คำถามติดแท็ก ssh

ในบางครั้งฉันจำเป็นต้องตรวจสอบทรัพยากรในหลาย ๆ เครื่องทั่วทั้งศูนย์ข้อมูลของเราเพื่อดูคำแนะนำในการผนวกรวมและอื่น ๆ ที่คล้ายคลึงกัน ฉันชอบ htop ส่วนใหญ่เป็นเพราะความรู้สึกแบบโต้ตอบและการแสดงผล มีวิธีการเริ่มต้นการตั้งค่าบางอย่างเพื่อตั้งค่าของฉันสำหรับ htop หรือไม่ ตัวอย่างเช่นสิ่งหนึ่งที่ฉันต้องการแสดงเสมอคือโหลด CPU เฉลี่ย หมายเหตุสำคัญ:การตั้งค่านี้ในกล่องเฉพาะไม่ใช่สิ่งที่เป็นไปได้ - ฉันกำลังมองหาวิธีตั้งค่านี้แบบไดนามิกทุกครั้งที่ฉันใส่เข้าไปในกล่อง เป็นไปได้ทั้งหมดหรือไม่

45 ssh  display-settings  htop 

ระบบ Linux & FreeBSD ของฉันบางระบบมีผู้ใช้หลายสิบคน เจ้าหน้าที่จะใช้โหนด "ssh gateway" เหล่านี้เพื่อ SSH ไปยังเซิร์ฟเวอร์ภายในอื่น ๆ เรากำลังกังวลว่าบางส่วนของคนเหล่านี้ใช้ไม่ได้เข้ารหัสคีย์ SSH ส่วนตัว (คีย์โดยไม่ต้องข้อความรหัสผ่าน . นี้จะไม่ดีเพราะถ้าข้าวเกรียบที่เคยได้รับการเข้าถึงบัญชีของพวกเขาบนเครื่องนี้พวกเขาสามารถขโมยกุญแจส่วนตัวและตอนนี้มีการเข้าถึง ไปยังเครื่องที่ใช้รหัสเดียวกันนี้ด้วยเหตุผลด้านความปลอดภัยเราต้องการให้ผู้ใช้ทุกคนเข้ารหัสคีย์ SSH ส่วนตัวด้วยข้อความรหัสผ่าน ฉันจะทราบได้อย่างไรว่าคีย์ส่วนตัวไม่ได้เข้ารหัส (เช่นไม่มีข้อความรหัสผ่าน)? มีวิธีอื่นในการทำเช่นนี้กับคีย์หุ้มเกราะ ASCII เทียบกับคีย์ที่ไม่ใช่ชุดเกราะ ASCII หรือไม่? ปรับปรุง: เพื่ออธิบายให้ชัดเจนว่าฉันมีสิทธิ์เข้าถึง superuser บนเครื่องและฉันสามารถอ่านคีย์ส่วนตัวของทุกคนได้

44 security  ssh  users 

ฉันต้องดำเนินการrsyncโดยไม่แจ้งรหัสผ่านให้ฉัน ฉันเห็นในrsyncmanpage ว่าไม่อนุญาตให้ระบุรหัสผ่านเป็นอาร์กิวเมนต์บรรทัดคำสั่ง แต่ฉันสังเกตเห็นว่ามันช่วยให้สามารถระบุรหัสผ่านผ่านตัวแปรRSYNC_PASSWORDได้ ดังนั้นฉันจึงลองส่งออกตัวแปร แต่rsyncขอรหัสผ่านต่อไป export RSYNC_PASSWORD="abcdef" rsync root@1.2.3.4:/abc /def ผมทำอะไรผิดหรือเปล่า? โปรดพิจารณา: ฉันเข้าใจว่านี่เป็นแนวคิดที่ไม่ดีจากด้านความปลอดภัย ฉันต้องใช้เท่านั้นrsyncไม่สามารถใช้ซอฟต์แวร์อื่นได้ ฉันไม่สามารถใช้การรับรองความถูกต้องด้วยคีย์ ฉันได้อ่านคำถาม SE มากมายแล้วเช่น: วิธีใช้รหัสผ่านสำหรับ rsync-ssh-command @ stackoverflow.com rsync-cron-job-with-a-password @ superuser.com วิธีการตั้งค่า -rsync-without-password-with-ssh-on-unix-linux @ superuser.com กล่าวอีกนัยหนึ่งฉันต้องมีRSYNC_PASSWORDวิธีการทำงาน! :-)

44 ssh  rsync  password 

ฉันสร้างการเชื่อมต่อ ssh แบบไม่ใช้รหัสผ่านกับรีโมตเซิร์ฟเวอร์จาก mac ของฉัน ใช้งานได้ (!) จากนั้นฉันปิดเทอร์มินัลเปิดใหม่ลองอีกครั้งและได้รับต่อไปนี้ (ชื่อผู้ใช้ my_ip ไม่ใช่ของจริง): ssh -vvv username@my_ip OpenSSH_7.2p2, LibreSSL 2.4.1 debug1: Reading configuration data /Users/Me/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 20: Applying options for * debug1: /etc/ssh/ssh_config line 53: Applying options for * debug2: resolving "my_ip" port 22 debug2: ssh_connect_direct: …

43 ssh 

นี่คือของฉัน/etc/sysconfig/iptables: มันมีสองพอร์ตเปิด 80 apache และ 22 สำหรับ ssh # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i …

42 ssh  security  iptables 

ฉันพบว่าเซิร์ฟเวอร์ของฉันถูกแฮ็กและติดเชื้อบ็อตเน็ตจีนที่รู้จัก มันเป็นเครื่องต้นแบบ / การทดสอบเครื่องเสมือนที่มี IP แบบคงที่ของตัวเอง (ที่อยู่ในสหรัฐฯ) ดังนั้นจึงไม่มีอันตรายใด ๆ เกิดขึ้น ตอนนี้ฉันอยากรู้ว่า IP / s ใดที่ใช้ในการบุกรุกเพื่อทราบว่าการโจมตีเกิดจากประเทศจีนหรือไม่ มีวิธีดูประวัติของการเชื่อมต่อที่ได้รับบน ssh บนเซิร์ฟเวอร์หรือไม่? แก้ไข: ระบบคือ Linux Debian 7

42 networking  ssh  logs  ip  forensics 

การวิ่งssh user@hostnameใช้เวลา ~ 30 วินาที นี่คือสถานการณ์: นี่คือ VM บน LAN ท้องถิ่น เครื่อง Windows และ Mac ได้รับการเข้าสู่ระบบทันที กำลังใช้ Debian และฉันสามารถทำซ้ำได้ด้วยเครื่อง Ubuntu บางคนที่ใช้ Ubuntu บอกว่าการล็อกอินเข้าสู่เครื่องของฉัน (LAN ท้องถิ่น) ก็เป็นได้ทันที การใช้ที่อยู่ IP ชื่อโฮสต์จะใช้เวลาประมาณครึ่งเดียว (~ 15s) [ อัพเดท ] ใช้ssh -vvv user@hostnameนี่คือที่ที่จะรอมากที่สุด: debug3: authmethod_lookup gssapi-with-mic debug3: remaining preferred: publickey,keyboard-interactive,password debug3: authmethod_is_enabled gssapi-with-mic debug1: Next authentication …

42 ssh 

ฉันมีสิ่งต่อไปนี้ใน ~ / .ssh / config HOST 10.2.192.* USER foo PreferredAuthentications publickey IdentityFile ~/.ssh/foo/id_rsa การกำหนดค่าด้านบนให้ฉันเชื่อมต่อกับเครื่องในขณะที่พิมพ์ได้ครึ่งคำ ssh 10.2.192.x ก่อนที่จะกำหนดค่า ssh ของฉันฉันต้องพิมพ์ทั้งหมดนี้: ssh foo@10.2.192.x -i ~/.ss/foo/id_rsa อย่างไรก็ตามมีเครื่องหนึ่งเครื่องในซับเน็ต 10.2.192.x ที่ฉันต้องการเชื่อมต่อด้วยการพิสูจน์ตัวตนด้วยรหัสผ่านแทนการพิสูจน์ตัวตนด้วยคีย์ เพราะ ssh มองไปที่ไฟล์ปรับแต่งของฉันและพบว่าตรงกันสำหรับPreferredAuthentications publickeyฉันไม่สามารถเข้าสู่ระบบด้วยรหัสผ่านของฉัน ฉันไม่ต้องการ ssh ในเกล็ดหิมะพิเศษนี้บ่อยครั้งเพียงพอที่จะรับประกันการเพิ่มกฎใหม่ลงใน ssh config ของฉัน ฉันจะทำให้ ssh เพิกเฉยไฟล์ปรับแต่งของฉันได้เพียงครั้งเดียวและอนุญาตให้ฉันตรวจสอบสิทธิ์ด้วยรหัสผ่านได้อย่างไร

42 ssh 

คำถามที่เกี่ยวข้อง: เริ่มการเชื่อมต่อ ssh จากเซิร์ฟเวอร์ไปยังไคลเอนต์ คำตอบจากที่นั่นช่วยฉันได้มากคำสั่งนี้ทำในสิ่งที่ฉันต้องการ: ssh -R 2225:localhost:22 loginOfServerWithPublicIP@publicIP ดังนั้นฉันจึงเขียนสคริปต์เพื่อเชื่อมต่อใหม่ตลอดเวลา: #!/bin/bash while true; do echo "try to connect..." ssh -o ServerAliveInterval=240 -R 2225:localhost:22 user@host echo "restarting in 5 seconds.." sleep 5 done /etc/crontabและเพิ่มความมันไป แต่ฉันพบว่าใช้งานได้ถ้าเพียงฉันรัน "ด้วยมือ" จากเปลือก แต่ถ้ามันถูกเรียกโดย cron, ssh เชื่อมต่อและเสร็จสิ้นทันที (ดังนั้นสคริปต์ด้านบนจะเชื่อมต่อใหม่ตลอดเวลา) จากman sshฉันพบว่าสำหรับการเชื่อมต่อพื้นหลังฉันควรโทรด้วย-nกุญแจ แต่มันไม่ได้ช่วย จากนั้นฉันแค่มองไปรอบ ๆ เพื่อหาสคริปต์ที่คล้ายกันและฉันพบว่ามันใช้งานได้ถ้าฉันเรียกtail -f somethingเช่นคำสั่ง "ไม่สิ้นสุด" …

41 ssh  background-process 

ฉันจะบังคับให้ SSH ร้องขอข้อความรหัสผ่านโดยใช้กราฟิกแสดงพร้อมท์ (เช่น GTK) แทนมาตรฐานที่ใช้เทอร์มินัลได้อย่างไร ฉันลองตั้งค่าSSH_ASKPASS=/usr/bin/ssh-askpassแต่ดูเหมือนว่าจะไม่มีผลกระทบ ปัญหาคือความจริงที่ว่าเอกสาร openssh พูดว่า หาก ssh ไม่มีเทอร์มินัลที่เชื่อมโยงกับมันแต่ตั้งค่า DISPLAY และ SSH_ASKPASS มันจะรันโปรแกรมที่ระบุโดย SSH_ASKPASS และเปิดหน้าต่าง X11 เพื่ออ่านวลีรหัสผ่าน SSH เปิดตัวจากบรรทัดคำสั่งในกรณีของฉันเป็นผลมาจากที่git push, จะมีขั้วที่เกี่ยวข้องกับมันดังนั้นSSH_ASKPASSตรรกะดูเหมือนว่าจะถูกละเว้น โปรดทราบว่าฉันไม่ได้อ้างถึงssh-addแต่เป็นการอ้างถึงssh ทั่วไปที่มีต่อโฮสต์ซึ่งมีคู่กุญแจอยู่ แต่ได้รับการคุ้มครองโดยข้อความรหัสผ่าน

40 ssh 

เหตุใดคีย์สาธารณะ 25 ตัวแรกของคีย์สาธารณะ ssh Ed25519 จึงเหมือนกันเสมอ? ตัวอย่างเช่นถ้าผมทำ 5 ปุ่มมีssh-keygen -o -a 100 -t ed2551925 AAAAC3NzaC1lZDI1NTE5AAAAIตัวอักษรแรกอยู่เสมอ ฉันคิดว่านี่เป็นบทนำหรือส่วนหัวของบางประเภท แต่ฉันชอบที่จะรู้คำตอบที่แท้จริง

39 ssh  sshd  ssh-keygen 

ฉันพยายามเปิด Firefox ผ่าน SSH โดยใช้ ssh -X user@hostname แล้ว firefox -no-remote แต่มันช้ามาก ฉันจะแก้ไขสิ่งนี้ได้อย่างไร มันเป็นปัญหาการเชื่อมต่อหรือไม่?

39 ssh  firefox 

ฉันเชื่อมต่อกับโฮสต์ผ่านทางsshและฉันต้องการเปรียบเทียบ (สมมติว่าdiff) ไฟล์ config บางไฟล์เทียบกับโฮสต์อื่นในโฮสต์อื่นเข้าถึงได้ผ่านทางsshโดยไม่ต้องดาวน์โหลดไฟล์ระยะไกลด้วยตนเองก่อนที่จะเรียกใช้ diff

39 bash  ssh  diff 

ฉันต้องตั้งค่าระเบียน SSHFP ใน DNS สำหรับโฮสต์ของฉัน ฉันค้นหาเสร็จแล้ว แต่ฉันไม่พบตัวอย่างที่ดี บันทึก SSHFP คืออะไร ระเบียน SSHFP มีลักษณะอย่างไร ฉันจะสร้างระเบียน SSHFP ได้อย่างไร

39 ssh  dns  openssl 

ฉันลงชื่อเข้าใช้เซิร์ฟเวอร์บ่อยครั้งจากนั้นใส่ซีดีในไดเรกทอรีเฉพาะ เป็นไปได้หรือไม่ที่จะทำให้คำสั่งทั้งสองนี้เป็นหนึ่งเดียวได้ง่ายขึ้น? ssh bob@foo cd /home/guest ฉันต้องการหลีกเลี่ยงการเปลี่ยนแปลงอะไรใน 'foo' ถ้าเป็นไปได้เพราะฉันจะต้องล้างมันด้วยผู้ดูแลเซิร์ฟเวอร์ ฉันใช้ทุบตี แต่ฉันเปิดให้คำตอบในกระสุนอื่น ๆ

39 bash  ssh