AM试图login到我的vps使用ubuntuterminalbuit这个失败,使用腻子连接工作 我的本地桌面运行的是Ubuntu 16.04 打字后在terminal上 ssh -vvv [email protected] 我得到了 OpenSSH_7.2p2 Ubuntu-4ubuntu2.2, OpenSSL 1.0.2g 1 Mar 2016 debug1: Reading configuration data /home/geowan/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: resolving "xx.xxx.xx.xxx" port 22 debug2: ssh_connect_direct: needpriv 0 debug1: Connecting to xx.xxx.xx.xxx [xx.xxx.xx.xxx] port 22. debug1: Connection established. debug1: identity file […]
我一直在尝试,并没有find办法做到这一点。 我正在设置一个服务器pipe理基于Web的控制面板(沿着webmin的方向),但试图添加一个非常难以欺骗的安全措施,这对访问者来说基本上是透明的,并且是空的。 我脑子里有一个想法,听起来很合适,但是对于一个真正可行的解决scheme而言,这是一个损失。 我有端口敲门设置上的SSH密钥的唯一身份validation。 攻击企图几乎为零。 我很满足于ssh安全措施,但是对nginx带来同样的安全性已经certificate是徒劳的。 是否有可能设置类似于端口敲门的东西,只有一个用户主动login到SSH有一个端口打开http? 我不能简单地使用ESTABLISHED,因为我想要求在ssh中进行身份validation。 理想的解决scheme可以这样工作… 没有ssh连接 – > DROP尝试访问nginx端口 活动的ssh连接,未经过authentication – > DROP尝试访问nginx端口 主动ssh连接,authentication – > ACCEPT nginx端口连接 我意识到终止会话会导致活动切换到DROP,这是可以接受的。 最近的解决scheme我已经能够想到通过cron扫描ssh日志并在运行中修改iptables,但是需要一个更好的方法。 如果没有其他的东西,请打开想法,指向正确的方向。 你可以编辑你的问题,给你一些关于为什么你需要这个安全级别的背景吗? 这似乎是矫枉过正。 – Tim 我提到服务器pipe理ala Webmin。 简而言之,php / py脚本可以访问服务器内部,如iptables,/ etc修改,关机/重启,日志parsing器,其他维护工具。 访问需要sudo到服务器本身,因此,希望保持它的极端保护。
突然之间,我没有能够ssh到任何机器。 我认为这是我的路由器/networking问题,我尝试了不同的networking,但结果是一样的。 我在服务器和客户端上都使用了tcp dump,发现校验和不正确。 客户端在MacOS 10.12.6上,服务器运行Ubuntu。 下面是服务器和客户端的TCP转储。 服务器 sudo tcpdump -n -vvv -n dst host 59.90.xxx.xxx 06:51:41.285561 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60) 10.128.x.xx.22 > 59.90.xxx.xxx.54341: Flags [S.], cksum 0xb1fb (incorrect -> 0x0b7d), seq 1875710046, ack 3542782445, win 28160, options [mss 1420,sackOK,TS val 1107257724 ecr […]
我知道这是通过默默无闻的安全,但这是为了培训的目的,并不能通过互联网访问。 它只会被用作内部工具。 我已经看了下面的链接: 如何禁用某些用户的sftp,但保持ssh启用? 问题是,它不回答我的问题,如下所述: 我试图设置一个虚拟服务器,允许一个用户使用sftplogin到服务器,另一个用户使用sshlogin到服务器。 sftp部分的工作原理是通过在这个问题中进一步显示的sshd_config文件内强制internal-sftp来完成的。 这部分工作,因为它不允许用户使用sshlogin到服务器,只允许他们访问我创build的sftp监狱。 对于只能通过ssh访问Chroot监狱的其他用户,我不确定如何禁止通过sftp访问。 问题是我特别为这个用户创build了一个chroot jail来防止ls和cat之类的命令,但是如果用户使用sftp访问服务器,他们就可以使用这些命令。 / etc / ssh / sshd_config中的部分如下所示: Match User test1 ChrootDirectory /home/jail X11Forwarding no AllowTcpForwarding no # Match Group sftpusers Match User test2 ChrootDirectory /sftp/guestuser ForceCommand internal-sftp AllowUsers test2 我曾尝试添加: ForceCommand Subsystem sftp /bin/false or ForceCommand sftp /bin/false or Subsystem sftp /bin/false or to Match […]
在我的hosts.allow结束时,我有以下几点: ALL : ALL \ : spawn (echo "%d" | /usr/bin/mail -s "tcpf\: %d attempt from %h." root) & \ : severity auth.info \ : twist /bin/echo "You are not welcome to use %d from %h."` 但是,这似乎只是把这个文本放到我的auth.log中: mail sshd[63546]: twist 12.34.56.789 to /bin/echo "You are not welcome to use sshd from 12.34.56.789." 在客户端,我只看到“由远程主机closures连接”,我没有看到回声的输出。 man -k […]
我有一个Debian 8服务器,但自从几天前,我的服务器提供商告诉我SSh被禁用,但它仍然ping,并启用HTTP / HTTPS。 我必须补充说,我是这个服务器世界的新手,我知道的基本知识,但没有其他的东西 我记得最后一件事情是sshd_config文件,但是我把所有的东西都放回原来的位置(双重检查了另一个我没有碰到的服务器) 所以,当我把我的服务器进入救援模式,我就这样做了 grep 'sshd' /var/log/auth.log 我得到以下内容: Aug 17 12:23:44 vpsxxxxxx sshd[7974]: pam_unix(sshd:session): session opened for user root by (uid=0) Aug 17 12:23:44 vpsxxxxxx sshd[7974]: Received disconnect from yy.yy.yy.yy: 11: disconnected by user Aug 17 12:23:44 vpsxxxxxx sshd[7974]: pam_unix(sshd:session): session closed for user root Aug 17 12:26:28 vpsxxxxxx sshd[7979]: error: Could […]
注意:这个post不是 SSH远程端口转发失败的副本。 这里的问题不是导致端口转发(暂时)失败的原因,我们知道它是什么。 问题是如何删除损坏的sshd端口绑定。 谢谢。 我有一个运行autossh的dynamicIP的服务器A来维护一个带有静态IP的机器B的反向隧道。 下面的代码工作正常: autossh -M 0 -q -N -R2222:localhost:22 -o ServerAliveInterval 60 -o ServerAliveCountMax 3 -o ExitOnForwardFailure yes USER@B -p PORT 但是,当由于A的IP更改导致连接崩溃时,需要“很长”的时间(例如一个小时)才能恢复连接。 这是因为来自机器B的sshd仍然监听端口2222,从而防止在发生崩溃后ssh(从机器A)绑定端口2222。 来自B的auth.log包含数十个: Accepted publickey for USER from A port SOMEPORT ssh2: ED25519 XXXXXXXX error: bind: Address already in use error: channel_setup_fwd_listener_tcpip: cannot listen to port: 2222 直到连接终于被接受而没有转发失败(导致autossh停止respawning ssh,如等待),因为sshd终于不再监听端口2222。 我怎么能(至less手动)告诉sshd(在机器B上)它不应该再听2222端口,所以我可以不用等一个小时就恢复连接(并且不需要重新启动机器B)? […]
所以我正在运行ssh-keygen来签署一个用户证书。 我正在使用的命令如下所示: ssh-keygen -s ${CERTIFICATE} -I ${GITHUB_USERNAME} -n ${AUTH_PRINCIPAL} -V +${LEASE_TIME} -z ${SERIAL} -O source-address=${ALLOWED_CIDR} ${WORK_DIR}/${GITHUB_USERNAME}.pub 这目前工作在我工作的另一个bash脚本。 会发生什么,这将运行,并将打印大部分的关键标准输出,但不会写入-cert.pub文件,它的意思。 在命令中添加一些-vvv不会增加输出,所以我无法知道发生了什么。 有任何想法吗?
所以,我今天在一个IP上testing了ssh上的Fail2ban,而这个IP从来没有连接过服务器。 首先,我在默认的configuration(除了邮件地址)改变的唯一的东西是这里: # Choose default action. To change, just override value of 'action' with the # interpolation to the chosen action shortcut (eg action_mw, action_mwl, etc) in jail.local # globally (section [DEFAULT]) or per specific section action = %(action_mwl)s 而且我应该注意到SSH在一个大于20000的端口上。 现在,发生了什么,经过6次尝试,我得到了我的IP被阻止的邮件。 所以我很高兴。 但后来我试着再次login,具有正确的细节…它的工作。 所以为什么? 什么可能导致这个?
我已经尝试设置以下,但我没有得到rw-rw—-所需的状态。 父文件夹: drwxrwsr-x 2 clientname airflow 28 Sep 11 15:17 incoming SSHDconfiguration Match group sftpusers ForceCommand internal-sftp -u 0002