我试图build立一个SSH硬盘的gentoo资源openssh(与openssh-lpk,这是我认为的gentoo上的LDAP标志)和启用selinux的服务器。 在Ldap服务器上,我添加了一个带有公钥的用户“ldapuser”。 当selinux完全禁用时,login工作完美无缺。 的/ etc / selinux的/configuration SELINUX=disabled 但是,当我设置selinux是在宽容或强制模式下发生在客户端上: ssh -v ldapuser@server debug1: Entering interactive session. Write failed: Broken pipe 我看到公钥被接受了。 在服务器上,我发现的唯一有趣的日志条目是: server sshd[]: error: ssh_selinux_getctxbyname: Failed to get default SELinux security context for ldapuser 这是有道理的,因为这个用户在LDAP服务器上(但是pam_ldap和nsswitch.confconfiguration正确,使用ldap服务器)。 我发现这个错误的所有报告,例如https://bugzilla.mindrot.org/show_bug.cgi?id=1325 ,似乎都是封闭的或者与我的问题没有关系。 我正在使用Openssh 5.9_p1-r4,绑定器,hpn,ldap,pam,selinux和tcpd使用标志 Linux server 3.7.4-hardened-r1 #2 SMP Fri Feb 8 13:26:25 CET 2013 x86_64 AMD A4-3300 APU […]
更新: 我从来没有得到这个想法。 相反,我最终使用jailkit因为有很多(虽然有时是过时的)使用文档。 Id仍然有兴趣知道如何让schroot工作。 IVe发现了大量关于设置schroot / debootstrap的文档,以及关于jailing sftp的一些东西以及一些关于创buildchrooted shell的适当指示,但是我无法find任何有关这个工作的内容。 看起来像大多数教程是为了创造孤立的build设环境,这不是我所需要的。 我有schroot设置在/srv/chroot/systemid env。 这很好,我可以用schroot -c systemid -u somejaileduser启动会话。 我无法正常工作的是chroot一个SSH会话。 我目前的configuration如下所示: Match Group jail ChrootDirectory /srv/chroot/systemid # other stuff to out law tcpforwarding and what not 在这种工作中,我得到了一个chroot的ssh会话,但它直接把我转储到工作目录的chroot中。 我认为这是因为一个会话实际上从未被启动,因此/home永远不会被绑定到/srv/chroot/systemid/home (如果在ssh会话中ls /home为空)。 那么,我在这里丢失的configuration步骤?
我有一个服务器,用户不能通过SSHlogin,但可以通过SFTP上传文件。 这个服务器有一个用户ldap数据库,ssh和sftp用ldapconfiguration,所以ldap用户都不能通过sshlogin,但是可以通过sftp上传文件。 但是现在我想做另一件事情:我想让一个指定的ldap用户通过sshlogin。 那可能吗? 有没有这个工作的机会? 我尝试用sshd_config中的AllowUsers,但它似乎不工作。 非常感谢!
更新:下面描述的整个事情适用于远程计算机上的非root帐户。 也就是说,这个工作: anderson@client -> nonroot@remote -> anderson'[email protected] 但是这不起作用: anderson@client -> root@remote -> anderson'[email protected] 所以问题是,当中间的机器是root时,如何让ssh代理转发工作? 本地计算机(OSX)在〜/ .ssh / config文件中打开了转发: Host remotehost ForwardAgent yes 本地机器不会覆盖/ etc / ssh / ssh_config中的此设置。 Host * # ForwardAgent no 本地机器正在运行ssh-agent: anderson$ ssh-agent SSH_AUTH_SOCK=/tmp/ssh-L0iFZ891Gv/agent.75083; export SSH_AUTH_SOCK; SSH_AGENT_PID=75084; export SSH_AGENT_PID; echo Agent pid 75084; 已经对密钥执行了ssh-add: anderson$ ssh-add -K ~/.ssh/id_rsa Passphrase updated in keychain: […]
我们正计划在我们的组织中使用Zmanda / Amanda社区备份。 我们面临的问题是,我们的服务器分散在全球不同的数据中心,有些在客户端networking,所以我们没有对服务器的无缝访问。 我们只有ssh连接到客户端,阅读后通过文件和论坛,我明白,阿曼达使用端口范围和10080端口进行备份,这是不可能的在这种情况下。 我们的networking拓扑如下所示: 有人可以build议如何在这种情况下实现configurationamanda。 如果我错过了什么
我想要完成的是如果我改变LDAP中的用户属性没有壳; 例如:/ etc / noshell,我不希望用户ssh成功。 我改变了一个用户的属性: # check62, people, wh.local dn: uid=check62,ou=people,dc=wh,dc=local uid: check62 cn: Johnny Appleseed objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e1NTSEF9dklpL2pQcWtNWDBFSUs1eUVDMUMxL2FjWHdJNGRuUXY= shadowLastChange: 15140 shadowMax: 99999 shadowWarning: 7 uidNumber: 6002 gidNumber: 6002 homeDirectory: /home/check62 loginShell: /bin/noshell # check62, group, wh.local dn: cn=check62,ou=group,dc=wh,dc=local objectClass: posixGroup objectClass: top cn: check62 gidNumber: 6002 […]
我在一个有(不必要的)严格的安全要求的组织工作。 去年,我们在一台云计算机上build立了一台SVN服务器。 这台机器的要求决定了唯一被批准的访问方法是通过RSA令牌进行双因素authentication。 这意味着我们不能使用svn + ssh://,因为开发人员不得不为每一个SVN操作使用不方便的RSA标记。 但是我们也不能天真地使用svn://因为(天堂禁止)人们可以在不使用双因素令牌的情况下访问SVN服务器上的数据。 最终,我们开发了一个复杂的端口转发系统。 服务器有一个典型的svnserve守护程序进程监听3690上的连接,但防火墙阻止了除localhost之外的所有连接。 如果用户不在中心位置,则必须先将VPN连入networking。 用户将创build一个到服务器的SSH隧道,然后转发端口(比如说)6789到服务器上的端口3690(SVN端口)(换句话说,就是ssh user@server -L 6789:localhost:3690 )。 只要SSH会话保持打开,用户可以通过引用该端口来使用正常的svn URL:例如, svn://localhost:6789/path/to/repository/trunk 。 对于* nix系统和Windows(使用PuTTY和TortoiseSVN),这已经工作了大约一年。 现在,我们遇到了一个使用Windows / TortoiseSVN的新团队成员的问题。 她可以使用端口转发进行VPN连接并启动SSH会话,但是当她实际检查某些内容(请参阅上面的示例path)时,她会收到以下消息:“networking连接意外closures”。 PuTTY会话不显示任何错误消息或结束,所以我不太确定这是服务器的错误。 我已经独立testing了她的机器通过6789端口收听自己的能力。 我不确定系统中的哪个组件有问题:TortoiseSVN,PuTTY,她的计算机的防火墙设置,她的networking的防火墙设置,我们的服务器的防火墙设置或svnserve进程。 我怀疑它的防火墙设置,因为这是她唯一比其他人都不同的东西。 但是,防火墙如何防止通过SSH端口转发隧道的stream量呢? 它应该都显示通过端口22,所以它应该通过,如果SSH连接可以成功build立在第一位。 我很难过 所以: 你们有没有观察到SVN在隧道上有类似的行为,或者有类似的情况? 如果是的话,这个问题的原因是什么?它是如何解决的? (我怀疑会有很多人有类似的问题,所以下面是更一般的问题。) 防火墙是否有可能通过已经build立的SSH隧道阻塞stream量? 如果不是,哪个组件可能有问题?
我无法使用DSA密钥连接到使用X2GO的远程服务器。 通过SSH连接工作正常,但是当我尝试连接X2GO,它立即进入用户名/密码框,并不想使用我在选项中指定的私钥。 如果我select“尝试自动login”它似乎尝试连接,然后我得到以下错误: 没有公钥匹配 拒绝访问。 可以继续的身份validation:publickey 这是以前工作,但我重新安装客户端操作系统,从那以后我无法连接。 我从以前的安装中复制了所有的SSH密钥。 我也尝试删除我的~/.ssh/known_hosts文件,并将密钥添加到ssh-agent没有成功,但密钥肯定是正确添加的: $ ssh-add -l 1024 b9:3d:e5:ef:48:ea:fc:c6:6e:45:89:b5:35:e7:58:39 server.com_dsa (DSA) 注意,如果我在服务器上启用密码authentication,我可以连接好,但是我想使用publickey。 任何想法如何可以连接公钥authentication?
我正在使用DSM 4.1pipe理Synology Diskstation 412,我需要能够通过SFTP将file upload到文件系统。 但是,当我在DSM中启用内置的SFTP服务器时,它始终将我监视到我的主目录。 我试图改变在/ etc / ssh中的configuration,但没有区别。 但是,通过SSHlogin服务器可以正常访问文件系统。 有没有办法在SFTP撤消监狱?
我有一个奇怪的SSHlogin问题,其中用户的login一般工作,但有时它不。 这是一个失败的login尝试: Mar 28 14:49:55 hostname sshd[32247]: Invalid user sshuser from 172.16.1.19 Mar 28 14:49:55 hostname sshd[32247]: input_userauth_request: invalid user sshuser [preauth] Mar 28 14:56:02 hostname sshd[29513]: pam_unix(sshd:session): session closed for user sshuser 这很奇怪,因为之前的login尝试工作得很好: Mar 28 14:49:04 hostname sshd[32117]: Accepted publickey for sshuser from 172.16.1.19 port 56766 ssh2 Mar 28 14:49:04 hostname sshd[32117]: pam_unix(sshd:session): session […]