSSH 小很多非常適合嵌入式設(shè)備、路由器、單板機如 OpenWrt、樹莓派精簡系統(tǒng)等。功能夠用支持 SSH2 協(xié)議、密碼登錄、密鑰登錄、端口轉(zhuǎn)發(fā)等常用功能。依賴少可以在資源很有限的系統(tǒng)上運行。既有 sshd服務(wù)端功能也自帶 ssh/scp客戶端功能?？梢园阉斫獬?“小號版的 OpenSSH”功能沒那么全但對大部分日常遠程登錄、文件拷貝需求已經(jīng)夠用。二、Dropbear 的典型使用場景嵌入式設(shè)備家用/企業(yè)路由器OpenWrt、LEDE 等NAS、網(wǎng)絡(luò)攝像頭、小型網(wǎng)關(guān)其它存儲、內(nèi)存都比較緊張的設(shè)備極簡 Linux 系統(tǒng)initramfs / initrd 里放一個小號 SSH方便遠程維護容器/鏡像中想省空間應(yīng)急/救援系統(tǒng)系統(tǒng)崩潰后從救援系統(tǒng)中啟用 Dropbear遠程修復(fù)磁盤、修配置等。三、Dropbear 的安裝1. 在常見 Linux 發(fā)行版上Debian / Ubuntusudoaptupdatesudoaptinstalldropbear安裝后通常會自動啟動一個 Dropbear 服務(wù)也可能需要你手動啟用。Fedora / CentOS / Rocky / AlmaLinux 等sudodnfinstalldropbear# 或老系統(tǒng)# sudo yum install dropbearArch Linuxsudopacman -S dropbear2. 在 OpenWrt 上OpenWrt 默認就自帶 Dropbear 作為 SSH 服務(wù)端一般不用再裝配置文件在/etc/config/dropbearWeb 管理界面 LuCI 中System → Administration → SSH Access如需重裝或手工安裝opkg update opkginstalldropbear四、Dropbear 服務(wù)器端基礎(chǔ)用法Dropbear 服務(wù)器端主程序叫dropbear。1. 最簡單的啟動方式dropbear -p22含義-p 22監(jiān)聽 22 端口標(biāo)準(zhǔn) SSH 端口如果你只想臨時開一個 SSH 服務(wù)這樣就能用標(biāo)準(zhǔn) SSH 客戶端連接ssh用戶名服務(wù)器IP -p222. 常用啟動參數(shù)說明服務(wù)端幾個最常用的參數(shù)-p 端口監(jiān)聽端口可重復(fù)多次例如同時監(jiān)聽 IPv4/IPv6 或多個端口dropbear -p22-p2222-r hostkey文件手動指定服務(wù)器主機密鑰文件。首次運行如果沒有密鑰文件Dropbear 可以自動生成取決于編譯和發(fā)行版配置。-F以前臺模式運行不 daemonize常用于調(diào)試方便看日志dropbear -F -E -p2222-E將日志輸出到 stderr而不是系統(tǒng)日志syslog調(diào)試時有用。-w禁用密碼登錄只允許公鑰登錄更安全dropbear -w -p2222-g禁止登錄后獲取 root shell限制 root 登錄。一般配合 sudo 或受限 shell 使用。-s禁止 root 使用密碼登錄只允許 root 使用密鑰登錄。是個比較常用的安全設(shè)置功能視版本而定。-K 秒服務(wù)端發(fā)送 keepalive 的間隔秒數(shù)有助于斷開長期假死連接dropbear -K60-p22-I 秒空閑超時超過該時間無數(shù)據(jù)則自動斷開連接dropbear -I600-p22# 10 分鐘無操作斷開更多參數(shù)可用dropbear -h查看幫助。五、Dropbear 的系統(tǒng)服務(wù)配置以 Debian/Ubuntu 為例安裝dropbear包后通常會生成/etc/default/dropbear 或 /etc/dropbear/dropbear.conf根據(jù)發(fā)行版不同systemd 服務(wù)dropbear.service或dropbear.service1. 編輯默認配置以 Debian/Ubuntu 常見的/etc/default/dropbear為例這里只是示意實際內(nèi)容請以系統(tǒng)為準(zhǔn)sudonano/etc/default/dropbear常見選項示例NO_START0# 0 表示允許啟動1 表示禁止自動啟動DROPBEAR_PORT22# 監(jiān)聽端口DROPBEAR_EXTRA_ARGS-w -K 60 -I 600DROPBEAR_BANNER# 登錄前顯示的 banner 文件路徑留空則不用修改完成后重啟服務(wù)sudosystemctl restart dropbearsudosystemctl status dropbear注意如果是用 Dropbear 替代 OpenSSH請先確認 Dropbear 能正常工作再關(guān)掉 OpenSSH避免遠程鎖死自己。六、客戶端使用Dropbear 自帶的 ssh / scp 工具Dropbear 提供了一組輕量客戶端程序安裝方式/名字和編譯選項有關(guān)dbclientDropbear 的 ssh 客戶端有時直接叫sshscpSCP 文件傳輸有時還會有dropbearkey工具生成密鑰下面會講1. 使用 dbclient 遠程登錄基本語法與 OpenSSH 的ssh類似dbclient 用戶名主機 -p 端口示例dbclient root192.168.1.1 -p22如果你習(xí)慣 OpenSSH 的用法也可以dbclient -i ~/.ssh/id_rsa 用戶名主機常用參數(shù)dbclient-p 端口端口-i 私鑰文件指定私鑰登錄-y自動接受新的主機指紋不交互確認注意安全風(fēng)險-K 秒客戶端 keepalive 間隔-L 本地端口:目標(biāo)主機:目標(biāo)端口本地端口轉(zhuǎn)發(fā)與 OpenSSH 一樣-R 遠端端口:本地主機:本地端口遠程端口轉(zhuǎn)發(fā)例如本地連接遠程 MySQLdbclient -L3307:127.0.0.1:3306 userremote# 然后本機連 127.0.0.1:3307相當(dāng)于連 remote:33062. 使用 scp 傳輸文件Dropbear 的scp用法與 OpenSSH 幾乎完全一樣# 上傳本地文件到遠程scp-P22localfile userhost:/path/remote.file# 從遠程下載文件到本地scp-P22userhost:/path/remote.file ./localfile# 遞歸拷貝目錄scp-P22-r mydir userhost:/tmp/注意是大寫-P指定端口和 OpenSSH 一樣。七、密鑰登錄使用 dropbearkey 或 OpenSSH 密鑰1. 使用 dropbearkey 生成密鑰對在很多系統(tǒng)中會有dropbearkey命令用來生成 Dropbear 格式的密鑰dropbearkey -t rsa -f ~/.ssh/id_dropbear_rsa參數(shù)-t類型如rsa、ecdsa等-f生成的私鑰文件路徑生成后可以查看公鑰dropbearkey -y -f ~/.ssh/id_dropbear_rsa輸出大致如下示例Public key portion is: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC1... userhost Fingerprint: md5 aa:bb:cc:dd:...把ssh-rsa AAAA...這一整行復(fù)制到服務(wù)器的~/.ssh/authorized_keys中即可。提示Dropbear 自己的authorized_keys文件路徑通常和 OpenSSH 一致也是~/.ssh/authorized_keys但具體要看編譯/配置。2. 直接使用 OpenSSH 生成的密鑰Dropbear 新版本大多支持直接使用 OpenSSH 生成的id_rsa、id_ecdsa、id_ed25519等私鑰。你可以在客戶端用 OpenSSH 生成密鑰ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519然后把~/.ssh/id_ed25519.pub的內(nèi)容放到服務(wù)器~/.ssh/authorized_keys客戶端用 dbclient 時這樣dbclient -i ~/.ssh/id_ed25519 userhost只要該 Dropbear 版本編譯時開啟了對應(yīng)算法支持就可以正常使用。3. 將 Dropbear 密鑰轉(zhuǎn)換為 OpenSSH 格式可選有時你從嵌入式設(shè)備上只拿到 Dropbear 格式的私鑰需要在 PC 上用 OpenSSH 使用可以利用dropbearconvert若已安裝dropbearconvert dropbear openssh id_dropbear_rsa id_openssh_rsa然后id_openssh_rsa就可以被 OpenSSH 的ssh使用。八、在 OpenWrt 中配置 DropbearOpenWrt 上 Dropbear 的配置文件為/etc/config/dropbear采用 UCI 格式大概如下示例config dropbear option PasswordAuth on option RootPasswordAuth on option Port 22 option Interface lan option BannerFile /etc/banner option IdleTimeout 600 option GatewayPorts off常見配置項說明option PasswordAuth on|off是否允許密碼登錄。關(guān)閉后只能用密鑰登錄更安全。option RootPasswordAuth on|off是否允許 root 用密碼登錄。option Port 22監(jiān)聽端口。option Interface lan|wan|...限制在哪個接口上監(jiān)聽一般只在 LAN 開著避免暴露在公網(wǎng)。option IdleTimeout 600空閑超時時間秒。修改完配置后重啟服務(wù)/etc/init.d/dropbear restart公鑰登錄在 PC 上生成公鑰例如ssh-keygen -t ed25519把id_ed25519.pub內(nèi)容復(fù)制到 OpenWrt 路由器/etc/dropbear/authorized_keys或/etc/dropbear/authorized_keys.d/...視版本確保文件權(quán)限合適一般 600 或 644九、安全建議與常見問題1. 安全加固建議禁止 root 密碼登錄改用密鑰使用參數(shù)-s禁止 root 密碼登錄或在 OpenWrt 中設(shè)置RootPasswordAuth off完全關(guān)閉密碼登錄只用公鑰啟動使用-w或PasswordAuth off避免對公網(wǎng)開放 22 端口或使用防火墻限制來源 IP。設(shè)置合理的空閑超時-I、keepalive-K減少僵尸連接。定期更新 Dropbear 版本修復(fù)安全漏洞。2. 常見問題連接提示 “connection refused”檢查 Dropbear 是否在運行/監(jiān)聽對應(yīng)端口ss -lnpt|grepdropbear檢查防火墻是否放行。登錄提示 “No supported key exchange methods” / 算法不支持老版本 Dropbear 不支持某些新算法或編譯時禁用了某些算法。嘗試在客戶端限制算法或者升級 Dropbear。authorized_keys 不生效確認文件路徑與權(quán)限ls-ld ~/.sshls-l ~/.ssh/authorized_keys目錄權(quán)限一般不應(yīng)為 777建議700文件600。十、簡要命令速查表啟動服務(wù)端臨時# 在 2222 端口啟動禁用密碼登錄只允許密鑰dropbear -p2222-w -K60-I600客戶端登錄# 使用密碼登錄dbclient userhost -p2222# 使用密鑰登錄dbclient -i ~/.ssh/id_ed25519 userhost文件傳輸# 上傳文件scp-P2222file.txt userhost:/tmp/# 下載文件scp-P2222userhost:/tmp/file.txt.生成密鑰并啟用公鑰登錄# 在客戶端生成密鑰ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519# 把公鑰內(nèi)容寫入服務(wù)器 ~/.ssh/authorized_keys# 可用 ssh/scp 或 Web 管理界面復(fù)制粘貼如果你有具體的使用環(huán)境例如 Debian 服務(wù)器、OpenWrt 路由器、容器、initramfs 等我可以按你的場景給一份更貼合的配置與命令示例。