我有一个gpg密钥,我通过智能卡(yubikey neo)ssh到许多主机使用。 其中一些主机使用证书以及密钥来授权login。 对于本地存储的普通密钥,有三个文件涉及: id_rsa id_rsa.pub id_rsa-cert.pub 我让ssh一起使用.pub和-cert.pub文件来通过指定私钥文件-i〜 -i ~/.ssh/id_rsa进行authentication。 这使它提供了公钥和证书。 像这样: debug1: Authentications that can continue: publickey debug1: Offering RSA-CERT public key: /home/user/.ssh/id_rsa debug1: Server accepts key: pkalg [email protected] blen 1086 debug1: ssh_rsa_verify: signature correct 当私钥存储在智能卡上时,不提供这样的文件,即使提供了证书签名的RSA密钥,也不会发送证书: debug1: Next authentication method: publickey debug1: Offering RSA public key: cardno:000XXXXXXX2 由于缺less签名而被拒绝。
我有一个Solaris服务器,我发现很多sshd服务正在运行: ps -ef | grep 23492 root 25449 23492 0 15:27:17 ? 0:00 /usr/sbin/sshd2 -oPidFile=/var/run/sshd2_22.pid -R internal_rexec root 25432 23492 0 15:24:32 ? 0:00 /usr/sbin/sshd2 -oPidFile=/var/run/sshd2_22.pid -R internal_rexec root 25350 23492 0 15:14:22 ? 0:00 /usr/sbin/sshd2 -oPidFile=/var/run/sshd2_22.pid -R internal_rexec root 25344 23492 0 15:13:59 ? 0:00 /usr/sbin/sshd2 -oPidFile=/var/run/sshd2_22.pid -R internal_rexec root 25539 23492 0 15:34:42 […]
我有无线USB调制解调器,它的GUI具有硬编码的URL。 调制解调器通常可以通过LAN上的192.168.9.1 IP进行访问。 此调制解调器连接到NAT后面的路由器。 我需要通过互联网访问这个graphics用户界面(也可以使用公共IP服务器),并试图使用SSH隧道和IPTABLES来实现这一点。 我想我不能使用简单的IP隧道,因为从互联网到GUI的GET请求被立即尝试被该调制解调器redirect到硬编码的URL。 SSH隧道已经启动并运行,如下所示: 10888:localhost:80 publicIPserver.com 我尝试了许多IPTABLES规则PREROUTING和OUTPUT,但我无法连接。 会话立即被丢弃或者有无尽的超时。 iptables -t nat -A PREROUTING -p tcp -d 127.0.0.1 –dport 10888 -j DNAT –to 192.168.9.1:80 iptables -t nat -A OUTPUT -d 127.0.0.1 -p tcp –dport 10888 -j DNAT –to 192.168.9.1:80 任何方向得到这个工作将不胜感激。
我在第2层testingSSH VPN的一些基本知识,如下所示: ssh -w 1:1 -o Tunnel=ethernet hostname 这工作正常,但有没有办法隧道多个VLAN通过这样的SSH隧道? 我知道我可以在每个要传输的VLAN上build立隧道。 我真正想尝试的是将VLAN Trunk转发到另一台机器。 这可能吗? 任何考虑?
基本问题。 如何在我的Ubuntu 12.04.5 LTS(精确穿山甲)上安装Fail2Ban的升级版本,这样我就可以设置一个recidivefilter。 Ubuntu 12.04.5 LTS安装Fail2Ban 0.8.6,我需要Fail2Ban 0.8.7来使用recidivefilter。 更多细节。 我pipe理了一批Ubuntu 12.04.5 LTS(精确的穿山甲)服务器,并安装了Fail2Ban专门用于阻止重复的SSHpowershell尝试。 这些攻击是针对root用户的, root用户在所有这些系统上都是禁用的,但我只是想为自己的混合添加另一层保护,并减less不得不筛选失败login尝试的额外“噪音”在我的SSH auth.log 。 无论如何,从默认存储库为Ubuntu 12.04.5 LTS安装的Fail2Ban-version 0.8.6版本大部分function非常强大。 但似乎缺less阻止屡犯的支持。 而这些服务器肯定会得到很多持续的暴力尝试。 所以我想确保这些小丑被阻塞了更长的时间。 我检查了这个博客文章,标题为“永久禁止使用fail2ban recidive (更新)” ,它build议使用recidivefilter。 recidive文章的其余部分展示了如何build立一个自定义的recidive等价物,但是如果存在recidive这样的内置解决scheme,我不需要使用自定义的解决scheme。 但是,当我尝试在Fail2Ban 0.8.6中设置recidivefilter并重新启动服务时,它会失败,说明filterrecidive不存在。 当我检查GitHub上的Fail2Ban更新日志时,我可以看到在版本0.8.7中添加了recidive支持: Tom Hendrikx * [f94a121..] 'recidive' filter/jail to monitor fail2ban.conf to ban repeated offenders. Close gh-19 那么,不是那么特别。 我使用的是0.8.6,版本0.8.7支持这个。 那么我怎样才能在Ubuntu 12.04.5 LTS上轻松安装比Fail2Ban 0.8.6更新的东西呢? 我试图通过克隆GitHub库来安装0.9.3版本,切换到Debian分支(因为Ubuntu是基于Debian的),它似乎工作。 但启动服务不起作用,似乎0.9.3不会与我已经在Ubuntu […]
我最近使用ubuntu-core工具创build并configuration了一个ubuntu服务器14.04.3。 与IPv4和IPv6networking适合不同的客户。 但是前几天,我注意到ssh连接速度很慢。 所以input到terminal和服务器的响应需要很长时间。 使用哪个系统(Ubuntu,Windows(PUTTY)),互联网提供商或协议并不重要。 除此之外,iptables完全没有configuration(没有规则,一切都是ACCEPT)。 IPTABLESv4 Chain INPUT (policy ACCEPT 86219 packets, 8886K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 76186 packets, 7537K bytes) pkts bytes target prot opt in […]
我正在一个环境中,我有一个帐户在多个Linux机器帐户和密码独立pipe理(没有活动目录/ LDAP / etc)和密码每30天过期。 因此,我认为使用ssh密钥pipe理我的身份validation会更容易。 我能够使用我的SSH密钥进行身份validation就好了。 但是,我发现当我的密码过期时,当我尝试使用我的ssh密钥进行连接时,系统会提示我更改密码。 这是正常的行为? 我认为使用密钥对的全部重点是绕过你的密码。 如果我使用密码login,是否只能提示更改我的密码?
我一直在关注本教程,关于使用Docker容器开始使用Kubernetes,这是修改为使用docker-compose官方教程的变体。 我设法得到尽可能列出使用的节点 kubectl get nodes 但我只能这样做,如果我有一个SSH连接打开到另一个窗口中的容器,打开使用 docker-machine ssh docker-vm -L 8080:localhost:8080 这是相当混乱,我想能够在docker-compose.yml处理这个,但我不知道如何 我试过使用ports和expose选项在iml文件,但他们不工作。 当我尝试转发/暴露端口8080,并获得使用上述kubectl命令的节点,我得到以下错误: error: couldn't read version from server: Get http://localhost:8080/api: EOF 我从顶部的第一个链接使用了docker-compose.yml ,并做了以下修改: aipserver: ports: – "8080:8080" expose: – "8080" 我已经在docker-compose.yml中指定的所有容器上docker-compose.yml ,但问题仍然存在。 如何使用docker-compose.yml转发/公开端口在我的容器上,而不必使用指定的-L选项打开SSH连接。
我遇到这个问题,如果我的rsync到亚马逊CentOS实例中断传输(例如Ctrl + C),后续login到服务器不再起作用。 服务器只是回应一个权限被拒绝。 我故意重新在服务器上的问题,并与另一个“工作”远程进行比较,并注意到下面的过程(通过netstat获得) /tmp/ssh-xxxxxxxxxx/agent.10287 被replace /var/run/rpcbind.sock 这无疑是失败的rsync的剩余。 我真正的问题是,如何防止这种情况发生? 这次我很幸运地保持了与服务器的连接,但是在真正的rsync情况下并不是这样。 我正在通过Mac OSX做这个btw。 编辑: 这些是/var/log/audit/audit.log中的错误 对不起,有点挖掘给了我这些错误信息(/var/logs/audit/audit.log) type=USER_AUTH msg=audit(1449596011.035:1271): pid=29682 uid=0 auid=4294967295 ses=4294967295 msg='op=pubkey acct="ec2-user" exe="/usr/sbin/sshd" hostname=? addr=xxxx terminal=ssh res=failed' type=USER_AUTH msg=audit(1449596011.071:1272): pid=29682 uid=0 auid=4294967295 ses=4294967295 msg='op=pubkey acct="ec2-user" exe="/usr/sbin/sshd" hostname=? addr=xxxx terminal=ssh res=failed' type=CRYPTO_KEY_USER msg=audit(1449596011.107:1273): pid=29682 uid=0 auid=4294967295 ses=4294967295 msg='op=destroy kind=server fp= 3a:38:b2:ce:9b:ad:68:7e:6b:26:10:aa:88:e4:32:cc direction=? spid=29683 suid=74 […]
我一直在研究这个好几个小时,不知道为什么会这样。 最初标记为互联网,但检查了我的速度(37下,10上)。 我从加利福尼亚州去了俄勒冈州,从那以后,我的亚马逊EC2在SSHlogin上挂了几分钟。 这个命令: ssh -vvv -o "ProxyCommand nc %h %p" -i “*****.pem" root@***.***.***.*** 输出: OpenSSH_6.9p1, LibreSSL 2.1.8 debug1: Reading configuration data *****/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 20: Applying options for * debug1: Executing proxy command: exec nc ***.***.***.*** 22 debug1: key_load_public: No such file or directory debug1: identity file **********.pem […]