Questions tagged «ssh»

我有一个运行CentOS 7的VPS，并通过SSH连接到该VPS。我想在VPS上运行OpenVPN客户端，以便通过VPN路由互联网流量，但仍然允许我通过SSH连接到服务器。当我启动OpenVPN时，我的SSH会话断开连接，无法再连接到我的VPS。如何配置VPS以允许传入的SSH（端口22）连接在VPS的实际IP（104.167.102.77）上打开，但仍通过VPN路由传出流量（如来自VPS上的Web浏览器）？ 我使用的OpenVPN服务是PrivateInternetAccess，示例config.ovpn文件是： 客户 开发屯 原始udp 远程nl.privateinternetaccess.com 1194 解析无限 Nobind 持久键 坚持不懈 ca cart 客户端 远程证书服务器 验证用户密码 康宝 动词1 reneg-sec 0 crl-verify crl.pem VPS的IP地址： 1：lo：mtu 65536 qdisc队列状态未知 链接/环回00：00：00：00：00：00 brd 00：00：00：00：00：00 inet 127.0.0.1/8范围主机lo 永远有效_lft永远首选_lft inet6 :: 1/128作用域主机 永远有效_lft永远首选_lft 2：ens33：mtu 1500 qdisc pfifo_fast状态UP qlen 1000 链接/以太00：50：56：be：16：f7 brd ff：ff：ff：ff：ff：ff：ff inet 104.167.102.77/24 brd 104.167.102.255作用域全局ens33 …

15 ssh  openvpn 

我需要远程运行SSH命令，并在本地显示输出。但是，如果连接断开，我希望命令仍然运行。 我并不是在谈论登录和执行，而是在做ssh user @ remotehost'commands && command etc' 即使连接断开，如何确保命令运行？

15 ssh  remote  background 

我已经完成了编写nagios脚本的一半，而SSH却给我带来了烦恼。 根据手册页： -q Quiet mode. Causes all warning and diagnostic messages to be suppressed. 但是，如果我启用了静默标志，然后传递了无效的端口，我仍然会收到错误消息： $ ssh user@localhost -q -p test Bad port 'test' 这是一个问题，因为那将使该消息成为第一行，而这正是Nagios抓住的。在!= 0从ssh 提取退出代码后，我需要输出类似“警告| SSH错误”的内容，但是我可以输出的第一行将是第2行。 如何使SSH TRULY安静？ 注意：我不确定是否要在服务器故障，超级用户或stackoverflow上发布此问题。我使用serverfault的原因是，用户群可能最熟悉cli SSH和cli脚本解决方法。

15 ssh  bash  nagios 

是否值得运行fail2ban，sshdfilter 或类似工具，将哪些尝试登录失败的IP地址列入黑名单？ 我已经看到它认为这是“适当安全”服务器上的安全区。但是，我认为这可能会使脚本小子移到列表中的下一个服务器。 假设我的服务器是“适当安全的”，并且我不担心暴力攻击实际上会成功-这些工具是否只是保持日志文件干净，还是我可以从阻止暴力攻击尝试中获得任何有价值的好处？ 更新：关于暴力破解密码的很多评论-我确实提到我并不为此担心。也许我应该更具体一些，并问一下fail2ban是否对仅允许基于密钥的ssh登录的服务器有任何好处。

15 security  ssh  fail2ban 

在过去的2个小时里，我一直在寻找解决以下问题的方法，但是没有运气。 发展： 我正在使用公共密钥身份验证连接到我的服务器。我使用ssh-agent转发来不必管理公用/专用密钥。 假设我有服务器A, B and C。 如果我从进行连接，则效果很好LOCAL ---> A ---> B。 如果我这样做也很好LOCAL ---> A ---> C。 现在，如果我尝试这样做LOCAL ---> A ---> B ---> C，则SSH无法从进行连接B to C。 值得注意的是：我以流动性连接到服务器A，而我以root身份连接到服务器B。由于流动性而连接到服务器B可以解决此问题，但这对我来说不是一个选择。 根据用户的建议，我ssh -A每次都要确保启用了代理转发。 我发现了一个类似的问题，但在这里没有答案：是否可以通过多跳链接ssh-agent转发？ 根据这里的@Zoredache：https：//serverfault.com/a/561576/45671，我只需要在每个中间系统上调整客户端配置即可。我相信我做到了。

15 linux  ssh  ssh-keys  ssh-agent 

我已经阅读了从客户端打印motd来停止ssh登录吗？但是我的情况有点不同： 我想在服务器端保留Banner / path / to / sometxt 我想在特定条件下通过一个选项，以便不打印横幅（例如ssh -o "PrintBanner=No" someserver）。 任何想法？

15 ssh  banner 

我有一个CentOS 7系统，当我用腻子或ssh登录时，在得到密码提示之前有很长的延迟。我运行了ssh -v，发现它达到了这个目的： debug1: ssh_ecdsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received 然后坐在那里1-2分钟，然后此输出爆炸： debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password debug1: Next authentication method: gssapi-keyex debug1: No valid Key exchange context debug1: Next authentication method: gssapi-with-mic debug1: Unspecified GSS failure. Minor …

15 ssh  centos7 

我发现该~/.ssh/known_hosts文件有点难以阅读。 如果可以在其中添加评论会很有帮助，所以我想我应该问一问是否可行。

15 ssh 

使用ssh命令行（OpenSSH），可以指定服务器的主机密钥指纹吗？ 使用（例如）winscp.com可以做到这一点 -hostkey="ssh-rsa 2048 AA:BB:CC...etc 我已经读过几次手册页，如果我错过那里的明显内容，我深表歉意。 我不想只是自动接受一个主机密钥，也不想要求用户更新它们known_hosts，而是在命令行上以某种形式指定主机密钥。

15 ssh  ssh-keys  public-key  hostkey 

我尝试yes | ssh root@10.x.x.x尝试接受RSA密钥指纹，但是如果确定要连接，仍会提示我。有没有办法使之自动化？

15 ssh  ssh-keys  rsa  known-hosts 

如果我做： ssh -J jumphost.example.com target.example.com 我最终立即登录到“目标”。 如果我使用此ssh配置文件，请使用较新的ssh-7.3跳转配置： Host jump 10.1.*, targets*, *.example.com HostName jumphost.example.com IdentitiesOnly yes AddKeysToAgent yes UseKeychain yes IdentityFile ~/.ssh/id_rsa Host * AddKeysToAgent yes UseKeychain yes IdentityFile ~/.ssh/id_rsa 我最终登录到“ jumphost”而不是“ target” 他们的钥匙串东西是针对mac的，我已经对其进行了测试，没有区别，但我认为以防万一。

14 linux  ssh 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 2年前关闭。 我们有以下情况： 我的机器 网关机器 目标机器 我对＃2和＃3都没有root权限。我也不能真正在第2台计算机上存储信息（不超过200 MiB）（因为要成为通往网络其余部分的网关，所以不要更多）。在3号机器上，有一个我要复制到本地的文件夹，大小约为3 GiB。我无法从＃1到＃3进行SSH，但可以将SSH到＃2，然后再到＃3。也无法在＃2和＃3之间设置公共专用密钥对，但是在＃1和＃2之间安装了密钥对。 通常，我使用SSH和tar的组合来完成此操作： ssh name@host "tar cf - folder" > folder.tar 但是在这种情况下，这将需要某种嵌套，而我似乎无法做到这一点。 那么，从＃3到＃1获取数据的好方法是什么？

14 ssh  network-share  tar 

我现在有点吓坏了。我正在SSH进入最近已调试的远程服务器。我正在以此为根。我已经安装了fail2ban，并且日志中有大量被禁止的IP。 上次登录时，我发现我的终端确实很慢，然后我的互联网连接断开了。当我大约5分钟后买回它时，我重新登录服务器并做了一个“ who”操作，并意识到有两个root用户登录。我本以为，如果我的连接终止了，从上次会话开始的过程将是在服务器上停止了？ 当我第一次断开连接时，连接以“写入失败：管道破裂”结束。我用另一个根杀死了bash会话。我对SSH安全性了解不多，但是可以劫持会话吗？有没有办法检查这个？我需要继续通过ssh登录，应采取哪些预防措施？如果我不知何故要通过代理服务器到达我的服务器（就像中间攻击中的一个人），他们会劫持我的ssh会话吗？

14 linux  ssh  security  unix  hacking 

我有一台相当小的设置服务器，它不允许密码验证，只能使用密钥。而且它肯定没有安装Java。通常我不支付任何注意数千尝试脚本小子猜我的密码的一天-我的身影，他们在我的系统上浪费时间为时间他们没有对系统浪费也允许密码验证。但我在/var/log/auth.log中看到此消息： Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth] 是提到攻击者发出的看起来像Java异常的消息，还是我这边的消息？

14 ssh  authentication 

在我的Linux服务器上登录的用户应该能够使用默认帐户ssh到特定的远程计算机。远程计算机上的身份验证使用公钥，因此在服务器上相应的私钥可用。 我不希望服务器用户实际能够读取私钥。基本上，他们可以访问服务器这一事实使他们拥有ssh权限，并且从服务器中删除它们也应该禁止连接到远程计算机。 如何允许用户打开ssh连接而不授予他们对私钥的读取权限？ 到目前为止，我的想法是：显然ssh可执行文件必须能够读取私钥，因此它必须在具有这些权限的服务器上的另一个用户下运行。一旦建立了ssh连接，我就可以将其“转发”给用户，以便他可以输入命令并与远程计算机进行交互。 这是一个好方法吗？ 我应该如何实施前锋？ 用户如何启动连接（即对密钥具有读取权限的用户执行ssh）？ 有安全漏洞吗？-如果用户可以像其他用户一样执行ssh，那么他们可以做其他用户可以做的所有事情（包括读取私钥）吗？

14 linux  ssh  permissions  public-key