SSH可以通過(guò)將聯(lián)機(jī)的封包加密的技術(shù)進(jìn)行資料的傳遞;使用SSH可以把傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密，即使有人截獲到數(shù)據(jù)也無(wú)法得到有用的信息。同時(shí)數(shù)據(jù)經(jīng)過(guò)壓縮，大大地加快了傳輸?shù)乃俣取？傊ㄟ^(guò)SSH的使用，可以確保資料傳輸比較安全并且傳輸效率較高。

不過(guò)，并非所有人知道PHP可以與SSH連接的特性以及與執(zhí)行遠(yuǎn)程命令的能力，不過(guò)這方面卻非常有用。由于我們可以在很多不同的方面利用PHP，因此它有很多設(shè)置選項(xiàng)來(lái)控制其行為。一組龐大的可選參數(shù)能夠保證您可以將 PHP 用于許多不同的目的，但這同時(shí)也意味著這些參數(shù)和服務(wù)端配置的組合會(huì)帶來(lái)一些安全問(wèn)題。筆者一直在PHP CLI應(yīng)用程序中使用SSH，筆者是從cronjobs中使用它的，不過(guò)一開(kāi)始并非十分簡(jiǎn)單，可以說(shuō)頗費(fèi)周折。關(guān)于安全使用Shell2 函數(shù)的手冊(cè)也不是十分實(shí)用，筆者進(jìn)行了多次試驗(yàn)之后才有了今天這篇小文章，愿您讀了之后能為您配置PHP節(jié)省一點(diǎn)兒時(shí)間。

在這篇文章中，筆者需要假設(shè)：

你正在運(yùn)行的操作系統(tǒng)是Debian / Ubuntu。如果你運(yùn)行的不是Debian / Ubuntu，你可能需要用你的Linux發(fā)行版本提供的數(shù)據(jù)包管理器來(lái)替換本文對(duì)應(yīng)內(nèi)容。

你運(yùn)行的是PHP5.如果你運(yùn)行的不是PHP5,可用PHP4代替之。

你對(duì)PHP和服務(wù)器管理有基本的了解。

你已經(jīng)安裝了PHP。

先決條件

安裝程序包

首先，讓我們安裝下面的程序包：

sudo aptitude update

sudo aptitude install php5-dev php5-cli php-pear buid-essential

openssl-dev zlib1g-dev

安裝完成進(jìn)入下一步。

編譯libssh2

在從sourceforge網(wǎng)站下載了Libssh2之后，我們需要編譯它，不過(guò)不要擔(dān)心，你只需要按照如下的方法操作：

cd /usr/src

wget http://surfnet.dl.sourceforge.net/sourceforge/libssh2/libssh2-0.14.tar.gz

tar -zxvf libssh2-0.14.tar.gz

cd libssh2-0.14/

./configure

make all install

如果你想檢查是否有了一個(gè)新版本，可以查看SF.NET.不過(guò)，0.14這個(gè)版本就足夠了。

安裝

安裝ssh2.so

下一步，我們需要將libssh和 PHPr鏈接起來(lái)。有一個(gè)PECL模塊可以完成這個(gè)功能。我們可以使用PEAR安裝它。

pear install -f ssh2

-f參數(shù)確保SSH2被安裝，即使并沒(méi)有一個(gè)穩(wěn)定的選擇對(duì)象。你還可以使用如下的包名稱：ssh2-beta來(lái)強(qiáng)行運(yùn)行。

現(xiàn)在你需要確保我們這個(gè)新的SSH2.SO模塊被PHP加載。編輯你的php.ini文件(對(duì)于CLI實(shí)用程序：/etc/php5/cli/php.ini，對(duì)于Apache實(shí)用程序：/etc/php5/apache2/php.ini)

extension=ssh2.so

這應(yīng)該放在“Dynamic Extensions”的下面，大約在第515行左右。PHP支持SSH編寫代碼

你剛剛在PHP中啟用了SSH2。那么現(xiàn)在應(yīng)該如何利用它呢?有兩個(gè)選擇。SSH支持：

1.執(zhí)行方法：

這告訴你的服務(wù)器的操作系統(tǒng)來(lái)執(zhí)行什么東西，并且通過(guò)管道傳回到你的腳本。

2.外殼方法：

這種方法在操作系統(tǒng)中打開(kāi)一個(gè)實(shí)際的外殼，這正像通過(guò)終端應(yīng)用程序登錄時(shí)所操作的那樣。有一些路由器并沒(méi)有一個(gè)完全的POSIX一致性實(shí)施過(guò)程，而是在你登錄時(shí)立即運(yùn)行其自身的應(yīng)用程序。這時(shí)你就需要這種方法。

下面我們分別詳述之：

第一種方法：執(zhí)行

你最好為下面的代碼創(chuàng)建函數(shù)或者是一個(gè)類，不過(guò)本文僅僅起到一個(gè)為您提供基本觀念的作用，所以說(shuō)你可以如此開(kāi)始：

if (!function_exists('ssh2_connect')) die('function ssh2_connect doesn't exist')

// log in at server1.example.com on port 22

if(!($con = ssh2_connect('server1.example.com', 22))){

echo 'fail: unable to establish connectionn';

} else {

// try to authenticate with username root, password secretpassword

if(!ssh2_auth_password($con, 'root', 'secretpassword')) {

echo 'fail: unable to authenticaten';

} else {

// allright, we're in!

echo 'okay: logged in...n';

// execute a command

if(!($stream = ssh2_exec($con, 'ls -al' )) ){

echo 'fail: unable to execute commandn';

} else{

// collect returning data from command

stream_set_blocking( $stream, true );

$data = '';

while( $buf = fread($stream,4096) ){

$data .= $buf;

}

fclose($stream);

}

}第二種方法：外殼

同樣道理，你也可以為如下的代碼編寫函數(shù)或者一個(gè)類。不過(guò)，本文僅僅提供基本觀念：

if (!function_exists('ssh2_connect')) die('function ssh2_connect doesn't exist')

// log in at server1.example.com on port 22

if(!($con = ssh2_connect('server1.example.com', 22))){

echo 'fail: unable to establish connectionn';

} else {

// try to authenticate with username root, password secretpassword

if(!ssh2_auth_password($con, 'root', 'secretpassword')) {

echo 'fail: unable to authenticaten';

} else {

// allright, we're in!

echo 'okay: logged in...n';

// create a shell

if(!($shell = ssh2_shell($con, 'vt102', null, 80, 40, SSH2_TERM_UNIT_CHARS))){

echo 'fail: unable to establish shelln';

} else{

stream_set_blocking( $shell, true );

// send a command

fwrite($shell,'ls -aln');

sleep(1);

// & collect returning data

$data = '';

while( $buf = fread($shell,,4096) ){

$data .= $buf;

}

fclose($shell);

}

}

}

小提示：

有時(shí)服務(wù)器忙碌，或者一個(gè)連接出錯(cuò)，緩沖區(qū)沒(méi)有數(shù)據(jù)，PHP腳本就會(huì)停止從一個(gè)命令輸出(即使命令并沒(méi)有完成!)中收集數(shù)據(jù)。你可以為此進(jìn)行如下的操作：

ssh2_exec($con, 'ls -al; echo '__COMMAND_FINISHED__'' );現(xiàn)在，在你不斷地檢查緩沖區(qū)的循環(huán)中，只需要看一下COMMAND_FINISHED。因?yàn)槟憔涂梢灾滥銚碛辛怂械臄?shù)據(jù)。為了避免無(wú)限循環(huán)(死循環(huán))，可以用一個(gè)10秒的超時(shí)限制：

$time_start = time();

$data = '';

while( true ){

$data .= fread($stream, 4096);

if(strpos($data,'__COMMAND_FINISHED__') !== false){

echo 'okay: command finishedn';

break;

}

if( (time()-$time_start) > 10 ){

echo 'fail: timeout of 10 seconds has been reachedn';

break;

}

}

在上面的例子中，你最好將stream_set_blocking設(shè)為false。

通過(guò)SSH發(fā)送文件

ssh2_scp_send($con, '/tmp/source.dat', '/tmp/dest.dat', 0644);

如果不能正常工作

請(qǐng)檢查如下的幾個(gè)方面：

依照本文檢查你操作的每一步

在服務(wù)器端，在sshd_config 中必須啟用“PasswordAuthentication yes”。在大多數(shù)服務(wù)器上默認(rèn)值是yes，不過(guò)有些情況下，你可能需要將下面的一行加入到文件中，即親自動(dòng)手打開(kāi)這個(gè)功能：

/etc/ssh/sshd_config:

# Change to yes to enable tunnelled clear text passwords

PasswordAuthentication yes

如果作了改變，就需要重新啟動(dòng)SSH：

/etc/init.d/ssh restart