คำถามติดแท็ก sshd

OpenSSH daemon มีหลายค่า "เริ่มต้น" สำหรับการตั้งค่า ดังนั้นการดูที่ sshd_config อาจไม่ทำให้ใครบางคนได้รับการตั้งค่าที่สมบูรณ์ วิธีการแสดงการกำหนดค่า sshd แบบเต็ม (สำหรับ OpenSSH)

15 configuration  sshd  openssh 

ฉันถามคำถามนี้เพราะในขณะที่มีคำตอบมากมายบนอินเทอร์เน็ตที่แสดงว่าwho -aเป็นตัวเลือกไม่มีใครอธิบายวิธีการอ่านผลลัพธ์ หากคุณสามารถให้ลิงค์ไปยังเว็บไซต์ออนไลน์ที่อธิบายสิ่งนี้ได้นั่นก็จะเป็นคำตอบที่ยอดเยี่ยมพอ ๆ กัน นี่คือตัวอย่างของสิ่งที่ฉันต้องการถอดรหัส: [bo@hostname ~]$ who -a Jun 17 03:47 590 id=si term=0 exit=0 system boot Jun 17 03:47 run-level 3 Jun 17 03:47 last=S Jun 17 03:48 4424 id=l3 term=0 exit=0 LOGIN tty1 Jun 17 03:48 5503 id=1 LOGIN tty2 Jun 17 03:48 5504 id=2 LOGIN …

14 sshd  utilities 

มีกลุ่มการจับคู่ในการกำหนดค่า SSHD: cat /etc/ssh/sshd_config ... Match Group FOOGROUP ForceCommand /bin/customshell ... มีผู้ใช้จำนวนมากบนเครื่องที่อยู่ใน "FOOGROUP" คำถามของฉัน:ฉันจะแยกผู้ใช้ที่อยู่ใน "FOOGROUP" ออกจาก "กลุ่มการจับคู่" ได้อย่างไร

14 openssh  sshd 

ฉันมีกรณีการใช้งานดังต่อไปนี้: จำเป็นต้องอนุญาตให้ผู้ใช้เข้าสู่ระบบจากเครือข่ายที่ปลอดภัยและเชื่อถือได้ จากนั้นให้ผู้ใช้มือถือสองสาม (เพียงสองคน) เข้าสู่ระบบจากระยะไกลบนเครื่อง Linux Centos ฉันสามารถทำให้ sshd ทำงานบนพอร์ตอื่นเช่น: จากภายในก็โอเคที่จะให้มันทำงานในวันที่ 22 เพราะฉันไม่ต้องการให้พวกเขาเชื่อมต่อกับพอร์ตอื่น ๆ (ทำให้สคริปต์ยุ่งเหยิง) สำหรับผู้ใช้มือถือภายนอกฉันจะใช้ sshd บนพอร์ตอื่นพูดพอร์ต X (เพิ่มความปลอดภัย - นี่คือการตั้งค่าสำนักงานขนาดเล็ก) เพื่อความปลอดภัยที่เพิ่มขึ้นฉันหวังว่าจะกำหนดค่า sshd เพื่ออนุญาตการเข้าถึงเฉพาะผู้ใช้บนพอร์ต X (จากนั้นกำหนดค่าการแจ้งเตือนบางอย่างเพื่อให้เราสามารถทราบได้เมื่อผู้ใช้เข้าสู่ระบบผ่านพอร์ต X) อย่างไรก็ตามฉันไม่พบการกำหนดค่าใด ๆ เช่นนี้ในเอกสาร sshd หากไม่มีวิธีแก้ปัญหาเช่นนี้เป็นไปได้หรือไม่ที่จะทริกเกอร์เชลล์สคริปต์ให้ทำงานทุกครั้งที่มีคนเข้าสู่ระบบ sshd ที่พอร์ต X เสร็จสมบูรณ์? ฉันกำลังดูเอกสาร iptables เพื่อดูว่ามันสามารถเปิดการแจ้งเตือนเมื่อเข้าสู่ระบบ sshd อยู่ที่นั่น แต่ไม่สามารถเกิดขึ้นกับอะไร อินพุตชื่นชม

13 centos  sshd 

สิ่งนี้เกิดขึ้นได้อย่างไร: stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) stan@tcpc:~/.ssh$ ssh-add -D All identities removed. stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) ทำไมปุ่มไม่ถูกลบ? ป.ล. อาจเป็นข้อผิดพลาดนี้หรือไม่? http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=472477 ฉันกำลังอยู่ใน arch linux แม้ว่า ...

13 ssh  openssh  sshd 

ฉันกำลังดูไฟล์ sshd_config ของฉันและฉันพบสิ่งนี้: #Uselogin no ฉันรู้ว่ามันมีความคิดเห็น แต่ไม่มีคำอธิบายข้างต้นและเมื่อฉัน google มันฉันได้รับนี้: อย่าใช้บริการเข้าสู่ระบบแบบดั้งเดิม (1) เพื่อเข้าสู่ระบบผู้ใช้ เนื่องจากเรากำลังใช้การแยกสิทธิพิเศษทันทีที่ผู้ใช้เข้าสู่บริการ ths เข้าสู่ระบบ (1) ถูกปิดใช้งาน หรือ ระบุว่าจะใช้การเข้าสู่ระบบ (1) สำหรับการเข้าสู่ระบบแบบโต้ตอบหรือไม่ ค่าเริ่มต้นคือ "ไม่" โปรดทราบว่าไม่เคยใช้การเข้าสู่ระบบ (1) สำหรับการดำเนินการคำสั่งระยะไกล โปรดทราบว่าหากเปิดใช้งานนี้ X11Forwarding จะถูกปิดใช้งานเนื่องจากการเข้าสู่ระบบ (1) ไม่ทราบวิธีจัดการคุกกี้ xauth (1) หากระบุ UsePrivilegeSeparation ระบบจะปิดใช้งานหลังจากการตรวจสอบสิทธิ์ เท่าที่เข้าใจnoป้องกันไม่ให้ ssh ใช้ "การเข้าสู่ระบบแบบดั้งเดิม" แต่ฉันไม่สามารถหาอะไรเกี่ยวกับการเข้าสู่ระบบ "ดั้งเดิม" ใครช่วยอธิบายสิ่งที่มันทำ?

12 ssh  login  sshd 

ในตัวอย่างด้านล่างหมายเลขช่องตรงกับอะไร? เซิร์ฟเวอร์ใดอยู่ ลูกค้าคนไหน $ ssh -L1570:127.0.0.1:8899 root@thehost Password: Last login: Fri Aug 9 13:08:44 2013 from theclientip Sun Microsystems Inc. SunOS 5.10 Generic January 2005 You have new mail. # channel 2: open failed: administratively prohibited: open failed channel 3: open failed: administratively prohibited: open failed channel 2: open failed: …

12 ssh  ssh-tunneling  openssh  sshd 

ฉันมีเว็บเซิร์ฟเวอร์ CentOS 5.7 และฉันต้องการเปลี่ยนตำแหน่งเริ่มต้นที่ฉันเชื่อมต่อด้วย SSH ขณะนี้ฉันลงจอด/home/usernameและต้องการลงจอด/homeแทน ฉันเข้าPermitUserEnvironment yesสู่ขั้นตอนการรูทและเพิ่มไปแล้ว/etc/.ssh/sshd_config- และเมื่อฉันเข้าใจแล้วมันก็ทำให้sshโฟลเดอร์ของผู้ใช้เป็นenvironmentไฟล์ สิ่งที่ฉันไม่แน่ใจคือสิ่งที่ฉันเพิ่มลงในไฟล์สภาพแวดล้อมนี้อย่างที่export path=$PATH:$HOMEดูเหมือนจะไม่ทำงานไม่ว่าจะที่นี่หรือในไฟล์. bashrc หรือ. bash_profile (ซึ่งฉันเข้าใจว่ามันจะไม่สร้างความแตกต่าง อย่างไรก็ตามการเชื่อมต่อ SSH เป็นเชลล์แบบไม่โต้ตอบหรือไม่) ขอบคุณล่วงหน้า.

12 centos  ssh  sshd  home 

ฉันใช้คำสั่งด้านล่างและตรวจสอบไฟล์ที่ส่งออกในระบบอื่น ๆ : ssh $ip_address 'for n in 1 2 3 4 5; do sleep 10; echo $n >>/tmp/count; done' หากฉันฆ่าคำสั่ง ssh โดยใช้^Cหรือเพียงแค่ฆ่าเทอร์มินัลที่ฉันเข้าสู่ระบบฉันคาดว่าคำสั่งระยะไกลจะยุติเช่นกัน สิ่งนี้ไม่ได้เกิดขึ้น: /tmp/countรับตัวเลขทั้งหมด 1-5 โดยไม่คำนึงถึงและps -ejHแสดงให้เห็นว่าเชลล์และsleepลูกของมันยังคงทำงานต่อไป นี่เป็นพฤติกรรมที่คาดหวังและมีการบันทึกไว้ที่ใดบ้างหรือไม่ ฉันจะปิดการใช้งานมันได้หรือไม่ จากการอ่านไปเรื่อย ๆ ฉันคาดว่าจะต้องเปิดใช้งานพฤติกรรมแบบนี้โดยไม่ต้องรออย่างชัดเจนไม่ใช่เพื่อให้เป็นค่าเริ่มต้น ฉันได้ดูหน้าคู่มือสำหรับ ssh และ sshd แต่ไม่เห็นสิ่งที่ชัดเจนและ Google ชี้ให้ฉันดูคำแนะนำในการเปิดใช้งานพฤติกรรมนี้ไม่ใช่เพื่อปิด ฉันใช้ Red Hat Enterprise Linux 6.2 พร้อมด้วยล็อกอินรูทและ bash shell บนทั้งสองระบบ

11 ssh  rhel  openssh  sshd 

ฉันต้องการให้ล่าช้าในการเข้าสู่ระบบในขณะที่เข้าสู่ระบบผ่าน ssh ฉันพยายามสองวิธีในการทำเหมือนกัน แต่ไม่พบผลลัพธ์ที่ต้องการ ฉันลองขั้นตอนที่ได้รับจากลิงก์ที่กำหนด http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables iptables -N SSH_CHECK iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK iptables -A SSH_CHECK -m recent --set --name SSH iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP ฉันไม่ได้ติดตั้งโมดูล pam บนเครื่องของฉันดังนั้นจึงไม่สามารถทำการแก้ไขใด ๆ ที่เกี่ยวข้องกับไฟล์ pam …

11 linux  networking  ssh  sshd 

ฉันเพิ่งต้องทำงานกับเซิร์ฟเวอร์บางตัวที่มีการเชื่อมต่อ IPv6 และฉันรู้สึกประหลาดใจที่พบว่า fail2ban ไม่มีการสนับสนุน IPv6 และไม่ได้รับการปฏิเสธ ค้นหาใน google ฉันพบว่าคนทั่วไปแนะนำ: การยกเลิกการล็อกอิน ssh ผ่าน IPv6 (ไม่ใช่วิธีแก้ปัญหาสำหรับฉัน) ใช้การพิสูจน์ตัวตนคีย์ส่วนตัว / สาธารณะบนเซิร์ฟเวอร์โดยไม่มีการพิสูจน์ตัวตนด้วยรหัสผ่าน (ใช้งานได้ แต่การโจมตีจำนวนมากอาจทำให้เซิร์ฟเวอร์ต้องใช้กำลังการประมวลผลจำนวนมากหรืออาจทำให้ DDoS ไม่สามารถใช้งานได้) ใช้ ip6tables เพื่อป้องกันการโจมตีต่อเนื่องจาก IP เดียวกัน ใช้ sshguard ซึ่งรองรับ IPv6 จากสิ่งที่ฉันรวบรวมมาแล้วการห้ามที่อยู่ใน IPv6 นั้นแตกต่างจาก IPv4 เล็กน้อยเนื่องจาก ISP ไม่ให้ที่อยู่เดียวกับผู้ใช้ (/ 128) แต่เป็นซับเน็ตทั้งหมด (ฉันมี / 48) ดังนั้นการห้ามที่อยู่ IPv6 เดียวจะไม่มีประสิทธิภาพต่อการโจมตี ฉันค้นหาสูงและต่ำในเรื่องของ ip6tables และ …

10 ssh  security  sshd  ipv6  ip6tables 

เป้าหมายของฉันคืออนุญาตให้ 10,000 sshทำงานพร้อมกันบนเซิร์ฟเวอร์เดียว เพื่อความเรียบง่ายฉันกำลังไปที่ localhost: for i in `seq 1 10000`; do ssh localhost "echo ${i}; sleep 100" >>./info 2>>./log & done sleep 100เพื่อให้แน่ใจว่าเมื่อ 10000 SSH เริ่มต้นที่ SSH ที่ 1 ยังคงอยู่ในการเชื่อมต่อเพื่อให้มีแน่นอน 10000 พร้อมกัน SSH s และนี่คือข้อความแสดงข้อผิดพลาดสองประเภทที่ฉันได้รับ: 1. ssh_exchange_identification: Connection closed by remote host 2. ssh_exchange_identification: read: Connection reset by peer …

9 ssh  sshd  ulimit 

ฉันกำลังพยายามบล็อก (ช้าลง) กำลังดุร้ายโจมตีบนเซิร์ฟเวอร์ sshd ของฉัน ฉันกำลังทำตามคู่มือนี้http://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/ซึ่งโดยทั่วไปบอกว่าฉันต้องการเพียงแค่ป้อน 2 คำสั่งด้านล่าง sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP พอร์ต sshd …

9 ssh  iptables  sshd 

นี่เป็นปัญหาที่น่ารำคาญพอที่ฉันคิดว่าในที่สุดฉันก็จะถามชุมชนโดยรวมว่าจะมีวิธีแก้ปัญหาที่เป็นไปได้อย่างไร มันน่ารำคาญยิ่งกว่าที่ฉันดูเหมือนจะเป็นคนเดียวที่ประสบปัญหานี้ เป็นหลักทุกเวลาใน CentOS 7.x, sshd configs หรือส่วนใดส่วนหนึ่งของ sshd ได้รับการแก้ไขและ daemon จะเริ่มต้นใหม่ / โหลดใหม่ที่ "สุ่มจุด" ใน 3 นาทีถัดไปการเชื่อมต่อ ssh รีเซ็ตทั้งหมดแล้วเซิร์ฟเวอร์นั้น เข้าไม่ถึงสองสามวินาทีผ่าน ssh นี่เป็นปัญหาโดยเฉพาะอย่างยิ่งสำหรับการที่จำเป็นต้องทำการเปลี่ยนแปลงเหล่านี้เป็น sshd ในบางครั้งและทำการโหลดซ้ำ (เช่นในเซิร์ฟเวอร์ CentOS 7x รุ่นใหม่) แต่ในอนาคตจะมีการเล่นแบบสุ่มไม่สามารถเชื่อมต่อกับ ssh ได้และมันจะทำให้ส่วนที่เหลือของ playbook / บทละครสำหรับโฮสต์นั้นซึ่งไม่สามารถติดต่อได้ นี่เป็นสิ่งที่ไม่ดีโดยเฉพาะอย่างยิ่งสำหรับรูปแบบโฮสต์ที่มีขนาดใหญ่เนื่องจากมีเพียงไม่กี่แบบที่จะสุ่มให้เสร็จสมบูรณ์ เป็นที่ทราบว่าไม่มีการเรียงลำดับใด ๆ เกิดขึ้นใน CentOS 5x, 6x หรือแม้แต่บน Solaris สิ่งที่ดีที่สุดที่ฉันสามารถทำได้เพื่อหลีกเลี่ยงปัญหานี้คือการสร้างการรอ 90 วินาทีหลังจากการเปลี่ยนแปลงใด ๆ กับ sshd …

8 centos  scripting  sshd  ansible