Questions tagged «sshd»

OpenSSH守护程序的设置有许多“默认”值。因此，查看sshd_config可能不会给某人完整的活动设置集。 如何显示完整的sshd配置（对于OpenSSH）？

15 configuration  sshd  openssh 

我问这个问题是因为，尽管互联网上有很多答案表明这who -a是一个选择，但是没有人解释如何读取输出。如果您可以提供解释此问题的在线网站链接，那将同样是一个不错的答案。这是我要解密的示例： [bo@hostname ~]$ who -a Jun 17 03:47 590 id=si term=0 exit=0 system boot Jun 17 03:47 run-level 3 Jun 17 03:47 last=S Jun 17 03:48 4424 id=l3 term=0 exit=0 LOGIN tty1 Jun 17 03:48 5503 id=1 LOGIN tty2 Jun 17 03:48 5504 id=2 LOGIN tty3 Jun 17 03:48 …

14 sshd  utilities 

SSHD配置中有一个“匹配”组： cat /etc/ssh/sshd_config ... Match Group FOOGROUP ForceCommand /bin/customshell ... 机器上的“ FOOGROUP”中有许多用户。 我的问题：如何从“匹配组”中排除“ FOOGROUP”中的给定用户？

14 openssh  sshd 

我有以下用例： 需要允许用户从安全，可信任的网络登录 然后允许几个（只有两个）移动用户在Linux Centos计算机上远程登录。 我可以使sshd在不同的端口上运行，例如： 从内部可以在22上运行是可以的，因为我不想让它们在其他端口上连接（使脚本混乱）。 对于外部移动用户，我将在另一个端口（例如端口X）上运行sshd（提高了安全性-这是一种小型办公室设置）。 为了提高安全性，我希望将sshd配置为仅允许访问端口X上的特定用户（然后配置一些警报，以便我们可以知道用户何时通过端口X登录）。 但是，我无法在sshd文档中找到这样的任何配置。如果没有这样的解决方案，那么只要有人在端口X上完成sshd登录，是否至少有可能触发shell脚本运行？我正在查看iptables文档，以查看当sshd登录存在时是否可以触发警报，但无法解决任何问题。 赞赏输入

13 centos  sshd 

这是怎么发生的？： stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) stan@tcpc:~/.ssh$ ssh-add -D All identities removed. stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) 怎么不删除密钥？ PS可能是这个错误？http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=472477 虽然我在Arch Linux上...

13 ssh  openssh  sshd 

我正在查看我的sshd_config文件，发现了这一点： #Uselogin no 我知道它已发表评论，但上面没有任何解释，当我用google搜索时，得到以下信息： 不要使用传统的login（1）服务登录用户。因为我们正在使用特权分离，所以用户一旦登录，login（1）服务就会被禁用。 要么 指定是否将login（1）用于交互式登录会话。默认为“否”。请注意，login（1）从未用于远程命令执行。还要注意，如果启用此功能，则X11Forwarding将被禁用，因为login（1）不知道如何处理xauth（1）cookie。如果指定UsePrivilegeSeparation，它将在身份验证后被禁用。 据了解，no防止ssh使用“传统登录”，但我找不到关于“传统”登录的任何信息。 有人可以解释它的作用吗？

12 ssh  login  sshd 

在下面的示例中，通道号对应什么？服务器上有哪些？客户端上有哪些？ $ ssh -L1570:127.0.0.1:8899 root@thehost Password: Last login: Fri Aug 9 13:08:44 2013 from theclientip Sun Microsystems Inc. SunOS 5.10 Generic January 2005 You have new mail. # channel 2: open failed: administratively prohibited: open failed channel 3: open failed: administratively prohibited: open failed channel 2: open failed: administratively prohibited: …

12 ssh  ssh-tunneling  openssh  sshd 

我有一台CentOS 5.7 Web服务器，我想更改使用SSH连接时进入的默认位置。 目前，我进入/home/username，而我想进入/home。 我已经以root用户身份加入并添加PermitUserEnvironment yes到/etc/.ssh/sshd_config-并且据我所知，这随后会扫描用户自己的ssh文件夹中的environment文件。我不确定到底是我要添加到此环境文件中的内容，export path=$PATH:$HOME似乎不起作用，无论是在这里还是在我的.bashrc或.bash_profile文件中（据我所知，这都不会有所作为）无论如何，因为SSH连接是非交互式外壳？）。 提前致谢。

12 centos  ssh  sshd  home 

我正在运行以下命令，并监视其他系统上的输出文件： ssh $ip_address 'for n in 1 2 3 4 5; do sleep 10; echo $n >>/tmp/count; done' 如果我使用^C或通过杀死我登录的终端来终止ssh命令，我希望远程命令也会终止。但是，这不会发生：/tmp/count无论如何获取所有数字1-5，并ps -ejH显示外壳及其sleep子级继续运行。 这是预期的行为吗，并且在任何地方都有记录吗？我可以禁用它吗？通过阅读，我希望必须使用nohup显式启用这种行为，而不是将其作为默认行为。 我浏览了ssh和sshd的手册页，但没有发现明显的地方，Google向我指出了开启此行为而不是关闭它的说明。 我正在运行Red Hat Enterprise Linux 6.2，在两个系统上都具有root登录和bash shell。

11 ssh  rhel  openssh  sshd 

我想在通过ssh登录时提供登录延迟。我尝试了几种方法来完成登录，但找不到所需的结果。 我尝试了给定链接提供的步骤。 http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables iptables -N SSH_CHECK iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK iptables -A SSH_CHECK -m recent --set --name SSH iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP 我的机器上未安装pam模块，因此无法进行与pam文件相关的任何修改 因此，有谁能让我建议其他方法来做同样的事情？ 我在嵌入式平台上运行着裸露的Linux内核。

11 linux  networking  ssh  sshd 

最近，我不得不与一些具有IPv6连接的服务器一起工作，但我惊讶地发现fail2ban不支持IPv6，denyhosts也没有。在Google上搜索时，我发现人们通常建议： 通过IPv6停用SSH登录（对我而言不是解决方案） 仅在服务器上使用私钥/公钥身份验证，而没有密码身份验证（可行，但是很多攻击可能会耗费服务器大量的处理能力，或者甚至可能由于DDoS使其无法使用） 使用ip6tables阻止来自同一IP的连续攻击 使用具有IPv6支持的sshguard 从目前为止我收集到的信息来看，IPv6中的地址禁止与IPv4上的有所不同，因为ISP不会为用户提供单个地址（/ 128），而是为整个子网提供一个地址（我目前拥有/ 48）。因此，禁止单个IPv6地址将无法有效抵抗攻击。我已经在攻击检测方面对ip6tables和sshguard阻止子网进行了严格的搜索，但是我没有找到任何信息。 有谁知道sshguard是否禁止子网进行IPv6攻击？ 有谁知道如何制作ip6tables配置来禁止子网进行IPv6攻击？ 还是有人知道比我已经发现的更好的缓解攻击的方法？ PS：我在系统上使用CentOS 7。

10 ssh  security  sshd  ipv6  ip6tables 

我的目标是允许在单个服务器上运行10000个并发ssh。 为简单起见，我将ssh-sing到localhost： for i in `seq 1 10000`; do ssh localhost "echo ${i}; sleep 100" >>./info 2>>./log & done sleep 100是为了确保第10000个ssh启动时，第一个ssh仍处于连接状态，因此确实存在10000个并发 ssh。 这是我收到的两种错误消息： 1. ssh_exchange_identification: Connection closed by remote host 2. ssh_exchange_identification: read: Connection reset by peer 我做了以下修改： 在/etc/security/limits.conf和中/etc/security/limits.d/90-nproc.conf，将soft＆hard nofile和设置nproc为65535（这是可能的最大值吗？-更新：否。最大值是1048576） 在中/etc/sysctl.conf，设置kernel.pty.max = 65535 在/etc/ssh/sshd_config，设置MaxStartups 10000。 这些修改使我可以在单个服务器上成功运行1000个并发ssh，但是它们不适用于2000及更高版本的ssh。 有人建议更改的值MaxSessions（实际上我不清楚它的用法：多路复用如何影响我的情况？）/proc/sys/net/core/netdev_max_backlog和/proc/sys/net/core/somaxconn，但它们似乎没有什么区别。 此外，如果它们是到不同服务器的10000个并发ssh，则没有错误（仅当ssh到单个服务器时才出现问题）： for i …

9 ssh  sshd  ulimit 

我试图阻止（减慢）我的sshd服务器上的暴力攻击。我正在遵循本指南http://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/，该指南基本上说我只需要输入以下2条命令即可。 sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP 我的sshd端口是6622，因此我将条目从“ 22”更改为“ 6622”，并放入了这些命令。然后，我尝试简单地测试新的iptables。我去了另一台电脑，故意多次输入了错误的登录密码。不幸的是，新规则似乎并没有阻止我尽力而为。下面列出了我当前的规则。我究竟做错了什么？ # iptables --list Chain INPUT (policy …

9 ssh  iptables  sshd 

现在，这已经是一个令人烦恼的问题，以至于我以为我最终会问整个社区，可能的解决方案是什么。更令人讨厌的是，我似乎是唯一遇到此问题的人。 本质上，任何时候只要在CentOS 7.x中修改sshd配置或sshd的任何部分，并且在接下来的3分钟内某个“随机点”重新启动/重新加载守护程序，ssh连接都会全部重置，然后该服务器即通过ssh几秒钟无法到达。 这对于ansible尤其是一个问题，因为它有时需要自己对sshd进行这些更改，然后重新加载它（例如在新的CentOS 7x服务器版本中）。但是后来在播放时，它只是随机地无法连接到ssh，并且它炸毁了该主机的其余剧本/剧本，但未能与之联系。这对于大型主机模式尤其不利，因为少数主机模式会随机完成，但其他主机在操作sshd之后会在剧本的各个阶段失败。值得注意的是，在CentOS 5x，6x或什至在Solaris上都没有发生这种情况。 为了避免这种情况，我能做的最好的办法是在对sshd进行任何更改后创建90秒的等待时间，即使这样也不是很简单。即使被调用7至8次，这些书也需要20分钟以上才能运行。 有关此环境的一些事实： 所有新安装均来自官方ISO DVD。每个服务器都是hyper-v 2012来宾，每个有此问题的服务器都是CentOS 7.x 这是问题的一些实际输出以及一些棘手的解决方案： 失败： fatal: [voltron]: UNREACHABLE! => {"changed": false, "msg": "All items completed", "results": [{"_ansible_item_result": true, "item": ["rsync", "iotop", "bind-utils", "sysstat.x86_64", "lsof"], "msg": "Failed to connect to the host via ssh: Shared connection to voltron closed.\r\n", "unreachable": true}]} sshd更改之一的示例： …

8 centos  scripting  sshd  ansible