我试图build立一个Ubuntu的服务器(14.04 LTS)遵循一些安全的指导方针。 其中一条准则build议禁用root用户,并使用sudo创build一个以pipe理员身份工作的新用户。 这些指导方针中的另一个build议通过用户和密码禁用SSHauthentication,并启用公钥authentication。 我遵循这两个build议,现在我发现自己在服务器上使用新的pipe理员帐户,但需要input该用户的密码,每次我需要执行pipe理命令(sudo要求)。 问题是:这是否真的是一切都应该工作的方式(根据安全准则)? 我的意思是:用于ssh身份validation的密码的漏洞不同于在打开的会话中执行sudo“(相同)”密码的漏洞。
我能够build立一个服务器和两个客户端的小型PPTP VPN。 所有机器运行Ubuntu 14.04。 连接工作很好,可靠。 我可以从任何地方ping所有机器。 而且从浏览器的HTTP访问完美无瑕。 不过,我无法从任何机器SSH到任何其他机器。 我还没有安装任何自定义的防火墙规则,因为整个安装程序是在外部防火墙的后面。 我将不胜感激任何提示如何通过PPTP启用SSH。 谢谢! 更新 我通过在/etc/ssh/sshd_config更改以下两行来调用ssh -v [email protected]和服务器上的日志loggingfunction: # Logging SyslogFacility DAEMON LogLevel DEBUG 我可以在日志文件中看到可以build立连接。 然而,这个过程总是卡在某个地方: 客户端日志 debug1: Connecting to 10.0.0.1 [10.0.0.1] port 22. debug1: Connection established. … debug1: SSH2_MSG_KEXINIT sent 服务器日志 Aug 28 02:21:53 lemaker sshd[2130]: Connection from 10.0.0.11 port 60666 on 10.0.0.1 port 22 … debug1: […]
我在centOS6(它有一个IP地址192.168.0.0)上构buildDHCP服务器,为其他本地节点分配IP地址192.168.0.5。 当我使用客户端节点上的“服务networking重新启动”并键入ifconfig , 客户端节点显示其分配的IP(192.168.0.5)和子网掩码(255.255.255.0) 但是当我尝试从客户端节点使用ssh (hostname)@192.168.0.5访问DHCP服务器时,terminal只显示“ ssh:连接到主机192.168.0.0端口22:networking无法访问 ”。 我的概念有什么问题? 我甚至无法猜测。 以下是我的configuration文件。 / etc / sysconfig / network-script / ifcfg-eth0在服务器上 TYPE="Ethernet" BOOTPROTO=static NAME="eth0" UUID=(UUID on server) ONBOOT="yes" IPADDR0=192.168.0.0 NETMASK=255.255.255.0 HWADDR=(MAC address on server) 客户端上的/ etc / sysconfig / network-script / ifcfg-eth0 TYPE="Ethernet" BOOTPROTO=dhcp NAME="eth0" UUID=(UUID on client ethernet) ONBOOT="yes" HWADDR=(MAC address on client ethernet) 的/etc/dhcp/dhcpd.conf subnet […]
我们有一台备份多台服务器的服务器。 备份服务器位于办公室,云中的所有其他服务器。 我们已经把所有的服务器都转移到一个新的IP上了,从这个时候起,备份就停止了。 。 在我们已经在rsync.conf(hosts allow = new IP)中授权新主机的主机上,以及在〜/ .ssh / nano authorized_keys中更改如:from =“new Ip”,ssh-rsa …. … root @ backup)。 但是它没有工作,所以我们生成了没有密码的新密钥对。 ssh-keygen 我们已经复制到主机: ssh-copy-id -i /root/.ssh/id_dsa.pub [email protected] 因此,我们使用ssh和root组合的rsync rsync -az "ssh -i /root/.ssh/id_dsa.pub" [email protected]. folder1 folder2 但在这种情况下,我们有这个错误: 错误:远程path必须以模块名称rsync错误启动:在main.c(1534)[Receiver = 3.0.9]远程主机:〜/ .ssh#rsync错误:启动客户端服务器协议(代码5)时收到SIGUSR1 (代码19)在main.c(1316)[Receiver = 3.0.9] 而在主机服务器,我们有这个日志: 10月20日13:35:44 remotehost sshd [21863]:pam_unix(sshd:auth):authentication失败; logname = uid = 0 euid […]
我已经login到我的服务器运行CentOS 7通过SSH并执行以下命令: [me@server ~]$ ps -ef –forest | grep ssh root 476 1 0 Dec02 ? 00:00:00 /usr/sbin/sshd -D root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv] me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0 me 12405 12369 0 23:27 pts/0 00:00:00 | \_ grep –color=auto ssh root 12401 476 […]
我在Debian 8.2上安装了一个vsftpd服务器,除了local_root=/以外,没有改变任何configuration文件。 当我尝试使用Filezilla将文件上载到具有组写入权限的目录时,它将失败,并且550 Permission denied. 。 当我尝试上传目录时,也会发生这种情况。 我甚至不能上传文件到我的主目录。 奇怪的是,使用scp我可以将文件和文件夹上传到相同的位置,并且工作正常,这使我相信问题在于我的vsftpdconfiguration。 我怎样才能解决这个问题,让我上传文件到我被允许通过SSH的目录?
pipe理许多开发人员对许多AWS实例的SSH访问有哪些方法或最佳实践? 我希望能够通过一个简单而安全的操作为用户添加或删除多个实例的访问权限,而不是通过实例实例化,并在authorized_keys中添加/删除其公钥。 当然,我不希望同一个私钥被多个用户使用。
我正在通过监视configuration文件,看起来不正确。 我使用monit来监视sshd二进制文件的校验和,如果它与预期的不同,它应该重新加载一个已知的二进制文件。 以下部分是否正确检查ssh二进制文件的校验和? monit守护进程将当前的校验和与什么进行比较? 我没有看到其他提到的校验和或外部工具来检查校验和。 check process ssh with pidfile "/var/run/sshd.pid" start program = "/sbin/service sshd start" stop program = "/sbin/service sshd stop" depends on sshd_binary check file sshd_binary with path /usr/sbin/sshd if failed checksum then alert
为了允许我的域中的2FA ,我设置了一个LinOTP服务器来pipe理我的领域中的令牌和用户之间的映射(来自LDAP)。 因此,我configuration了PAM堆栈以将此身份validation方法也用于SSH会话: # /etc/pam.d/sshd # ========================================================= #%PAM-1.0 auth required pam_sepermit.so # OTP Check auth [success=1 default=ignore] pam_python.so\ /lib/security/pam_linotp.py nosslhostnameverify nosslcertverify\ url=https://mylinotpsrv.local/validate/simplecheck realm=MYDOMAIN debug auth requisite pam_deny.so auth substack password-auth auth include postlogin # Used with polkit to reauthorize users in remote sessions -auth optional pam_reauthorize.so prepare account required pam_nologin.so account include password-auth password include […]
我有一个Draytek路由器被configuration为端口转发SSH连接到特定的IP地址的内部服务器只。 除了无法连接到路由器的公共静态IP地址,只能连接到域名的客户端和我自己以外,可以成功连接到外部。 router.domain.com如果路由器甚至有一个域名分配给它? 不知道为什么他们只能连接到域名而不是IP – build议表示赞赏