คำถามติดแท็ก ssh

Secure Shell (SSH) เป็นโปรโตคอลหลักสำหรับการเชื่อมต่อเชลล์ที่เข้ารหัส แท็กนี้ยังใช้สำหรับคำถามเกี่ยวกับ sshd และ openssh ซึ่งเป็นสองแอปพลิเคชันมาตรฐานสำหรับการใช้ SSH

4
วัดเวลาแฝงทั้งหมดของเซสชัน SSH
มีวิธีในการวัด / รายงานเวลาหน่วงโดยรวมในเซสชัน SSH ที่อุโมงค์หรือไม่ การตั้งค่าเฉพาะของฉันคือ: ไคลเอนต์ (OS X + เราเตอร์ไร้สาย + โมเด็ม ADSL) เซิร์ฟเวอร์ Gateway SSH เปิดเผยกับอินเทอร์เน็ต เป้าหมาย SSH ภายในที่ฉันกำลังขุด ฉันสนใจที่จะเห็นความล่าช้าระหว่างคอนโซลในเครื่องของฉันกับเครื่องสุดท้ายที่ฉันเปิดเซสชัน

6
การอนุญาต SSH บนเซิร์ฟเวอร์ที่มีไคลเอนต์ OpenVPN ที่ใช้งานอยู่
ฉันมี VPS ที่รัน CentOS 7 ที่ฉันเชื่อมต่อกับ SSH ฉันต้องการเรียกใช้ไคลเอนต์ OpenVPN บน VPS เพื่อให้ปริมาณการใช้งานอินเทอร์เน็ตถูกส่งผ่าน VPN แต่ยังอนุญาตให้ฉันเชื่อมต่อกับเซิร์ฟเวอร์ผ่าน SSH เมื่อฉันเริ่ม OpenVPN เซสชัน SSH ของฉันจะถูกตัดการเชื่อมต่อและฉันไม่สามารถเชื่อมต่อกับ VPS ได้อีกต่อไป ฉันจะกำหนดค่า VPS เพื่ออนุญาตให้เปิดการเชื่อมต่อ SSH (พอร์ต 22) บน IP จริงของ VPS (104.167.102.77) ได้อย่างไร แต่ยังคงกำหนดเส้นทางทราฟฟิกขาออก (เช่นจากเว็บเบราว์เซอร์บน VPS) ผ่าน VPN บริการ OpenVPN ที่ฉันใช้คือ PrivateInternetAccess และตัวอย่างไฟล์ config.ovpn คือ: ลูกค้า dev tun proto …
15 ssh  openvpn 

5
เป็นวิธีที่ดีที่สุดในการเรียกใช้คำสั่ง ssh ระยะไกลในพื้นหลัง แต่ยังคงแสดงอะไร
ฉันต้องเรียกใช้คำสั่ง SSH จากระยะไกลด้วยการแสดงผลในเครื่อง แต่ถ้าการเชื่อมต่อขาดฉันต้องการให้คำสั่งยังคงทำงานอยู่ ฉันไม่ได้พูดมากเกี่ยวกับการเข้าสู่ระบบและการดำเนินการ แต่ทำ ssh user @ remotehost 'คำสั่ง && คำสั่ง ฯลฯ ' ฉันจะมั่นใจได้อย่างไรว่าคำสั่งจะทำงานแม้ว่าการเชื่อมต่อจะหยุดชะงัก
15 ssh  remote  background 

2
ทำให้เอสเอสเงียบอย่างแท้จริง
ฉันครึ่งทางผ่านการเขียนสคริปต์ nagios และฉันได้รับความรำคาญกับ SSH ตามหน้าคน: -q Quiet mode. Causes all warning and diagnostic messages to be suppressed. แต่ถ้าฉันเปิดใช้งานสถานะเงียบแล้วผ่านพอร์ตที่ไม่ถูกต้องฉันยังคงได้รับข้อผิดพลาด: $ ssh user@localhost -q -p test Bad port 'test' นี่เป็นปัญหาเพราะนั่นจะทำให้ข้อความนั้นเป็นบรรทัดแรกและนั่นคือสิ่งที่ Nagios คว้า ฉันต้องการส่งออกบางอย่างเช่น "คำเตือน | ข้อผิดพลาด SSH" หลังจากรับ!= 0รหัสออกจาก ssh แต่บรรทัดแรกที่ฉันสามารถส่งออกได้จะเป็น 2 บรรทัด ฉันจะทำให้ SSH TRULY เงียบได้อย่างไร หมายเหตุ: ฉันไม่แน่ใจว่าจะโพสต์คำถามนี้บน serverfault, superuser หรือ …
15 ssh  bash  nagios 

5
มันคุ้มค่ากับความพยายามในการบล็อกความพยายามในการเข้าสู่ระบบที่ล้มเหลวหรือไม่
มันคุ้มค่าที่จะใช้fail2ban , sshdfilter หรือเครื่องมือที่คล้ายกันซึ่งบัญชีดำที่อยู่ IP ใดที่พยายามและไม่สามารถเข้าสู่ระบบได้ ฉันเห็นมันแย้งว่านี่เป็นโรงละครรักษาความปลอดภัยบนเซิร์ฟเวอร์ "ปลอดภัย" อย่างไรก็ตามฉันรู้สึกว่ามันอาจทำให้ kiddies สคริปต์ย้ายไปยังเซิร์ฟเวอร์ถัดไปในรายการของพวกเขา สมมติว่าเซิร์ฟเวอร์ของฉัน "ปลอดภัย" และฉันไม่กังวลว่าการโจมตีด้วยเดรัจฉานจะสำเร็จจริง ๆ - เป็นเครื่องมือเหล่านี้เพียงทำให้ logfiles ของฉันสะอาดหรือฉันได้รับผลประโยชน์คุ้มค่าในการบล็อกการโจมตีด้วยกำลังดุร้าย? อัปเดต : มีความคิดเห็นมากมายเกี่ยวกับการคาดเดารหัสผ่านเดรัจฉาน - ฉันพูดถึงว่าฉันไม่ได้กังวลเกี่ยวกับเรื่องนี้ บางทีฉันควรจะเจาะจงมากขึ้นและถามว่า fail2ban มีประโยชน์ใด ๆ สำหรับเซิร์ฟเวอร์ที่อนุญาตเฉพาะการล็อกอินที่ใช้คีย์ ssh เท่านั้น
15 security  ssh  fail2ban 

1
SSH ForwardAgent หลายฮ็อพ
ฉันกำลังค้นหาวิธีแก้ไขปัญหาต่อไปนี้ใน 2 ชั่วโมงที่ผ่านมาโดยไม่มีโชค การพัฒนา: ฉันใช้การรับรองความถูกต้อง publickey เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของฉัน ฉันใช้การส่งต่อ ssh-agent เพื่อไม่ต้องจัดการกุญแจสาธารณะ / ส่วนตัว A, B and Cสมมติว่าผมมีเซิร์ฟเวอร์ LOCAL ---> A ---> Bนี้ทำงานได้ดีมากถ้าฉันเชื่อมต่อจาก LOCAL ---> A ---> Cนอกจากนี้ยังทำงานได้ดีมากถ้าผมทำ ตอนนี้ถ้าฉันลองLOCAL ---> A ---> B ---> CSSH ไม่สามารถเชื่อมต่อB to Cได้ น่าสังเกต: ฉันเชื่อมต่อกับเซิร์ฟเวอร์ A เป็นสภาพคล่องในขณะที่ฉันเชื่อมต่อกับเซิร์ฟเวอร์ B ในฐานะรูท การเชื่อมต่อกับเซิร์ฟเวอร์ B เนื่องจากสภาพคล่องช่วยแก้ไขปัญหาได้ แต่นี่ไม่ใช่ตัวเลือกสำหรับฉัน ตามคำแนะนำของผู้ใช้ฉันใช้ssh -Aแต่ละครั้งเพื่อให้แน่ใจว่าตัวแทนการส่งต่อถูกเปิดใช้งาน ฉันพบหนึ่งคำถามที่คล้ายกันโดยไม่มีคำตอบที่นี่: เป็นไปได้หรือไม่ที่จะส่งต่อเอเจนต์ …

10
ตัวเลือกไคลเอ็นต์ SSH เพื่อระงับแบนเนอร์เซิร์ฟเวอร์หรือไม่
ฉันอ่านStop ssh จากการพิมพ์ motd จากไคลเอ็นต์หรือไม่ อย่างไรก็ตามสถานการณ์ของฉันแตกต่างกันเล็กน้อย: ฉันต้องการเก็บเซิร์ฟเวอร์ / พา ธ / ไปยัง / เซิร์ฟเวอร์บางครั้ง ฉันต้องการส่งตัวเลือกภายใต้เงื่อนไขที่เฉพาะเจาะจงเพื่อไม่ให้พิมพ์แบนเนอร์ (เช่นssh -o "PrintBanner=No" someserver) ความคิดใด ๆ
15 ssh  banner 

2
ล่าช้านานเมื่อเข้าสู่ระบบด้วย CentOS7
ฉันมีระบบ CentOS 7 และเมื่อฉันเข้าสู่ระบบด้วย putty หรือ ssh มีความล่าช้านานก่อนที่ฉันจะได้รับพรอมต์รหัสผ่าน ฉันวิ่ง ssh -v และฉันพบว่ามันทำให้ดีขึ้น: debug1: ssh_ecdsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received จากนั้นมันจะอยู่ที่นั่นประมาณ 1-2 นาทีแล้วเอาท์พุทนี้จะระเบิดออก: debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password debug1: Next authentication method: gssapi-keyex debug1: No valid Key exchange …
15 ssh  centos7 

1
บรรทัดคำสั่ง ssh ระบุลายนิ้วมือคีย์โฮสต์เซิร์ฟเวอร์
ใช้sshบรรทัดคำสั่ง (OpenSSH) ฉันสามารถระบุลายนิ้วมือของคีย์โฮสต์ของเซิร์ฟเวอร์ได้หรือไม่ สิ่งนี้เป็นไปได้เมื่อใช้ winscp.com โดยใช้ (เช่น) -hostkey="ssh-rsa 2048 AA:BB:CC...etc ฉันได้อ่านหน้าคนสองสามครั้งฉันขอโทษถ้าฉันพลาดที่นั่น ฉันไม่ต้องการเพียงยอมรับรหัสโฮสต์โดยอัตโนมัติและฉันไม่ต้องการให้ผู้ใช้อัปเดตknown_hostsแต่ระบุรหัสโฮสต์ในบางรูปแบบในบรรทัดคำสั่ง

5
ยอมรับลายนิ้วมือคีย์ rsa โดยอัตโนมัติจากบรรทัดคำสั่ง
ฉันพยายามyes | ssh root@10.x.x.xที่จะยอมรับลายนิ้วมือคีย์ RSA แต่ยังคงได้รับแจ้งถ้าฉันแน่ใจว่าฉันต้องการเชื่อมต่อ มีวิธีทำให้อัตโนมัติหรือไม่

2
วิธี SSH ไปยังเป้าหมายโดยตรงผ่าน jumphost โดยใช้ SSH Config โดยไม่ต้องใช้คำสั่ง ssh เพิ่มเติม
ถ้าฉันทำ: ssh -J jumphost.example.com target.example.com ฉันจะเข้าสู่ 'เป้าหมาย' ในทันที หากฉันใช้ไฟล์กำหนดค่า ssh นี้ให้ใช้การกำหนดค่าการข้ามแบบใหม่ของ ssh-7.3: Host jump 10.1.*, targets*, *.example.com HostName jumphost.example.com IdentitiesOnly yes AddKeysToAgent yes UseKeychain yes IdentityFile ~/.ssh/id_rsa Host * AddKeysToAgent yes UseKeychain yes IdentityFile ~/.ssh/id_rsa ฉันลงทะเบียนเข้าสู่ 'jumphost' ไม่ใช่ 'target' มันคือพวงกุญแจสำหรับแม็คฉันได้ทำการทดสอบโดยที่ไม่มีมันและมันก็ไม่ได้สร้างความแตกต่างอะไร แต่คิดว่าฉันจะทิ้งไว้ในกรณี
14 linux  ssh 

2
รับไฟล์จากเซิร์ฟเวอร์สองขั้นตอน [ปิด]
ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน2 ปีที่ผ่านมา เรามีสถานการณ์ต่อไปนี้: เครื่องของฉัน เครื่องเกตเวย์ เครื่องเป้าหมาย ฉันไม่มีสิทธิ์รูททั้ง # 2 และ # 3 ฉันยังไม่สามารถจัดเก็บข้อมูล (ไม่เกิน 200 MiB) บนเครื่อง # 2 (เนื่องจากเป็นประตูสู่ส่วนที่เหลือของเครือข่ายไม่ใช่มากกว่านั้น) บนเครื่อง # 3 มีโฟลเดอร์ขนาดประมาณ 3 GiB ที่ฉันต้องการคัดลอกไปยังเครื่อง ฉันไม่สามารถ SSH จาก # 1 ถึง # 3 แต่ฉันสามารถ SSH ถึง # 2 จากนั้นเป็น # 3 ไม่สามารถตั้งค่าคีย์สาธารณะส่วนตัวระหว่าง # …
14 ssh  network-share  tar 

1
ศักยภาพเซสชัน SSH ที่ถูกแย่งชิงและแนวปฏิบัติที่ดีที่สุดของ SSH
ในขณะนี้ฉันกำลังออกไปเล็กน้อย ฉันเป็น SSHing ในเซิร์ฟเวอร์ระยะไกลที่ฉันเพิ่งได้รับหน้าที่ ฉันทำเช่นนี้เป็นราก ฉันติดตั้ง fail2ban และมี IP จำนวนมากถูกแบนในบันทึก ครั้งสุดท้ายที่ฉันลงชื่อเข้าใช้ฉันสังเกตเห็นว่าเทอร์มินัลของฉันล้าหลังมากจากนั้นการเชื่อมต่ออินเทอร์เน็ตของฉันลดลง เมื่อฉันซื้อมันกลับมาหลังจากผ่านไปประมาณ 5 นาทีฉันก็กลับเข้าสู่เซิร์ฟเวอร์และทำ 'ใคร' และรู้ว่ามีผู้ใช้รูทสองคนเข้าสู่ระบบฉันจะคิดว่าถ้าการเชื่อมต่อของฉันยุติกระบวนการจากเซสชันล่าสุด หยุดบนเซิร์ฟเวอร์หรือไม่ การเชื่อมต่อจบลงด้วย 'การเขียนล้มเหลว: ท่อแตก' เมื่อฉันถูกตัดการเชื่อมต่อเป็นครั้งแรก ฉันฆ่าเซสชันทุบตีกับรากอื่น ๆ ฉันไม่รู้เกี่ยวกับความปลอดภัยของ SSH มากนัก มีวิธีตรวจสอบสิ่งนี้หรือไม่? ฉันจำเป็นต้องเข้าสู่ระบบต่อผ่านทาง ssh ฉันควรระวังอะไรบ้าง? ถ้าฉันกำลังผ่านพร็อกซีเพื่อไปยังเซิร์ฟเวอร์ของฉัน (เช่นคนที่อยู่ตรงกลางของการโจมตี) พวกเขาสามารถจี้เซสชั่น ssh ของฉันได้อย่างไร
14 linux  ssh  security  unix  hacking 

1
auth.log บ่งชี้ข้อผิดพลาดกับ JSchException?
ฉันมีเซิร์ฟเวอร์การตั้งค่าค่อนข้างน้อยและไม่อนุญาตให้ใช้การตรวจสอบรหัสผ่านโดยใช้คีย์เท่านั้น และแน่นอนมันไม่ได้ติดตั้ง Java ปกติผมไม่ให้ความสนใจใด ๆ นับพันของความพยายามของวัน kiddies สคริปต์ที่จะคาดเดารหัสผ่านของฉัน - ฉันคิดเวลาที่พวกเขาเสียในระบบของฉันเป็นเวลาที่พวกเขาจะไม่สูญเสียในระบบที่ทำช่วยให้ตรวจสอบรหัสผ่าน แต่ฉันเห็นข้อความนี้ใน /var/log/auth.log: Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth] พูดถึงสิ่งที่ดูเหมือนว่ามีข้อยกเว้น Java มาจากผู้โจมตีหรือว่ามาจากบางสิ่งในด้านของฉัน

2
Linux ssh: อนุญาตให้ใช้การพิสูจน์ตัวตนด้วยรหัสสาธารณะโดยไม่ให้สิทธิ์การอ่านแก่ผู้ใช้ในรหัสส่วนตัว
ผู้ใช้ที่เข้าสู่ระบบบนเซิร์ฟเวอร์ Linux ของฉันควรจะสามารถ ssh ไปยังเครื่องระยะไกลเฉพาะด้วยบัญชีเริ่มต้น การรับรองความถูกต้องบนเครื่องระยะไกลใช้รหัสสาธารณะดังนั้นบนเซิร์ฟเวอร์จึงมีรหัสส่วนตัวที่เกี่ยวข้อง ฉันไม่ต้องการให้ผู้ใช้เซิร์ฟเวอร์อ่านรหัสส่วนตัวได้จริง โดยพื้นฐานแล้วความจริงที่ว่าพวกเขามีสิทธิ์เข้าถึงเซิร์ฟเวอร์จะอนุญาตให้ ssh ถูกต้องและการลบออกจากเซิร์ฟเวอร์ก็ควรไม่อนุญาตการเชื่อมต่อกับเครื่องระยะไกล ฉันจะอนุญาตให้ผู้ใช้เปิดการเชื่อมต่อ ssh โดยไม่ให้สิทธิ์การเข้าถึงแบบอ่านแก่ไพรเวตคีย์ได้อย่างไร? ความคิดของฉันจนถึงตอนนี้: เห็นได้ชัดว่าปฏิบัติการ ssh จะต้องสามารถอ่านคีย์ส่วนตัวดังนั้นจึงต้องทำงานภายใต้ผู้ใช้รายอื่นบนเซิร์ฟเวอร์ที่มีสิทธิ์เหล่านั้น เมื่อสร้างการเชื่อมต่อ ssh แล้วฉันสามารถ "ส่งต่อ" ไปยังผู้ใช้เพื่อให้เขาสามารถป้อนคำสั่งและโต้ตอบกับเครื่องระยะไกล นี่เป็นวิธีที่ดีหรือไม่? ฉันจะใช้การส่งต่อได้อย่างไร ผู้ใช้จะเริ่มต้นการเชื่อมต่อได้อย่างไร (นั่นคือการดำเนินการของ ssh โดยผู้ใช้ที่มีสิทธิ์อ่านบนคีย์) มีช่องโหว่ความปลอดภัยหรือไม่? - หากผู้ใช้สามารถรัน ssh ในฐานะผู้ใช้รายอื่นพวกเขาสามารถทำทุกสิ่งที่ผู้ใช้รายอื่นสามารถทำได้ (รวมถึงการอ่านคีย์ส่วนตัว) หรือไม่

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.