我有多个用户login我的服务器(Ubuntu 12.10),用SSH。 他们都没有root权限。 如果我用我的pipe理员帐户login并input w 结果输出是: 17:21:05 up 10 days, 18:47, 3 users, load average: 0,09, 0,09, 0,08 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 现在,如果我input sudo w 结果输出是: 17:22:00 up 10 days, 18:48, 3 users, load average: 0,04, 0,07, 0,07 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT admin pts/0 XX.XX.XX.XX 16:15 4.00s […]
我明白,为了安全起见,我必须总是戴着偏执狂的帽子。 我的场景: 我将在Proxmox VE上安装3个KVM虚拟机 Apache / Tomcat服务器 运行mysql的服务器 服务器运行mongod 所有这些虚拟机将被直接root-login-disabled,并将只使用passphrase-ssh密钥。 他们每个人都将安装CSF防火墙引擎,并将允许基于IP和端口的stream量。 现在的问题 当主机服务器与提供者位于同一位置时,我有3个select如何设置远程login。 select1 一个。 直接从互联网启用SSH访问所有的机器,这里的风险是我不想直接向外界暴露mysql,mongodb和App服务器,即使它只是passprhrase-protected-ssh-key。 select2 一个。 只启用SSH到Proxmox主机,然后存储我的SSH密钥在这里。 这看起来很吓人,任何黑客入侵Proxmox的人都会拥有所有机器的密钥(即使他们是密码保护的) select3 一个。 在另一台虚拟机/路由器上创build一个openvpn,并允许防火墙规则只允许ssh访问具有该VLAN段的虚拟机,这样我就可以将SSH密钥存储在笔记本电脑上而不是任何服务器上。 我是一家初创公司,在pipe理Linux服务器方面的天赋非常有限。 我可以在linux中导航而不是很好的系统pipe理员的东西,但在过去的几个星期里,读取足够的linux安全性限制了Linux系统的访问和普遍加强。 我只是想遵循规则使用/只安装那些绝对需要的工具。 第二个问题,我也想知道这是否正确 – 我的偏好是默认停止Proxmox的Web界面,并在需要的基础上启动/停止服务于此Web界面的apache2。 由于apache界面function非常强大,将直接提供控制台访问每个虚拟机,而不需要任何SSH密钥 任何想法和一般build议或指针也非常受欢迎。
运行Ubuntu 12.04 我可以通过使用任何用户(包括根)的SSH成功login,但是无论何时我尝试SFTP到服务器我得到一个身份validation被拒绝。 下面是客户端(winscp)的错误,下面是“/var/log/auth.log”。 值得注意的是,我也可以在本地SFTP。 这不应该是一个防火墙问题,尤其是当端口扫描器显示服务器正在侦听端口22时。 Authentication log (see session log for details): Using username "test-user". Authentication failed. Apr 29 07:34:29 HOST_NAME sshd[3453]: Accepted password for test-user from XXXX port 43592 ssh2 Apr 29 07:34:29 HOST_NAME sshd[3453]: pam_unix(sshd:session): session opened for user test-user by (uid=0) Apr 29 07:34:31 HOST_NAME sshd[3564]: subsystem request for sftp by […]
我正在寻找一种方法,普通用户可以通过Web界面在Linux上进行远程更改。 说例如更新他们的域的DNS设置。 该脚本需要在根目录下运行。 我有三个问题。 首先,通过SSH执行此操作的正确方法是,您设置的用户只能对脚本拥有root用户访问权限。 使用visudo? 其次,是否有更好的方法来实现呢? 我在想如果Web界面服务器在哪里我将存储身份validation密钥被入侵。 虽然由于visudo的限制,攻击面会相当有限吗? 最后,这会运行相当频繁,可以导致任何问题? 编辑澄清的目的。
我正在考虑使用密钥文件来远程SSH访问我的服务器,而不是在login时手动input帐户的密码。 在互联网上,我find了几个关于如何为腻子使用的教程。 他们都推荐使用密码保护私钥文件。 这是非常有意义的,因为我不希望任何人可能访问该私钥文件访问我的服务器没有密码。 然而,我自问:如果我每次用它连接到服务器时都需要input密钥的密码,为什么还要使用密钥文件呢? 我可以直接继续input用户的密码。 不幸的是我无法在网上find这个问题的一个很好的答案。 所以我想在这里问你。 使用密码保护密钥文件进行SSH身份validation的原因是什么,而不是直接input用户密码?
我想弄清楚如何生成一个新的私钥(我可以使用腻子)为我的服务器上的特定帐户。 我已经使用“ssh-keygen -t rsa -b 2048”为该特定用户生成公钥,但公钥不能用于putty ..
所以,我有一个脚本设置来自动打开到我的服务器的SSH连接,并反向端口转发到我的SSH连接到我的家庭桌面端口。 这个脚本一直工作到现在我已经迁移了服务器。 简而言之,我无法获得连接绑定在外部IP地址,我不知道为什么。 该脚本基本上运行这个命令(我可以确认,这个命令与我的价值subbed在从shell运行时具有相同的结果): sudo autossh -M 5114 -D 7474 -R servers_public_ip:2695:localhost:22 -i /home/user/.ssh/id_rsa2 remote@servers_public_ip 当我检查lsof ,我看到为remote用户绑定了以下连接: sshd 27570 remote 3u IPv4 161761 0t0 TCP servers_public_ip:22->67-213-103-227.eastlink.ca:62812 (ESTABLISHED) sshd 27570 remote 7u IPv6 161773 0t0 TCP ip6-localhost:5114 (LISTEN) sshd 27570 remote 8u IPv4 161774 0t0 TCP localhost:5114 (LISTEN) sshd 27570 remote 9u IPv6 161777 0t0 TCP […]
我使用apt-get install openssh-server在我的Ubuntu PC中apt-get install openssh-server 。 版本是5.9。 现在,我想从源代码编译和安装openssh-server版本6.2。 我已经成功下载了源代码,并运行以下命令: ./configure make make install 我发现新版本的openssh-server被安装到/usr/local/sbin/ 。 旧版本的openssh-server位于/usr/sbin/ 。 我发现/etc/init.d/ssh中的服务脚本仍然指向/usr/sbin/ 。 旧的openssh-server(v5.9)仍在运行。 我怎样才能用我刚刚编译和安装的新的openssh-server replace旧的openssh-server? 我如何创build一个init.d脚本来启动和停止手动编译的新的openssh-server? 如何在启动时启动新的openssh-server? 当我使用apt-get install安装openssh-server时,configuration文件将被安装到/ etc / ssh /中。 如果我从源代码编译并安装它,configuration文件在哪里? 如果我从源代码编译openssh-server,但是我使用apt-get install来安装openssh-client包,会不会有任何configuration文件发生冲突? 谢谢。
我正在Amazon云中运行Centos机器。 突然之间,我无法嘲笑它。 幸运的是,有R Studio运行,包括运行BASH shell的能力。 所以,我在/var/log/boot.log中看到sshd无法启动。 当我从命令行sudo service sshd start我得到一个错误, Starting sshd: /etc/ssh/sshd_config: Permission denied 。 我试图设置sshd_config权限为644或600 – 但我得到相同的错误。 另外我尝试sudo su -然后开始服务。 这不是shell本身的限制:我可以启动httpd没有任何问题。 我什至不知道还有什么要尝试…
我的笔记本电脑显然已经改变了它的RSA密钥,所以当我通过SSH连接到它时,我得到了REMOTE HOST IDENTIFICATION已更改的消息。 我不记得上次连接到笔记本电脑的时间是在重新安装之前,所以想知道是否有最后一次信任我的笔记本电脑的时间戳的logging。 谢谢