Questions tagged «sshd»

安全外壳(SSH)守护程序

1
显示sshd的完整设置
OpenSSH守护程序的设置有许多“默认”值。因此,查看sshd_config可能不会给某人完整的活动设置集。 如何显示完整的sshd配置(对于OpenSSH)?

1
了解`who -a`命令的输出
我问这个问题是因为,尽管互联网上有很多答案表明这who -a是一个选择,但是没有人解释如何读取输出。如果您可以提供解释此问题的在线网站链接,那将同样是一个不错的答案。这是我要解密的示例: [bo@hostname ~]$ who -a Jun 17 03:47 590 id=si term=0 exit=0 system boot Jun 17 03:47 run-level 3 Jun 17 03:47 last=S Jun 17 03:48 4424 id=l3 term=0 exit=0 LOGIN tty1 Jun 17 03:48 5503 id=1 LOGIN tty2 Jun 17 03:48 5504 id=2 LOGIN tty3 Jun 17 03:48 …
14 sshd  utilities 

3
如何从SSHD的“匹配组”中排除?
SSHD配置中有一个“匹配”组: cat /etc/ssh/sshd_config ... Match Group FOOGROUP ForceCommand /bin/customshell ... 机器上的“ FOOGROUP”中有许多用户。 我的问题:如何从“匹配组”中排除“ FOOGROUP”中的给定用户?
14 openssh  sshd 

3
仅允许特定用户通过ssh在一个端口登录,而其他用户则通过另一端口登录
我有以下用例: 需要允许用户从安全,可信任的网络登录 然后允许几个(只有两个)移动用户在Linux Centos计算机上远程登录。 我可以使sshd在不同的端口上运行,例如: 从内部可以在22上运行是可以的,因为我不想让它们在其他端口上连接(使脚本混乱)。 对于外部移动用户,我将在另一个端口(例如端口X)上运行sshd(提高了安全性-这是一种小型办公室设置)。 为了提高安全性,我希望将sshd配置为仅允许访问端口X上的特定用户(然后配置一些警报,以便我们可以知道用户何时通过端口X登录)。 但是,我无法在sshd文档中找到这样的任何配置。如果没有这样的解决方案,那么只要有人在端口X上完成sshd登录,是否至少有可能触发shell脚本运行?我正在查看iptables文档,以查看当sshd登录存在时是否可以触发警报,但无法解决任何问题。 赞赏输入
13 centos  sshd 

3
ssh-add -D不会从ssh-agent删除存储的密钥
这是怎么发生的?: stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) stan@tcpc:~/.ssh$ ssh-add -D All identities removed. stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) 怎么不删除密钥? PS可能是这个错误?http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=472477 虽然我在Arch Linux上...
13 ssh  openssh  sshd 

1
sshd_config中的Uselogin
我正在查看我的sshd_config文件,发现了这一点: #Uselogin no 我知道它已发表评论,但上面没有任何解释,当我用google搜索时,得到以下信息: 不要使用传统的login(1)服务登录用户。因为我们正在使用特权分离,所以用户一旦登录,login(1)服务就会被禁用。 要么 指定是否将login(1)用于交互式登录会话。默认为“否”。请注意,login(1)从未用于远程命令执行。还要注意,如果启用此功能,则X11Forwarding将被禁用,因为login(1)不知道如何处理xauth(1)cookie。如果指定UsePrivilegeSeparation,它将在身份验证后被禁用。 据了解,no防止ssh使用“传统登录”,但我找不到关于“传统”登录的任何信息。 有人可以解释它的作用吗?
12 ssh  login  sshd 

2
ssh错误消息中的通道号指的是什么?
在下面的示例中,通道号对应什么?服务器上有哪些?客户端上有哪些? $ ssh -L1570:127.0.0.1:8899 root@thehost Password: Last login: Fri Aug 9 13:08:44 2013 from theclientip Sun Microsystems Inc. SunOS 5.10 Generic January 2005 You have new mail. # channel 2: open failed: administratively prohibited: open failed channel 3: open failed: administratively prohibited: open failed channel 2: open failed: administratively prohibited: …

2
更改当我SSH到CentOS服务器时的默认路径吗?
我有一台CentOS 5.7 Web服务器,我想更改使用SSH连接时进入的默认位置。 目前,我进入/home/username,而我想进入/home。 我已经以root用户身份加入并添加PermitUserEnvironment yes到/etc/.ssh/sshd_config-并且据我所知,这随后会扫描用户自己的ssh文件夹中的environment文件。我不确定到底是我要添加到此环境文件中的内容,export path=$PATH:$HOME似乎不起作用,无论是在这里还是在我的.bashrc或.bash_profile文件中(据我所知,这都不会有所作为)无论如何,因为SSH连接是非交互式外壳?)。 提前致谢。
12 centos  ssh  sshd  home 

6
ssh终止后,ssh命令在其他系统上意外地继续
我正在运行以下命令,并监视其他系统上的输出文件: ssh $ip_address 'for n in 1 2 3 4 5; do sleep 10; echo $n >>/tmp/count; done' 如果我使用^C或通过杀死我登录的终端来终止ssh命令,我希望远程命令也会终止。但是,这不会发生:/tmp/count无论如何获取所有数字1-5,并ps -ejH显示外壳及其sleep子级继续运行。 这是预期的行为吗,并且在任何地方都有记录吗?我可以禁用它吗?通过阅读,我希望必须使用nohup显式启用这种行为,而不是将其作为默认行为。 我浏览了ssh和sshd的手册页,但没有发现明显的地方,Google向我指出了开启此行为而不是关闭它的说明。 我正在运行Red Hat Enterprise Linux 6.2,在两个系统上都具有root登录和bash shell。
11 ssh  rhel  openssh  sshd 

3
如何在ssh中提供登录延迟
我想在通过ssh登录时提供登录延迟。我尝试了几种方法来完成登录,但找不到所需的结果。 我尝试了给定链接提供的步骤。 http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables iptables -N SSH_CHECK iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK iptables -A SSH_CHECK -m recent --set --name SSH iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP 我的机器上未安装pam模块,因此无法进行与pam文件相关的任何修改 因此,有谁能让我建议其他方法来做同样的事情? 我在嵌入式平台上运行着裸露的Linux内核。
11 linux  networking  ssh  sshd 

2
阻止对IPv6的SSH蛮力攻击
最近,我不得不与一些具有IPv6连接的服务器一起工作,但我惊讶地发现fail2ban不支持IPv6,denyhosts也没有。在Google上搜索时,我发现人们通常建议: 通过IPv6停用SSH登录(对我而言不是解决方案) 仅在服务器上使用私钥/公钥身份验证,而没有密码身份验证(可行,但是很多攻击可能会耗费服务器大量的处理能力,或者甚至可能由于DDoS使其无法使用) 使用ip6tables阻止来自同一IP的连续攻击 使用具有IPv6支持的sshguard 从目前为止我收集到的信息来看,IPv6中的地址禁止与IPv4上的有所不同,因为ISP不会为用户提供单个地址(/ 128),而是为整个子网提供一个地址(我目前拥有/ 48)。因此,禁止单个IPv6地址将无法有效抵抗攻击。我已经在攻击检测方面对ip6tables和sshguard阻止子网进行了严格的搜索,但是我没有找到任何信息。 有谁知道sshguard是否禁止子网进行IPv6攻击? 有谁知道如何制作ip6tables配置来禁止子网进行IPv6攻击? 还是有人知道比我已经发现的更好的缓解攻击的方法? PS:我在系统上使用CentOS 7。
10 ssh  security  sshd  ipv6  ip6tables 

1
对单个服务器启用大规模并发SSH
我的目标是允许在单个服务器上运行10000个并发ssh。 为简单起见,我将ssh-sing到localhost: for i in `seq 1 10000`; do ssh localhost "echo ${i}; sleep 100" >>./info 2>>./log & done sleep 100是为了确保第10000个ssh启动时,第一个ssh仍处于连接状态,因此确实存在10000个并发 ssh。 这是我收到的两种错误消息: 1. ssh_exchange_identification: Connection closed by remote host 2. ssh_exchange_identification: read: Connection reset by peer 我做了以下修改: 在/etc/security/limits.conf和中/etc/security/limits.d/90-nproc.conf,将soft&hard nofile和设置nproc为65535(这是可能的最大值吗?-更新:否。最大值是1048576) 在中/etc/sysctl.conf,设置kernel.pty.max = 65535 在/etc/ssh/sshd_config,设置MaxStartups 10000。 这些修改使我可以在单个服务器上成功运行1000个并发ssh,但是它们不适用于2000及更高版本的ssh。 有人建议更改的值MaxSessions(实际上我不清楚它的用法:多路复用如何影响我的情况?)/proc/sys/net/core/netdev_max_backlog和/proc/sys/net/core/somaxconn,但它们似乎没有什么区别。 此外,如果它们是到不同服务器的10000个并发ssh,则没有错误(仅当ssh到单个服务器时才出现问题): for i …
9 ssh  sshd  ulimit 

5
无法使用iptables阻止蛮力SSH
我试图阻止(减慢)我的sshd服务器上的暴力攻击。我正在遵循本指南http://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/,该指南基本上说我只需要输入以下2条命令即可。 sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP 我的sshd端口是6622,因此我将条目从“ 22”更改为“ 6622”,并放入了这些命令。然后,我尝试简单地测试新的iptables。我去了另一台电脑,故意多次输入了错误的登录密码。不幸的是,新规则似乎并没有阻止我尽力而为。下面列出了我当前的规则。我究竟做错了什么? # iptables --list Chain INPUT (policy …
9 ssh  iptables  sshd 

2
每当ansible在CentOS7中对sshd进行更改时,将来的随机播放都无法连接
现在,这已经是一个令人烦恼的问题,以至于我以为我最终会问整个社区,可能的解决方案是什么。更令人讨厌的是,我似乎是唯一遇到此问题的人。 本质上,任何时候只要在CentOS 7.x中修改sshd配置或sshd的任何部分,并且在接下来的3分钟内某个“随机点”重新启动/重新加载守护程序,ssh连接都会全部重置,然后该服务器即通过ssh几秒钟无法到达。 这对于ansible尤其是一个问题,因为它有时需要自己对sshd进行这些更改,然后重新加载它(例如在新的CentOS 7x服务器版本中)。但是后来在播放时,它只是随机地无法连接到ssh,并且它炸毁了该主机的其余剧本/剧本,但未能与之联系。这对于大型主机模式尤其不利,因为少数主机模式会随机完成,但其他主机在操作sshd之后会在剧本的各个阶段失败。值得注意的是,在CentOS 5x,6x或什至在Solaris上都没有发生这种情况。 为了避免这种情况,我能做的最好的办法是在对sshd进行任何更改后创建90秒的等待时间,即使这样也不是很简单。即使被调用7至8次,这些书也需要20分钟以上才能运行。 有关此环境的一些事实: 所有新安装均来自官方ISO DVD。每个服务器都是hyper-v 2012来宾,每个有此问题的服务器都是CentOS 7.x 这是问题的一些实际输出以及一些棘手的解决方案: 失败: fatal: [voltron]: UNREACHABLE! => {"changed": false, "msg": "All items completed", "results": [{"_ansible_item_result": true, "item": ["rsync", "iotop", "bind-utils", "sysstat.x86_64", "lsof"], "msg": "Failed to connect to the host via ssh: Shared connection to voltron closed.\r\n", "unreachable": true}]} sshd更改之一的示例: …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.