將SSH與PHP相串連 確保傳輸資料的安全

SSH可以通過將聯機的封包加密的技術進行資料的傳遞;使用SSH可以把傳輸的所有資料進行加密，即使有人截獲到資料也無法得到有用的資訊。同時資料經過壓縮，大大地加快了傳輸的速度。總之，通過SSH的使用，可以確保資料傳輸比較安全並且傳輸效率較高。

不過，並非所有人知道php可以與SSH串連的特性以及與執行遠程命令的能力，不過這方面卻非常有用。由於我們可以在很多不同的方面利用PHP，因此它有很多設定選項來控制其行為。一組龐大的選擇性參數能夠保證您可以將 PHP 用於許多不同的目的，但這同時也意味著這些參數和服務端配置的組合會帶來一些安全問題。筆者一直在PHP CLI應用程式中使用SSH，筆者是從cronjobs中使用它的，不過一開始並非十分簡單，可以說頗費周折。關於安全使用Shell2 函數的手冊也不是十分實用，筆者進行了多次實驗之後才有了今天這篇小文章，願您讀了之後能為您配置PHP節省一點兒時間。

在這篇文章中，筆者需要假設：

你正在啟動並執行作業系統是Debian / Ubuntu。如果你啟動並執行不是Debian / Ubuntu，你可能需要用你的linux發行版本提供的資料包管理器來替換本文對應內容。

你啟動並執行是PHP5.如果你啟動並執行不是PHP5,可用PHP4代替之。

你對PHP和伺服器管理有基本的瞭解。

你已經安裝了PHP。

先決條件

安裝程式包

首先，讓我們安裝下面的程式包：

sudo aptitude update

sudo aptitude install php5-dev php5-cli php-pear buid-essential \

openssl-dev zlib1g-dev

安裝完成進入下一步。

編譯libssh2

在從sourceforge網站下載了Libssh2之後，我們需要編譯它，不過不要擔心，你只需要按照如下的方法操作：

cd /usr/src

wget http://surfnet.dl.sourceforge.net/sourceforge/libssh2/libssh2-0.14.tar.gz

tar -zxvf libssh2-0.14.tar.gz

cd libssh2-0.14/

./configure

make all install

如果你想檢查是否有了一個新版本，可以查看SF.NET.不過，0.14這個版本就足夠了。

安裝

安裝ssh2.so

下一步，我們需要將libssh和 PHPR連結起來。有一個PECL模組可以完成這個功能。我們可以使用PEAR安裝它。

pear install -f ssh2

-f參數確保SSH2被安裝，即使並沒有一個穩定的選擇對象。你還可以使用如下的包名稱：ssh2-beta來強行運行。

現在你需要確保我們這個新的SSH2.SO模組被PHP載入。編輯你的php.ini檔案(對於CLI公用程式：/etc/php5/cli/php.ini，對於Apache公用程式：/etc/php5/apache2/php.ini)

extension=ssh2.so

這應該放在“Dynamic Extensions”的下面，大約在第515行左右。
　　PHP支援SSH編寫代碼

你剛剛在PHP中啟用了SSH2。那麼現在應該如何利用它呢?有兩個選擇。SSH支援：

1.執行方法：

這告訴你的伺服器的作業系統來執行什麼東西，並且通過管道傳回到你的指令碼。

2.外殼方法：

這種方法在作業系統中開啟一個實際的外殼，這正像通過終端應用程式登入時所操作的那樣。有一些路由器並沒有一個完全的POSIX一致性實施過程，而是在你登入時立即運行其自身的應用程式。這時你就需要這種方法。

下面我們分別詳述之：

第一種方法：執行

你最好為下面的代碼建立函數或者是一個類，不過本文僅僅起到一個為您提供基本觀念的作用，所以說你可以如此開始：

if (!function_exists("ssh2_connect")) die("function ssh2_connect doesn't exist")

// log in at server1.example.com on port 22

if(!($con = ssh2_connect("server1.example.com", 22))){

echo "fail: unable to establish connection\n";

} else {

// try to authenticate with username root, passWord secretpassword

if(!ssh2_auth_password($con, "root", "secretpassword")) {

echo "fail: unable to authenticate\n";

} else {

// allright, we're in!

echo "okay: logged in...\n";

// execute a command

if(!($stream = ssh2_exec($con, "ls -al" )) ){

echo "fail: unable to execute command\n";

} else{

// collect returning data from command

stream_set_blocking( $stream, true );

$data = "";

while( $buf = fread($stream,4096) ){

$data .= $buf;

}

fclose($stream);

}

}
　　第二種方法：外殼

同樣道理，你也可以為如下的代碼編寫函數或者一個類。不過，本文僅僅提供基本觀念：

if (!function_exists("ssh2_connect")) die("function ssh2_connect doesn't exist")

// log in at server1.example.com on port 22

if(!($con = ssh2_connect("server1.example.com", 22))){

echo "fail: unable to establish connection\n";

} else {

// try to authenticate with username root, password secretpassword

if(!ssh2_auth_password($con, "root", "secretpassword")) {

echo "fail: unable to authenticate\n";

} else {

// allright, we're in!

echo "okay: logged in...\n";

// create a shell

if(!($shell = ssh2_shell($con, 'vt102', null, 80, 40, SSH2_TERM_UNIT_CHARS))){

echo "fail: unable to establish shell\n";

} else{

stream_set_blocking( $shell, true );

// send a command

fwrite($shell,"ls -al\n");

sleep(1);

// & collect returning data

$data = "";

while( $buf = fread($shell,,4096) ){

$data .= $buf;

}

fclose($shell);

}

}

}

小提示：

有時伺服器忙碌，或者一個串連出錯，緩衝區沒有資料，PHP指令碼就會停止從一個命令輸出(即使命令並沒有完成!)中收集資料。你可以為此進行如下的操作：

ssh2_exec($con, 'ls -al; echo "__COMMAND_FINISHED__"' );
　　現在，在你不斷地檢查緩衝區的迴圈中，只需要看一下COMMAND_FINISHED。因為你就可以知道你擁有了所有的資料。為了避免無限迴圈(死迴圈)，可以用一個10秒的逾時限制：

$time_start = time();

$data = "";

while( true ){

$data .= fread($stream, 4096);

if(strpos($data,"__COMMAND_FINISHED__") !== false){

echo "okay: command finished\n";

break;

}

if( (time()-$time_start) > 10 ){

echo "fail: timeout of 10 seconds has been reached\n";

break;

}

}

在上面的例子中，你最好將stream_set_blocking設為false。

通過SSH傳送檔案

ssh2_scp_send($con, "/tmp/source.dat", "/tmp/dest.dat", 0644);

如果不能正常工作

請檢查如下的幾個方面：

依照本文檢查你操作的每一步

在伺服器端，在sshd_config 中必須啟用“PasswordAuthentication yes”。在大多數伺服器上預設值是yes，不過有些情況下，你可能需要將下面的一行加入到檔案中，即親自動手開啟這個功能：

/etc/ssh/sshd_config:

# Change to yes to enable tunnelled clear text passwords

PasswordAuthentication yes

如果作了改變，就需要重新啟動SSH：

/etc/init.d/ssh restart

