介绍 Linux 系统中基于 SSH 协议的 scp 安全文件传输工具。涵盖核心原理、认证方式、语法路径、常用选项及高级用法。对比了 scp 与 rsync、sftp 等工具的差异,提供了断点续传、批量传输优化方案及常见问题排查指南。强调生产环境下的密钥认证、权限限制及安全审计实践,帮助开发者高效安全地进行文件传输。
在 Linux 和类 Unix 系统中,scp(Secure Copy)是基于 SSH 协议的轻量安全文件传输工具,核心优势是无需额外配置、原生加密,适用于本地与远程、跨远程主机的文件/目录复制。
openssh-client),远程服务器需启用 sshd 服务。sftp 的区别:scp 专注'复制',sftp 侧重'交互式文件管理'(如新建目录、删除文件),二者共享 SSH 认证体系。| 认证方式 | 操作方式 | 安全性 | 关键注意事项 |
|---|---|---|---|
| 密码认证 | 交互式输入密码 | 中 | 密码不会明文传输,但可能被服务器日志记录;需启用 PasswordAuthentication yes(sshd 配置) |
| 密钥认证 | 基于 SSH 密钥对无密码登录 | 高 | 推荐生产环境使用,步骤如下: |
ssh-keygen -t ed25519 -C "备注"(优先,高效安全)
ssh-keygen -t rsa -b 4096 -C "备注"(兼容老系统)ssh-copy-id -p 22 user@remote(非默认端口需指定)chmod 600 ~/.ssh/id_ed25519(权限过宽会被 SSH 拒绝) |rwx),但所有者/组会变为目标主机的登录用户。(-p) 选项:保留修改时间(mtime)、访问时间(atime)、权限模式,但不保留 ACL 权限和 SELinux 上下文(需额外用 --preserve=all 或 rsync)。/dev/sda)无法通过 scp 完整复制,需用 dd 或 rsync -a。scp[选项][源路径][目标路径]
user@host: 前缀)。scp 的端口选项是大写 -P(与 ssh -p 相反),避免混淆!| 场景 | 命令示例 | 关键说明 |
|---|---|---|
| 本地文件 → 远程目录 | scp /local/file.txt [email protected]:/remote/dir/ | 目标目录需以 / 结尾,否则会把文件重命名为 dir |
| 本地目录 → 远程目录(递归) | scp -r /local/dir/ user@remote:/remote/ | 必须加 -r,本地目录结尾加 / 表示复制目录内内容,不加则复制目录本身 |
| 远程文件 → 本地目录 | scp user@remote:/remote/file.log /local/backup/ | 本地目录不存在会报错,需提前创建(mkdir -p /local/backup) |
| 远程目录 → 本地目录(递归) | scp -r user@remote:/remote/dir/ /local/ | 同上,远程目录结尾 / 的含义一致 |
| 远程→远程(本地中转) | scp user1@host1:/file user2@host2:/dir/ | 依赖本地网络带宽,适合两台远程主机无法直接通信的场景 |
| 远程→远程(直接通信) | scp -3 user1@host1:/file user2@host2:/dir/ | 加 -3 强制本地中转;不加则尝试两台远程主机直接通信(需互信) |
| 含特殊字符的路径 | scp 'user@remote:/path/file with space.txt' /local/ | 用单引号包裹,或用反斜杠转义:file\ with\ space.txt |
| 通配符批量传输 | scp user@remote:/data/{a,b,c}.txt /local/ | 支持花括号扩展、*.log、[0-9].txt 等通配符 |
| 从文件列表批量传输 | scp --files-from=file_list.txt user@remote:/dir/ | file_list.txt 中每行一个文件路径(本地/远程均可),适合大量文件传输 |
# 1. 非标准 SSH 端口(如 2222)
scp -P 2222 /local/file user@remote:/dir/
# 2. 指定自定义私钥(如非默认路径的密钥)
scp -i ~/.ssh/work_key user@remote:/file /local/
# 3. 同时指定端口和密钥
scp -P 2222 -i ~/.ssh/work_key /local/file user@remote:/dir/
| 选项 | 作用 | 实操示例 |
|---|---|---|
-r | 递归复制目录(必选,否则仅复制目录名) | scp -r /local/project user@remote:/var/www/ |
-P <端口> | 指定 SSH 端口(大写!小写 -p 是保留属性) | scp -P 2222 file.txt user@remote:/tmp/ |
-i <密钥> | 指定私钥文件(解决默认密钥不匹配问题) | scp -i ~/.ssh/aws_key user@aws-host:/data/ |
-p | 保留文件属性(mtime/atime/权限) | scp -p /etc/nginx/nginx.conf user@remote:/etc/nginx/ |
-q | 安静模式(不显示进度,仅输出错误) | scp -q -r /local/backup user@remote:/data/(适合脚本) |
-C | 启用压缩(文本文件提速明显,二进制文件效果有限) | scp -C /local/logs.tar.gz user@remote:/backups/ |
-l <速率> | 限制传输速率(单位 Kbit/s,1KB/s=8Kbit/s) | scp -l 8192 large.iso user@remote:/dir/(限制 1MB/s) |
-v | 详细模式(调试用,显示 SSH 连接、认证、传输细节) | scp -v file.txt user@remote:/tmp/(排查连接失败) |
-o <选项> | 传递 SSH 参数(绕过常见限制) | scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null file.txt user@remote:/tmp/(临时连接陌生主机,跳过密钥检查) |
-F <配置> | 指定 SSH 配置文件(多环境隔离) | scp -F ~/.ssh/config_test file.txt test-server:/tmp/ |
在 ~/.ssh/config 中配置主机别名(权限需为 600:chmod 600 ~/.ssh/config),支持多环境快速切换:
# 生产环境服务器
Host prod
HostName 10.0.0.10
User deploy
Port 2222
IdentityFile ~/.ssh/prod_ed25519
ServerAliveInterval 30 # 每 30 秒发心跳,防止连接超时
Compression yes # 默认启用压缩
# 测试环境服务器
Host test
HostName 192.168.1.20
User tester
Port 22
IdentityFile ~/.ssh/test_rsa
使用简化命令:
scp -r /local/project prod:/var/www/ # 无需输入 IP、端口、密钥路径
scp test:/var/log/app.log /local/ # 远程下载同样简化
scp 原生无进度条,但可通过以下 3 种方式实现,按需选择:
方案 1:pv 工具(推荐,直观)
# 上传(显示进度、速率、剩余时间)
pv /local/large_file.iso | ssh -p 2222 user@remote "cat > /remote/large_file.iso"
# 下载
ssh -p 2222 user@remote "pv /remote/large_file.iso" | cat > /local/large_file.iso
安装 pv:sudo apt install pv(Debian/Ubuntu)、sudo dnf install pv(CentOS/RHEL)。
方案 2:rsync 替代(支持进度 + 断点续传)
rsync -avzP -e "ssh -p 2222" /local/file user@remote:/dir/
-P = --progress(进度条) + --partial(保留部分传输文件)。
方案 3:原生 scp -v(间接查看)
scp -v /local/file user@remote:/dir/
详细输出中会显示'bytes sent/received',间接判断传输进度(适合无 pv 环境)。
scp 替代方案)scp 本身不支持断点续传,除了 rsync,还可通过 dd 命令实现(适合大文件):
# 1. 先查看已传输的文件大小(远程主机)
ssh user@remote "du -b /remote/large_file.iso"
# 输出:104857600 large_file.iso(已传 100MB)
# 2. 本地继续上传剩余部分(跳过前 100MB)
dd if=/local/large_file.iso bs=1M skip=100 | ssh user@remote "dd of=/remote/large_file.iso bs=1M seek=100"
if:输入文件;of:输出文件;bs=1M:块大小 1MB;skip:本地跳过已传部分;seek:远程跳过已传部分。排除指定文件:scp 本身不支持 --exclude,可结合 tar 打包后传输(适合目录传输):
# 本地打包(排除 log 和 tmp 目录)→ 远程解压
tar -czf - --exclude='*.log' --exclude='tmp/' /local/project | ssh user@remote "tar -xzf - -C /remote/"
从文件列表传输:将需要传输的文件路径写入 file_list.txt(每行一个),批量传输:
scp --files-from=file_list.txt user@remote:/data/
关闭 SSH 压缩(二进制文件场景):
scp -o Compression=no /local/video.mp4 user@remote:/dir/ # 避免压缩耗时反而降速
启用压缩 + 限制速率:
scp -C -l 4096 /local/large.tar.gz user@remote:/dir/ # 限制 512KB/s(4096 Kbit/s ÷8)
| 可能原因 | 解决方案 |
|---|---|
| SSH 服务未运行 | 远程主机执行:sudo systemctl start sshd(CentOS)/ sudo systemctl start ssh(Ubuntu) |
| 端口被防火墙拦截 | 远程主机开放端口: |
sudo ufw allow 2222(Ubuntu) | |
sudo firewall-cmd --add-port=2222/tcp --permanent && sudo firewall-cmd --reload(CentOS) | |
| 端口号错误 | 确认远程 SSH 端口(cat /etc/ssh/sshd_config) |
| 远程主机不可达 | 先测试连通性:ping remote_host、telnet remote_host 2222 |
| 可能原因 | 解决方案 |
|---|---|
| 目标目录不可写 | 1. 上传到临时目录再移动: |
scp file.txt user@remote:/tmp/ && ssh user@remote "sudo mv /tmp/file.txt /opt/protected/" |
ssh user@remote "sudo setfacl -m u:user:rwx /opt/protected/" |
| 私钥权限过宽 | 私钥必须为 600:chmod 600 ~/.ssh/id_ed25519(SSH 拒绝权限≥644 的私钥) |
| 远程用户无读取源文件权限 | 确保远程用户能访问源文件:ssh user@remote "ls -l /remote/file.txt"(无权限则用 sudo 打包) |解决方案 2:服务器端配置(需 root),修改 /etc/ssh/sshd_config:
ClientAliveInterval 60 # 服务器每 60 秒发心跳
ClientAliveCountMax 3
重启 sshd:sudo systemctl restart sshd。
解决方案 1:添加 SSH 心跳(客户端),在 ~/.ssh/config 中添加:
ServerAliveInterval 30
ServerAliveCountMax 5 # 5 次心跳失败才断开
~/.ssh/known_hosts 记录冲突。解决方案:
# 方法 1:删除指定主机的旧密钥(推荐)
ssh-keygen -R remote_host
# 或指定 IP:ssh-keygen -R 192.168.1.100
# 方法 2:临时跳过密钥检查(不推荐生产环境)
scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null file.txt user@remote:/dir/
| 工具 | 核心优势 | 劣势 | 传输速度 | 支持增量 | 支持断点续传 | 适用场景 |
|---|---|---|---|---|---|---|
scp | 简单易用、原生 SSH、无额外依赖 | 无进度条、不支持增量/断点 | 中等(单线程) | ❌ | ❌ | 小文件/目录、一次性传输 |
rsync | 增量传输、断点续传、进度条、灵活过滤 | 语法稍复杂、需额外安装 | 快(支持压缩 + 增量) | ✅ | ✅ | 大文件、频繁同步、目录备份 |
sftp | 交互式操作、支持文件管理(增删改查) | 不适合批量复制、无进度条 | 中等 | ❌ | ❌ | 需手动选择文件、远程文件管理 |
curl/wget | 支持 HTTP/HTTPS/FTP、适合公开资源 | 需服务器支持对应服务、安全性依赖协议 | 中等 | ❌ | 部分支持(-c 选项) | 从 Web 服务器下载公开文件 |
lrzsz(rz/sz) | 简单拖拽(SSH 客户端支持) | 传输速率低、不支持大文件 | 慢 | ❌ | ❌ | 小文件、本地与 SSH 客户端直接传输 |
修改远程服务器 /etc/ssh/sshd_config(需 root):
PasswordAuthentication no # 禁用密码认证
PubkeyAuthentication yes # 启用密钥认证
ChallengeResponseAuthentication no # 禁用挑战响应认证
ssh-copy-id),否则会无法登录!sudo systemctl restart sshd。配置 Chroot 环境(限制用户仅访问指定目录):
# /etc/ssh/sshd_config 新增
Subsystem sftp internal-sftp
Match User scp_user
ChrootDirectory /data/scp_root # 限制根目录
ForceCommand internal-sftp # 仅允许 sftp/scp,禁止 SSH 登录
AllowTcpForwarding no
X11Forwarding no
配置后需设置目录权限:sudo chown root:root /data/scp_root && sudo chmod 755 /data/scp_root。
创建专用传输用户(无登录权限):
sudo useradd -m -s /bin/false scp_user # /bin/false 禁止登录,仅用于传输
sudo passwd scp_user # 可选,若需临时密码(但已禁用密码认证)
user(操作用户)、from(来源 IP)、command(操作类型:scp/sftp)。查看传输日志(记录所有 scp/sftp 操作):
# Debian/Ubuntu
sudo grep -E "scp|sftp" /var/log/auth.log
# CentOS/RHEL
sudo grep -E "scp|sftp" /var/log/secure
# 实时监控
sudo journalctl -u sshd -f | grep -E "session opened|session closed"
~/.ssh/authorized_keys 中的旧公钥。sshd_config 中设置 PermitRootLogin no,通过普通用户 sudo 执行管理员操作。Port 22 改为 Port 2222 等,减少暴力破解尝试(需同步防火墙配置)。| 需求 | 命令示例 |
|---|---|
| 本地文件上传到远程 | scp /local/file.txt user@remote:/dir/ |
| 本地目录上传到远程 | scp -r /local/dir user@remote:/dir/ |
| 远程文件下载到本地 | scp user@remote:/dir/file.txt /local/ |
| 远程目录下载到本地 | scp -r user@remote:/dir /local/ |
| 指定端口 + 密钥上传 | scp -P 2222 -i ~/.ssh/key /local/file user@remote:/dir/ |
| 批量下载远程 txt 文件 | scp user@remote:/dir/*.txt /local/ |
| 压缩传输大文本文件 | scp -C /local/logs.tar.gz user@remote:/dir/ |
| 限制传输速率(1MB/s) | scp -l 8192 /local/large.iso user@remote:/dir/ |
| 简化命令(SSH 配置) | scp /local/file prod:/var/www/ |
scp 是 Linux 系统中最基础、零配置的安全传输工具,适合简单的一次性文件/目录复制场景。其核心价值在于'原生 SSH 集成',无需额外部署服务,安全性有保障。
scp(简单高效);rsync(功能更强);sftp(操作灵活)。掌握 -r(递归)、-P(端口)、-i(密钥)、-p(保留属性)四大核心选项,结合 SSH 配置简化命令,可大幅提升传输效率。生产环境中务必启用密钥认证、限制用户权限,通过日志审计强化安全管控。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML 转 Markdown 互为补充。 在线工具,Markdown 转 HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML 转 Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online