所以我试图build立Postfix的邮件时,ssh'd到我的正在运行的实例。我正在休假这个教程: http : //flurdy.com/docs/postfix/#ec2 。 我到了Shorewall部分,休假了所有的指示。 我想,当我这样做的时候,我把自己锁在了SSH之外。 目前,我想删除locking我的ssh的Shorewall防火墙。 我怎么能这样做? Shorewall设置: /etc/shorewall/interfaces net eth0 detect dhcp,tcpflags,logmartians,nosmurfs /etc/shorewall/zones Add the firewall if not there and the internet as a zone. fw firewall # loc ipv4 net ipv4 /etc/shorewall/hosts # loc eth0:192.168.0.0/24 /etc/shorewall/policy $FW net ACCEPT net $FW DROP info net all DROP info # The FOLLOWING POLICY […]
Kerberos明显阻止攻击者在SSH中间情况下(攻击者已经获得用户信任其服务器的公钥并通过该服务器redirect通信的情况)获取用户凭据。 但是,如果攻击者没有获得用户凭证,那么他们将能够在authentication之后监听会话,并可能获取有价值的信息(包括随后input的凭证),从而会发生什么情况呢? 要清楚,这里是这种情况: SSH服务器(Server1)和客户端(User1)是为Kerberos设置的。 Server1具有用于authentication的标准公钥/私钥对 User1最初尝试连接到Server1,但其连接被攻击者redirect到Server2。 用户1并不仔细查看来自Server2的公开密钥,并将其作为Server1的已知主机密钥(因此设置MITM)接受它。 用户1通过服务器1到服务器2进行Kerberosauthentication(服务器2设置两个独立的SSH会话并在它们之间传递信息)。 由于Kerberos的工作方式,攻击者在authentication过程中不会获得任何有价值的信息。 然而,一旦通过身份validation,User1就开始在Server1上执行操作,包括sudo。 攻击者能够在通过Server2时看到会话的所有内容。 这会工作吗? 在authentication步骤中,这种情况显然会受到公钥authentication的阻碍。 但是在Kerberos或SSH协议中有什么可以防止这种情况呢?
我们最近不得不重build一个我们的云服务器(我们使用Rackspace)。 所有服务器几乎完全相同,并使用另一台服务器的快照。 一旦再次生活,我允许一个cron作业运行,使用Unison将源控制之外的一些文件从原始服务器同步到最近重build的服务器。 从本质上说,这个SSH和比较两者之间的文件,然后复制两台机器之间的/删除/任何文件。 但是,自重build以来,我收到来自Cron Daemon的电子邮件,给了我以下错误: ssh_exchange_identification: read: Connection reset by peer Fatal error: Lost connection with the server 这里奇怪的是,如果我login作为cron作业下运行相同的用户和SSH到同一台服务器(使用相同的密钥进行身份validation),我没有看到任何错误。 此外,如果我从命令行手动运行Unison,我看不出错误。 更重要的是,如果我closuresUnison的静音模式,那么成功的Unison批处理作业的输出会显示在控制台中,而这个相同的输出会显示在电子邮件中,但是每当cron作业时我仍然会收到其他几个错误运行。 我已经检查了id_rsa / id_rsa.pub键,authorized_keys等的权限和内容,而且看起来很好。 任何人都可以build议为什么这可能突然开始发生? 它似乎同步正在工作,但我收到几个电子邮件,每次运行该错误。
我的本地机器正在托pipe一个Kali虚拟机。 我试图在运行Ubuntu 12.04.5的服务器上使用VM的OpenVAS 7运行本地安全testing。 当我运行SSH授权testing时,得到以下结果:“无法使用提供的SSH凭据login,因此validation检查未启用。 在目标服务器上,当发生这种情况时, /var/log/auth.log以下内容logging到/var/log/auth.log : Dec 14 18:46:38 localhost sshd[9420]: Received disconnect from ***.***.***.***: 11: Bye Bye [preauth] 在Kali虚拟机上,当发生这种情况时,没有任何内容输出到/var/log/openvas任何日志文件。 我已经validation了OpenVAS任务正在使用正确的私钥和公钥。 我已经validation了密码input正确。 我已经成功地使用相同的login名和私钥从Kali VM手动SSH到目标服务器。 手动SSH被logging到/var/log/auth.log我所期望的: Dec 14 18:39:21 localhost sshd[8965]: Accepted publickey for openvas from ***.***.***.*** port 32774 ssh2 Dec 14 18:39:21 localhost sshd[8965]: pam_unix(sshd:session): session opened for user openvas by (uid=0) Dec […]
我试图让我的服务器自动发送一封电子邮件在sshlogin。 我做了什么: 创build一个login-notify.sh文件(用户root,组root,chmod 755)并将其放在/etc/ssh/ #!/bin/sh if [ "$PAM_TYPE" != "close_session" ]; then # assembling my variable $TEXT … echo $TEXT | mail -r "root@…. " – s "Subject line" root 修改/etc/pam.d/sshd : echo "session required pam_exec.so seteuid /etc/ssh/login-notify.sh" | sudo tee -a /etc/pam.d/sshd 重新启动sshd服务器,甚至重新启动机器 手动启动/etc/ssh/login-notify.sh – >邮件成功发送 通过sshlogin – >没有发送邮件 添加步骤/信息 从命令行发送电子邮件我使用ssmtp和一个Gmail帐户 而不是发送邮件我试图追加一个string到文件,看看它是否工作(回声“SSHlogin> /家庭/用户/ sshtesting) […]
我的gitolite安装开始要求密码suddendly,我检查了/var/log/secure文件,发现这个。 sshd[9071]: User git not allowed because account is locked sshd[9072]: input_userauth_request: invalid user git 经过一个快速的search,我已经读过这个解决scheme sudo passwd -u git 但是这给了这个答案: Unlocking password for user git. passwd: Warning: unlocked password would be empty. passwd: Unsafe operation (use -f to force) 我用-f来检查,是的,它解决了这个问题。 但是这样做是否存在安全缺陷? 我不想要这个帐户有一个密码,只使用密钥authentication。
我在configurationAnsible和sudo时遇到问题,无法让SSH进入服务器并以另一个用户身份运行命令。 我已经通过下面的问题/答案和Ansible文档在这里: http ://docs.ansible.com/intro_inventory.html 但我仍然无法工作。 请有人把我放在正确的轨道上。 参考文献: https://stackoverflow.com/questions/24743085/ansible-ssh-as-one-user-and-sudo-as-another Ansible:使用不同的sudo用户为不同的主机 我正在尝试这样做: server-01 client-01 ——— ———– foo —-> ssh —> foo bar – sudo as root user 使用Ansible,从:server-01连接到:client-01 使用用户foo,然后使用sudo运行命令作为用户栏用户栏设置为可以运行任何命令。 但是,我不确定问题在哪里,用sudo或Ansible。 我认为问题是与sudo,但我不知道在哪里。 这个可靠的命令起作用: [foo@server-01 ~]$ **ansible client-01 -m raw -a "touch /var/tmp/testfile" –ask-sudo-pass** sudo password: ********* ( password for foo user ) client-01 | success | rc=0 >> […]
为集群上运行轻量级应用而devise的许多服务(Flynn,Deis,Dokku)都遵循Heroku添加git远程的部署标准,并且在你想要构build和/或部署一个应用时推送它。 编译输出发回给发送git push的用户,就在他们的tty中。 我怎样才能build立我自己的服务器与Git和SSH做推动和中继信息回到用户的行动?
我的办公室networking中有一台Ubuntu 12.04服务器,用于托pipe我们的git回购站。 服务器正在运行Gitlab 7.1.1,并且在非标准端口上有SSH。 除了一个例外,它适用于办公室内外的每个人。 例外是托pipe公司托pipe的服务器,所以我只有有限的访问权限。 当我尝试克隆非标准端口上的回购时,超时。 我认为这是因为托pipe公司阻止了出站端口。 为了解决这个问题,我在我的办公室路由器上设置端口转发,将端口22上的传入stream量转发到我在git服务器上的非标准端口。 我通过从Digial Ocean VPS克隆而不指定端口进行testing,并且工作正常。 但有问题的服务器现在给出了以下错误: Access denied. fatal: The remote end hung up unexpectedly git服务器正在注册正在build立的SSH连接,并接受公钥,如/var/log/auth.log所示: Jan 20 15:09:07 gitlab sshd[3043]: Accepted publickey for git from 10.0.1.254 port 60771 ssh2 Jan 20 15:09:07 gitlab sshd[3043]: pam_unix(sshd:session): session opened for user git by (uid=0) Jan 20 15:09:09 gitlab sshd[3162]: […]
意图 :能够从任何开发环境部署到lan-example.com ; 无论是直接来自虚拟操作系统,还是任何单一操作系统,甚至是使用存储在Keepass中的一个SSH密钥的互联网。 我目前无法从Vagrant的操作系统中这样做,除非我明确生成自己的密钥并在每个部署服务器中对其进行授权。 我相信通过用户代理转发来做我想做的事情的方式,是的? 主机操作系统 Windows 7 x64 由puttygen生成的SSH密钥: C:\Users\Administrator\.ssh\id_rsa.ppk 用Keeagent Keepass存储我的SSH密钥。 Keeagent被设置为“Agent”模式 pageant.exe已安装但未运行 如果我希望使用我的密钥连接到外部/内部LAN服务器,Putty将按照Keeagent – Putty不会将私钥位置存储在其configuration中。 C:\ Users \用户Administrator.ssh \ CONFIG Host 192.168.55.2 ForwardAgent yes Vagrantfile Vagrant.configure(VAGRANTFILE_API_VERSION) do |config| config.vm.network :private_network, ip: '192.168.55.2' config.ssh.forward_agent = true # Why would I need to set this if Keeagent is handling things? config.ssh.private_key_path = '~/.ssh/id_rsa_jake_mitchell.ppk' […]