最近我们的一台服务器因IPMI BMC故障而被吊死。 它是CentOS 6.3 OpenStack计算主机,提供带有qcow2后端的KVM虚拟机。 运行一个基于EC2 Ubintu的虚拟机镜像(精确服务器cloudimg-amd64-disk1.img)。 系统重启后,我发现一个奇怪的事情:在虚拟机上的ssh主机密钥被重新创build(13:25 – 重启时间): root@weather:~# ll /etc/ssh/*key -rw——- 1 root root 668 Nov 21 13:25 /etc/ssh/ssh_host_dsa_key -rw——- 1 root root 227 Nov 21 13:25 /etc/ssh/ssh_host_ecdsa_key -rw——- 1 root root 1679 Nov 21 13:25 /etc/ssh/ssh_host_rsa_key 我还发现,在FS恢复过程中,一些孤儿的i节点被删除了: Nov 21 13:25:23 weather kernel: [ 0.901159] EXT4-fs (vda1): INFO: recovery required on readonly […]
在我的大部分经验中,默认情况下, ssh将在〜/ .ssh / id_rsa(.pub)中查找默认密钥对。 偶尔我尝试编写脚本来利用这个默认密钥位置,但是我最终对它进行了硬编码(例如DEFAULT_KEY_LOCATION="${HOME}/.ssh/id_rsa" /。ssh DEFAULT_KEY_LOCATION="${HOME}/.ssh/id_rsa"等),我觉得它是一个BadThing™。 是否有任何环境variables或ssh工具的输出,可以告诉我哪个用户的默认密钥的位置? 例如,是否有像ssh-defaults –key-location或环境variables$ SSH_DEFAULT_KEY?
我正在寻找实施签名证书进行SSH身份validation。 我在这里遵循了这些步骤,现在正试图弄清楚我将如何在我的系统上实现它。 作为一个例子,我们有两个环境:生产和testing; 每个用自己的“用户密钥”来签署其他密钥。 我希望能够控制谁可以访问每个环境,但我遇到的不便之处是允许一个用户使用相同的私钥访问两个环境。 从'-i identity_file'下的'ssh'的手册页: ssh也会尝试从通过追加-cert.pub到标识文件名获得的文件名加载证书信息 这似乎意味着我将不得不拥有私钥的多个副本(只是以不同的名称命名),并相应地为证书文件命名,除了添加.ssh / config文件条目以便使用正确的证书。 我的理解是,如果你在.ssh / config中指定了多个IdentityFile条目,ssh将会尝试每个条目。 但是,似乎没有选项(至less在文档中找不到)来指定证书。 有没有办法在.ssh / config中指定一个证书文件(除了假定的-cert.pub),或者是一个包含要检查的证书列表的文件?
想象一下,我正在设置一个蜜jar,将SSHD设置为接受任何连接的最快方法是什么? 是的,这是真的不安全,所以请不要复制:-) 可能是有用的(把pam_permit放在auth栈上)…我只是没有太多的经验与PAM,目前正在阅读虽然文档。 https://unix.stackexchange.com/questions/124187/accept-any-private-key-for-authentication 对于实际问题的一些背景,我有一台防火墙后面的客户端计算机,它试图通过首先连接出站(所以我可以连接回去)来build立一个反向的SSH隧道…当它不断尝试连接,就好像它使用的密钥不再有效(这是奇怪的),或者别的什么是失败的。 服务器日志显示客户端closures连接,其他客户端可以连接好… debug1: Forked child 29472. Set /proc/self/oom_score_adj to 0 debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8 debug1: inetd sockets after dupping: 3, 3 Connection from CLIENT_IP port 46186 debug1: Client protocol version 2.0; client software version OpenSSH_6.0p1 Debian-4+deb7u2 debug1: match: OpenSSH_6.0p1 Debian-4+deb7u2 pat OpenSSH* […]
我对openssl知之甚less,所以我想知道openssl genpkey的默认参数是否足够安全。 如果我运行openssl genpkey -algorithm rsa我得到一个私钥。 但这样使用很好吗? 我甚至不知道rsa是否是在该命令中使用的正确值。 似乎有大量的openssl的选项,所以你可以帮助解释什么选项通过,以确保安全?
问题 我试图在gitlab构build过程中从gitlab(自托pipe)克隆私人回购。 我使用ssh私钥没有密码,但有一个错误 key_load_private_type: incorrect passphrase supplied to decrypt private key 文件和debugging .gitlab-ci.yml image: tetraweb/php:5.5 variables: TIMEZONE: Asia/Novosibirsk before_script: # Create deploy private key – mkdir ~/.ssh – echo $DEPLOY_KEY_PRIVATE >> ~/.ssh/id_rsa && chmod 0600 ~/.ssh/id_rsa – echo "Host gitlab.example.com"$'\n\t'"IdentityFile ~/.ssh/id_rsa" >> ~/.ssh/config – ssh-keyscan -t rsa gitlab.example.com >> ~/.ssh/known_hosts test: script: – ssh -vT […]
我有一个服务器,我通常连接到从多个笔记本电脑,一些FC22,FC23,或Ubuntu的。 我安装了一台全新的笔记本电脑FC23,在authorized_keys中添加了相关的键: [mathieu@xps13 code]$ ssh -vvv root@ovh6 OpenSSH_7.2p2, OpenSSL 1.0.2g-fips 1 Mar 2016 debug1: Reading configuration data /home/mathieu/.ssh/config debug1: /home/mathieu/.ssh/config line 5: Applying options for * debug1: /home/mathieu/.ssh/config line 71: Applying options for ovh6 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 58: Applying options for * debug2: resolving "XXXXXXXXXXXXXXX" port 22 debug2: ssh_connect_direct: needpriv […]
我正在为使用rsync的服务器执行备份策略。 我遵循本教程,并限制使用SSH密钥,我使用这个validate-rsync.sh脚本,我也可以运行没有问题: #!/bin/sh case "$SSH_ORIGINAL_COMMAND" in *\&*) echo "Rejected" ;; *\(*) echo "Rejected" ;; *\{*) echo "Rejected" ;; *\;*) echo "Rejected" ;; *\<*) echo "Rejected" ;; *\>*) echo "Rejected" ;; *\`*) echo "Rejected" ;; *\|*) echo "Rejected" ;; rsync\ –server*) $SSH_ORIGINAL_COMMAND ;; *) echo "Rejected" ;; esac authorized_keys文件的开始部分如下所示: command="/home/$USERNAME/validate-rsync.sh" ssh-rsa…. 据我所知,我不应该通过SSH(从备份服务器)远程连接,然后执行mkdir xx 。 但不知何故,我仍然可以做到。 可能是什么问题呢? […]
我已经使用这篇文章: http : //developer.apple.com/library/mac/#documentation/MacOSXServer/Conceptual/XServer_ProgrammingGuide/Articles/SSH.html为了帮助设置SSH证书(我在Mac OS X)。 我看到密钥被放在一个名为authorized_keys2的文件中。 这个文件被称为什么? 另外,在非个人服务器(其他人可能拥有root访问权的服务器)上使用相同的authorized_keys2文件是安全的吗? 他们能够使用它以某种方式访问我的个人服务器吗? 或者我为不同的服务器/服务器组使用单独的授权文件? 有没有其他好的“一般做法”,只要有几个本文没有提到的基于密钥的身份validation的服务器?
当我尝试从我的英国笔记本电脑ssh到德国的服务器时,我得到: IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. ….. 我从〜/ .ssh / known_hosts中删除了相应的行,然后再次ssh'ed。 在服务器上(通过SSHterminal)我执行: ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub 然后从我的笔记本电脑我做到: ssh-keyscan -p 22 -t rsa my_domain_or_ip.com > /tmp/ssh_host_rsa_key.pub ssh-keygen -l -f /tmp/ssh_host_rsa_key.pub 当我copare结果时,我看到指纹是不同的! […]