OpenSSH on Liangweidong's blog

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

Sun, 15 May 2022 00:00:00 +0800

一、为什么 2022 年要谈 Linux 安全加固

2020-2022 年是国内挖矿木马最高峰的两年——Log4j2（2021-12 CVE-2021-44228）、Confluence（2021-2022）、Spring4Shell（2022-03 CVE-2022-22965）接连爆出，攻击者用漏洞横向打穿企业内网后植入 c3Pool / MoneroOcean 等矿池挖矿代理。本文整理三件套：

EDR Agent 一键部署——商用 EDR（终端检测与响应）平台让运维少背锅
OpenSSH 9.8 升级——修 CVE-2020-15778（OpenSSH 8.2 scp 命令注入）等高危漏洞
挖矿病毒应急排查——c3Pool 类挖矿木马的发现、定位、清理流程

本文写于 2022-05-15。OpenSSH 9.8 是 2024-07 发布的（本文示例为 9.8p1），但编译升级流程对所有 OpenSSH 大版本升级都适用。

二、EDR Agent 一键部署

EDR（Endpoint Detection and Response）平台——奇安信天擎、深信服 EDR、亚信安全、青云 Radware 等——都提供 Linux 客户端（agent）。商业 EDR 的标准装法是从管理控制台下载安装包，到终端一键部署。

2.1 命令行部署（标准动作）

1
2
3
4


wget --no-check-certificate https://<管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz \
&& tar -xzvf linux_edr_installer.tar.gz \
&& ./agent_installer.sh -c

4430 是 EDR 管理平台默认端口
-c：无参安装，从同目录的 manager_info.txt 读取管理平台地址

2.2 下载器部署（手动拷贝安装包）

登录管理控制台，下载 Linux 安装包
拷贝到服务器（scp / ftp / U 盘）
解压：
1

tar -xzvf linux_edr_installer.tar.gz

装：

1
2
3
4
5
6
7


# 无参安装（用同目录 manager_info.txt）
./agent_installer.sh

# 自定义安装
./agent_installer.sh -f
./agent_installer.sh -h <mgr-domain-or-ip>
./agent_installer.sh -h <mgr-host> -p 443 -d /root/edr/ -f

参数列表：

参数	作用
`-h host`	自定义管理平台域名 / IP
`-p port`	自定义管理平台端口（默认 4430）
`-d dir`	自定义安装路径（绝对路径）
`-f`	强制安装（覆盖已有）
`--help`	帮助

装完 agent 会自动连管理平台，进程通常叫 edr_agent / qax-anti-virus 之类。

2.3 验证

1
2
3
4
5
6
7
8


ps -ef | grep -i agent
# 看 EDR 进程是否在

netstat -antp | grep <管理平台IP>
# 看是否建立了到管理平台的连接

tail -f /var/log/edr/edr.log
# 看 agent 日志

坑提醒：EDR agent 启动会占 200-500MB 内存 + 5-10% CPU，对老旧业务机器要提前评估。

三、OpenSSH 升级：修 CVE-2020-15778

CVE-2020-15778（CVSS 7.8 高危）：OpenSSH 8.2 的 scp 命令存在命令注入漏洞——scp 在处理 scp tgt:'echo test > /tmp/hack' 这种参数时，反引号会被执行。OpenSSH 9.8p1（2024-07）已修复。

3.1 走系统源升级

1
2
3


sudo apt update && sudo apt -y upgrade
# 或 CentOS
sudo yum update openssh

大部分 LTS 发行版会自动 backport 修复，直接 apt upgrade 就够了——但版本号可能不会升到 9.8p1。

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

1
2
3


sudo apt update
sudo apt install build-essential zlib1g-dev libssl-dev -y
sudo apt install autoconf -y

3.2.2 准备 PrivSep 目录

1
2
3


sudo mkdir /var/lib/sshd
sudo chmod -R 700 /var/lib/sshd/
sudo chown -R root:sys /var/lib/sshd/

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

1

sudo apt install libpam0g-dev libselinux1-dev libkrb5-dev -y

3.2.4 下载 + 编译

1
2
3
4
5
6
7
8
9


curl -O https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
sudo tar -zxf openssh-9.8p1.tar.gz
cd openssh-9.8p1
sudo autoreconf
sudo ./configure --with-kerberos5 --with-md5-passwords --with-pam \
 --with-selinux --with-privsep-path=/var/lib/sshd/ \
 --sysconfdir=/etc/ssh
sudo make
sudo make install

3.2.5 重启 + 验证

1
2
3
4


sudo systemctl restart ssh
sudo systemctl status ssh
ssh -V
# OpenSSH_9.8p1, OpenSSL 1.1.1f 31 Mar 2020

坑提醒 1：升级前先开两个 SSH 会话——一个升级、一个监视。万一升级失败，被踢出来时还有回退渠道。

坑提醒 2：编译时如果报 configure: error: OpenSSL library not found，装 libssl-dev（Debian/Ubuntu）或 openssl-devel（RHEL/CentOS）。

坑提醒 3：升级后 /etc/ssh/sshd_config 不会自动更新——但 sshd_config 5.x → 9.x 兼容性一般没问题。

四、挖矿病毒应急排查

c3Pool、MoneroOcean、Supportxmr 等门罗币矿池是国内挖矿木马最常用的"回传通道"。特征：

进程名随机（f54e90d4 / ntools / WbeGGvQK / kthrotlds 等）
CPU 持续 80%+
跟矿池的 3333 / 5555 / 7777 / 14444 / 14433 等端口建连
cron 里写 */5 * * * * /tmp/.x/...
/etc/cron.d/、/var/spool/cron/、/etc/rc.local 被改

4.1 排查步骤

第 1 步：看 CPU 占用

1

top -u <被怀疑的用户>

或精确找挖矿进程：

1

ps -ef | grep -E 'kdevtmpfsi|kinsing|xmrig|minerd|c3pool' | grep -v grep

第 2 步：查网络连接

1
2
3
4
5


# 看跟可疑矿池的连接
ss | grep -i :3333
ss | grep -i :14444
ss | grep -i :14433
netstat -antp | grep -E ':(3333|5555|7777|14444|14433)\s'

第 3 步：查定时任务

1
2
3
4
5


crontab -l
ls -la /etc/cron.d/
ls -la /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.weekly/
ls -la /var/spool/cron/
cat /etc/rc.local

第 4 步：看启动项

1
2
3


systemctl list-unit-files | grep enabled
# 找可疑的 .service
cat /etc/systemd/system/<可疑>.service

第 5 步：杀进程 + 删文件

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 杀进程
pkill -9 -u <被感染用户>
# 或按 PID
ps -ef | grep -i xmrig | grep -v grep | awk '{print $2}' | xargs kill -9

# 删文件
rm -rf /tmp/.x/
rm -rf /var/tmp/.cache/
rm -rf /root/.configrc/

# 删用户
userdel -r <被感染用户>

# 清空可疑 crontab
crontab -r

第 6 步：改密码 + 收口

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


passwd root
# 改所有用户密码
# 撤 SSH 密钥
rm -f /root/.ssh/authorized_keys
rm -f /home/*/.ssh/authorized_keys

# 关可疑端口（防火墙）
iptables -A INPUT -p tcp --dport 3333 -j DROP
iptables -A INPUT -p tcp --dport 14444 -j DROP

# 查 SSH 登录历史
last -a | grep -i still
# 找可疑 IP

4.2 排查命令速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 看哪些用户登录了
last -a

# 2. 看哪些 SSH 进程在工作
ps -ef | grep sshd | grep -v grep
netstat -antp | grep 'ESTABLISHED.*sshd'

# 3. 查进程工作目录
ps -ef | grep -i xmrig
pwdx <PID>
ll /proc/<PID>/cwd
# /proc/<PID>/cwd 是进程当前工作目录的软链接

# 4. 查被修改的二进制
rpm -Va | grep -E '^..5' # CentOS / RHEL
debsums -c # Debian / Ubuntu
# 5=MD5 不一致 → 二进制被替换

4.3 应急清单

步骤	命令	目的
1. 隔离	`iptables -I INPUT -s <可疑IP> -j DROP`	阻断攻击者 SSH 入口
2. 拍快照	云盘快照 / LVM 快照	保留现场取证
3. 杀进程	`pkill -9 -u <user>`	中断挖矿
4. 删文件	`rm -rf /tmp/.x/`	清掉二进制
5. 改密码	`passwd root`	防止再次入侵
6. 收口	封 3333/14444 等矿池端口	防止复连
7. 复盘	查 SSH 弱口令 / 未授权密钥 / 0day	找到入侵路径

五、SSH 攻击 IP 黑名单（fail2ban 思路）

fail2ban 是 Linux 标配的 SSH 防护工具——连续登录失败 N 次自动封 IP。

1
2
3
4
5
6


# Debian / Ubuntu
sudo apt install -y fail2ban

# CentOS / RHEL
sudo yum install -y epel-release
sudo yum install -y fail2ban

/etc/fail2ban/jail.local：

1
2
3
4
5
6
7
8
9


[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure # CentOS
# logpath = /var/log/auth.log # Ubuntu
maxretry = 5
findtime = 600
bantime = 3600

启动：

1
2


sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

六、典型坑速查

现象	原因	处理
OpenSSH 编译失败	缺 `libssl-dev` / `libpam0g-dev`	走 §3.2.1 装依赖
SSH 升级后无法登录	`sshd_config` 配错	控制台 / VNC 登录修 `/etc/ssh/sshd_config`
EDR agent 装不上	服务器断网 / 平台端口不通	走 §2.2 下载器部署
`userdel` 失败	用户还有进程在跑	`pkill -u <user> && userdel -r <user>`
`crontab -e` 提示 “no crontab for root”	crontab 已被清空	这是好事，再 `crontab -e` 重新建
矿池连不上但 CPU 仍高	杀的是单进程、还有其他变种	`pkill -9 -u <user>` 一刀切

七、2024+ 视角补充

本文写于 2022-05，2024-2026 期间 Linux 安全加固关键演进：

OpenSSH 9.8 → 9.9 → 10.0（2024-2026）：
- OpenSSH 9.9（2024-09）：后量子算法默认启用（ML-DSA / hybrid Streamlined NTRUPrime）
- OpenSSH 10.0（2025-04）：dropbear 替代品；DSA 主机密钥完全移除
- CVE-2024-6387（regreSSHion）：OpenSSH 8.5p1 ~ 9.7p1 的 signal handler race condition——远程 RCE 漏洞，必须升 9.8p1+（2024-07 修复）
EDR 生态（2024-2026）：
- CrowdSec 1.0+（2024）：社区共享 IP 黑名单——fail2ban 的现代替代，集成 fail2ban bouncer 兼容
- Wazuh 4.9+（2025）：开源 EDR / SIEM——OSSEC 演进版，机器学习检测 / 合规基线
- Falco 0.40+（2025）：CNCF 毕业——运行时安全（eBPF），K8s 安全监控首选
- Tetragon 1.0+（2024）：eBPF 驱动的 K8s 安全——Cilium 出品
- Tracee 1.0+（2024）：Aqua Security 出品，运行时威胁检测
挖矿木马演化（2024-2026）：
- 门罗币（XMR） 仍是主流，2024+ 出现 AI 挖矿（LLM 模型训练）——更隐蔽
- APT 组织 从挖矿转向勒索 + 数据窃取双驱动——纯挖矿变少
- 供应链投毒 2024+ 高发（XZ Utils 后门 CVE-2024-3094 / Polkit 提权）
EDR 商业方案（2024+）：
- CrowdStrike Falcon（2024-07 全球蓝屏事件后信任度下降，但仍是主流）
- Microsoft Defender for Endpoint / Linux：2024+ 集成 K8s，Linux Server 端默认
- 阿里云 / 腾讯云安骑士 / 云安全中心：国内云上 EDR 首选

实战建议（2025-2026 视角）：

SSH 安全 → 立即升 OpenSSH 9.8p1+（修 CVE-2024-6387）
EDR 选型：
- 预算充足 / 企业 → CrowdStrike / Microsoft Defender
- 开源 / 自托管 → Wazuh 4.9+（SIEM + EDR） / Falco（K8s）
挖矿防护 → CrowdSec 替代 fail2ban（社区共享 IP 黑名单）
白名单 → SELinux Targeted + OpenSCAP（合规基线扫描）
云原生 → Falco + Tetragon 是 2024-2026 K8s 安全黄金组合

八、下一步

想做更细的病毒查杀 → 上 OSSEC / Wazuh / ClamAV 等开源 EDR
想做 SSH 集中管理 → 走堡垒机（齐治 / 安恒 / JumpServer）
想做内网横向流量检测 → 上 NDR（科来、东巽科技、聚铭网络）
想给服务器上白名单模式 → 走 SELinux Targeted 策略或 AppArmor

参考资料

Win11 OpenSSH 服务端实战：安装、连接、卸载与防火墙

Tue, 15 Sep 2015 00:00:00 +0800

一、为什么要在 Windows 上装 OpenSSH

2014 年微软开始和 PowerShell 团队一起开发 Win32-OpenSSH，2018 年起 Win10 1809+ / Win11 默认内置。SSH 是 Linux / macOS 的标配远程协议，把 Windows 暴露成 SSH 服务端有几个常见收益：

从 Linux / macOS 终端直接 ssh 上去操作 Windows（比 mstsc 远程桌面更适合开发机）
VS Code Remote - SSH 插件远程开发 Windows 上的代码
CI / CD 工具（Jenkins / GitHub Actions）用 SSH 协议往 Windows 推文件
PowerShell Remoting over SSH —— 把 PowerShell 会话走 SSH 隧道

OpenSSH 完全替代老旧的 telnet / rsh / WinRM HTTP 模式。Win10 1809+ 和 Win11 都内置了 OpenSSH 客户端和服务端。

二、查 OpenSSH 是否已装

1

Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*'

输出形如：

1
2
3
4


Name : OpenSSH.Client~~~~0.0.1.0
State : Installed
Name : OpenSSH.Server~~~~0.0.1.0
State : NotPresent

Installed 表示已装，NotPresent 表示未装。

三、在线安装

1
2
3
4
5


# 装客户端（很多机器已经自带）
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0

# 装服务端
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

装完：

客户端：C:\Windows\System32\OpenSSH\ + ssh.exe 在 PATH 中
服务端：C:\Windows\System32\OpenSSH\ + sshd.exe 守护进程

四、离线安装

适用场景：生产 Windows Server 不能上网、企业内网无外网、Win10 老版本没有内置 OpenSSH

4.1 下载离线包

微软官方仓库：https://github.com/PowerShell/Win32-OpenSSH/releases

下载两个文件：

OpenSSH-Win64-v9.2.2.0.msi（服务端 + 客户端 + 工具）
或 OpenSSH-Win32-v9.x.x.x.msi（32 位——老机器）

路径示例：https://github.com/PowerShell/Win32-OpenSSH/releases/download/v9.2.2.0p1-Beta/OpenSSH-Win64-v9.2.2.0.msi

4.2 安装

双击 .msi 走 GUI 安装向导；或者静默安装：

1

msiexec /i OpenSSH-Win64-v9.2.2.0.msi /qn

安装位置：%SYSTEMROOT%\System32\OpenSSH\（默认 C:\Windows\System32\OpenSSH\）

五、启动服务

5.1 启动 sshd

1
2
3
4
5
6
7
8


# 启动 SSH 守护进程
Start-Service sshd

# 设为自动启动（重启后自动拉起）
Set-Service -Name sshd -StartupType 'Automatic'

# 检查服务状态
Get-Service sshd

5.2 验证防火墙规则

1

Get-NetFirewallRule -Name *ssh*

应该看到一条 OpenSSH-Server-In-TCP 的入站规则，默认已 enable。

5.3 手动添加防火墙规则（如果没有）

1
2
3
4
5
6
7


New-NetFirewallRule -Name sshd `
 -DisplayName 'OpenSSH Server (sshd)' `
 -Enabled True `
 -Direction Inbound `
 -Protocol TCP `
 -Action Allow `
 -LocalPort 22

六、连接测试

6.1 从 Linux / macOS 连接

1

ssh username@windows-host-ip

或者指定端口：

1

ssh -p 22 username@windows-host-ip

6.2 第一次连接的 fingerprint 确认

1
2
3


The authenticity of host '...' can't be established.
ED25519 key fingerprint is SHA256:...
Are you sure you want to continue connecting (yes/no/[fingerprint])?

输入 yes，公钥会保存到 ~/.ssh/known_hosts，下次不再提示。

6.3 PowerShell 验证 OpenSSH 版本

1

ssh -V

输出形如：OpenSSH_for_Windows_8.0 或 OpenSSH_for_Windows_9.2p1。

七、SSH 密钥认证

强烈推荐：用公私钥对代替密码认证，安全性 + 自动化双提升。

7.1 在客户端生成密钥对

1

ssh-keygen -t ed25519 -C "your_email@example.com"

ed25519 是 2014+ 推荐算法，比 RSA 短而快。公私钥生成在 ~/.ssh/id_ed25519 和 ~/.ssh/id_ed25519.pub。

7.2 把公钥传到 Windows

1
2


# Linux / macOS 端
ssh-copy-id username@windows-host-ip

或者手动：

1

cat ~/.ssh/id_ed25519.pub | ssh username@windows-host-ip "umask 077; mkdir -p ~/.ssh; cat >> ~/.ssh/authorized_keys; type C:\Windows\system32\OpenSSH\ssh-keyscan.exe > nul"

7.3 关闭密码认证（可选）

服务端 C:\ProgramData\ssh\sshd_config：

1
2


PasswordAuthentication no
PubkeyAuthentication yes

改完重启 sshd：

1

Restart-Service sshd

八、PowerShell Remoting over SSH

Win10 / Win11 + PowerShell 7+ 支持 PSRemoting over SSH：

8.1 服务端准备

1
2
3
4
5


# 启用 PSRemoting
Enable-PSRemoting -Force

# 把 SSH 当 transport
# (Win10 1809+ / Win11 默认已配)

8.2 客户端连接

1
2


# 客户端
Enter-PSSession -HostName username@windows-host-ip -SSHTransport

进入交互式会话，跟本地 PowerShell 用法完全一样。

8.3 脚本化调用

1
2
3


Invoke-Command -HostName username@windows-host-ip -SSHTransport -ScriptBlock {
 Get-Service | Where-Object Status -eq 'Running' | Select-Object Name, DisplayName
}

九、常见问题排查

9.1 sshd 启动失败：`sshd: no hostkeys available`

1
2


# 手动生成 host 密钥
ssh-keygen -A

9.2 客户端报 “Permission denied (publickey)”

检查 ~/.ssh/authorized_keys 文件权限（Windows 下用 icacls）：

1
2
3
4


icacls "C:\Users\username\.ssh\authorized_keys" /inheritance:r
icacls "C:\Users\username\.ssh\authorized_keys" /grant "username:(R)"
icacls "C:\Users\username\.ssh" /inheritance:r
icacls "C:\Users\username\.ssh" /grant "username:(OI)(CI)F"

检查 sshd_config：PubkeyAuthentication yes
看服务端日志：Get-EventLog -LogName Application -Source OpenSSH -Newest 20

9.3 连接慢 / 卡顿

服务端 sshd_config 加：

1

UseDNS no

关掉反向 DNS 查询——Windows Server 经常因为 DNS 配置不当卡几十秒。

十、彻底卸载

1
2
3
4
5


# 卸服务端
Remove-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

# 卸客户端
Remove-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0

如果是 MSI 安装：

1
2
3
4
5


# 查 product code
Get-WmiObject -Class Win32_Product | Where-Object Name -like 'OpenSSH*'

# 卸载
msiexec /x {PRODUCT_CODE} /qn

卸载后 C:\ProgramData\ssh\ 的配置和 C:\Users\<USER>\.ssh\ 的客户端密钥仍保留——Add-WindowsCapability 重新装会复用。

十一、SSH 客户端常用命令（Win11 自带）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 连接
ssh user@host

# 指定私钥
ssh -i ~/.ssh/id_ed25519 user@host

# 端口转发（本地 8080 转到远端 80）
ssh -L 8080:localhost:80 user@host

# SFTP 文件传输
sftp user@host

# SCP 文件拷贝
scp file.txt user@host:/path/to/dest/

11.1 VS Code Remote - SSH

VS Code 装 Remote - SSH 扩展后，Ctrl+Shift+P → “Remote-SSH: Connect to Host” 就能连到 Windows 远程开发。

11.2 scp 跨机传文件

1
2
3
4
5
6
7
8


# 本地 → 远端
scp C:\file.txt user@host:D:\dest\

# 远端 → 本地
scp user@host:D:\file.txt C:\dest\

# 整目录
scp -r C:\dir user@host:D:\dest\

十二、Win10 / Win11 自带 OpenSSH 局限性

没有完整 sftp-server：Win10 1809+ 的 OpenSSH 支持 SFTP 子系统，但 2018-2020 期间有 bug，2021+ 才稳定
没有 ssh-agent 转发：默认不启用
没有 ControlMaster / ControlPersist：多窗口复用得手动
不支持 AuthorizedKeysCommand：大集群的集中密钥分发得自己写脚本

如果对 SSH 有重度需求（如集群管理、跳板机、堡垒机），用 WSL2 装 OpenSSH 服务端更稳：

1
2
3


# WSL2 里
sudo apt install openssh-server
sudo systemctl enable ssh

十三、常见 5 个坑

UseDNS yes 卡顿——改 sshd_config 设为 no
authorized_keys 权限错误——Windows 下用 icacls 而非 Linux 风格的 chmod 600
PowerShell Remoting 默认走 WinRM——加 -SSHTransport 参数才走 SSH
MSI 装的服务端和 PowerShell 装的不冲突——优先用 Add-WindowsCapability 装，MSI 是离线备用方案
OpenSSH 服务端绑 0.0.0.0——默认所有网卡都监听，生产环境改 ListenAddress 192.168.x.x 限内网

十四、总结

Win10 1809+ / Win11 自带——Add-WindowsCapability 一行装
离线安装用 OpenSSH-Win64-9.x.x.x.msi
sshd 自动启动 + 防火墙默认开启 22 端口——一行命令搞定
强烈推荐 SSH 公私钥认证，关密码
PSRemoting over SSH——PowerShell 7 + 跨平台远管
服务端局限：SFTP bug 修复在 2021+，复杂需求用 WSL2 的 openssh-server

OpenSSH on Liangweidong's blog

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

一、为什么 2022 年要谈 Linux 安全加固

二、EDR Agent 一键部署

2.1 命令行部署（标准动作）

2.2 下载器部署（手动拷贝安装包）

2.3 验证

三、OpenSSH 升级：修 CVE-2020-15778

3.1 走系统源升级

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

3.2.2 准备 PrivSep 目录

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

3.2.4 下载 + 编译

3.2.5 重启 + 验证

四、挖矿病毒应急排查

4.1 排查步骤

第 1 步：看 CPU 占用

第 2 步：查网络连接

第 3 步：查定时任务

第 4 步：看启动项

第 5 步：杀进程 + 删文件

第 6 步：改密码 + 收口

4.2 排查命令速查

4.3 应急清单

五、SSH 攻击 IP 黑名单（fail2ban 思路）

六、典型坑速查

七、2024+ 视角补充

八、下一步

参考资料

Win11 OpenSSH 服务端实战：安装、连接、卸载与防火墙

一、为什么要在 Windows 上装 OpenSSH

二、查 OpenSSH 是否已装

三、在线安装

四、离线安装

4.1 下载离线包

4.2 安装

五、启动服务

5.1 启动 sshd

5.2 验证防火墙规则

5.3 手动添加防火墙规则（如果没有）

六、连接测试

6.1 从 Linux / macOS 连接

6.2 第一次连接的 fingerprint 确认

6.3 PowerShell 验证 OpenSSH 版本

七、SSH 密钥认证

7.1 在客户端生成密钥对

7.2 把公钥传到 Windows

7.3 关闭密码认证（可选）

八、PowerShell Remoting over SSH

8.1 服务端准备

8.2 客户端连接

8.3 脚本化调用

九、常见问题排查

9.1 sshd 启动失败：sshd: no hostkeys available

9.2 客户端报 “Permission denied (publickey)”

9.3 连接慢 / 卡顿

十、彻底卸载

十一、SSH 客户端常用命令（Win11 自带）

11.1 VS Code Remote - SSH

11.2 scp 跨机传文件

十二、Win10 / Win11 自带 OpenSSH 局限性

十三、常见 5 个坑

十四、总结

参考资料

9.1 sshd 启动失败：`sshd: no hostkeys available`