Windows系统部署OpenSSH实现高效文件传输

1. 为什么要在Windows上部署OpenSSH？

在Linux环境下用惯scp命令传输文件的技术人员，切换到Windows系统时总会觉得文件传输不够高效。虽然Windows自带了远程桌面和共享文件夹功能，但这些方案要么需要图形界面，要么存在权限管理复杂的问题。微软从Windows 10 1809版本开始原生集成OpenSSH服务，让我们可以在Windows上获得与Linux一致的命令行文件传输体验。

我最近在帮客户部署混合云环境时，就遇到了需要在20多台Windows服务器之间批量传输配置文件的场景。通过配置OpenSSH服务端和客户端，不仅实现了脚本化文件传输，还能复用现有的Linux运维工具链。下面就把完整的配置过程和经验总结分享给大家。

2. 环境准备与组件安装

2.1 系统版本确认

首先按Win+R输入winver查看系统版本，确认是Windows 10 1809或更高版本。如果是Windows Server则需要2019及以上版本。早期的Windows系统虽然也能手动安装OpenSSH，但会遇到各种依赖问题，建议直接升级系统。

注意：企业环境中如果使用LTSC长期服务版，可能需要单独下载OpenSSH安装包

2.2 通过可选功能安装组件

1. 打开"设置 -> 应用 -> 可选功能"
2. 点击"查看功能"按钮
3. 搜索框中输入"OpenSSH"
4. 勾选"OpenSSH客户端"和"OpenSSH服务器"
5. 点击下一步完成安装

安装完成后，在PowerShell中运行以下命令验证：

powershell复制Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'

应该看到两个组件的State状态为"Installed"。

3. 服务端配置详解

3.1 初始化SSH服务

以管理员身份启动PowerShell，执行服务初始化命令：

powershell复制# 设置服务自动启动
Set-Service -Name sshd -StartupType 'Automatic'

# 立即启动服务
Start-Service sshd

# 验证服务状态
Get-Service sshd

3.2 防火墙规则配置

Windows防火墙默认会阻止SSH连接，需要添加放行规则：

powershell复制New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

如果企业网络有组策略限制，可能需要额外配置：

powershell复制# 允许通过域网络访问
Set-NetFirewallRule -Name sshd -Profile Domain

3.3 关键配置文件修改

配置文件路径为C:\ProgramData\ssh\sshd_config，需要关注以下参数：

code复制# 允许密码认证（初期调试建议开启）
PasswordAuthentication yes

# 指定密钥文件路径（默认即可）
AuthorizedKeysFile .ssh/authorized_keys

# 禁用root登录（安全加固）
PermitRootLogin no

修改后需要重启服务生效：

powershell复制Restart-Service sshd

4. 客户端使用实战

4.1 基础SCP命令语法

从Windows上传文件到Linux服务器：

powershell复制scp C:\test.txt user@linux-server:/home/user/

从Linux下载文件到Windows：

powershell复制scp user@linux-server:/var/log/app.log C:\logs\

递归传输整个目录：

powershell复制scp -r C:\project\ user@server:/opt/

4.2 密钥认证配置

1. 在客户端生成密钥对：

powershell复制ssh-keygen -t rsa -b 4096

2. 将公钥上传到服务器：

powershell复制type $env:USERPROFILE\.ssh\id_rsa.pub | ssh user@server "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

3. 测试免密登录：

powershell复制ssh user@server

4.3 高级参数应用

限速传输（防止占用全部带宽）：

powershell复制scp -l 8192 largefile.iso user@server:/backups/

保持文件属性（适用于备份场景）：

powershell复制scp -p config.ini user@server:/etc/app/

5. 常见问题排查指南

5.1 连接超时问题

现象：执行scp命令后长时间无响应

排查步骤：

1. 确认服务端sshd服务状态

   powershell复制Get-Service sshd
   

2. 检查22端口监听

   powershell复制netstat -ano | findstr :22
   

3. 测试本地环回

   powershell复制ssh localhost
   

5.2 权限拒绝错误

现象：收到"Permission denied"错误

解决方案：

1. 检查目标目录写入权限
2. 确认selinux/AppLocker未阻止访问
3. 临时开启详细日志

   powershell复制ssh -v user@server
   

5.3 中文乱码处理

在sshd_config中添加：

code复制AcceptEnv LANG LC_*

客户端连接时指定编码：

powershell复制set LANG=zh_CN.UTF-8 && scp file.txt server:/path/

6. 安全加固建议

1. 修改默认端口（编辑sshd_config中的Port参数）
2. 禁用密码认证（设置PasswordAuthentication no）
3. 配置fail2ban阻止暴力破解
4. 定期轮换主机密钥

   powershell复制ssh-keygen -A
   

5. 启用TCP Wrapper限制访问IP

我在实际运维中发现，很多管理员会忽略密钥文件的权限设置。正确的做法是：

powershell复制icacls $env:USERPROFILE\.ssh\id_rsa /inheritance:r /grant:r "$env:USERNAME:(R)"