需要暴露给互联网的Linux(特别是Debian Jessie)服务器正在日志中preauth各种OpenSSH 6.7 preauth错误。 例如,我越来越(时间戳清楚): 错误:从ABCD接收断开:3:com.jcraft.jsch.JSchException:身份validation失败[preauth] 致命:无法协商密钥交换方法[preauth] 致命的:找不到匹配的密码:client … server … [preauth] 收到从ABCD断开连接:11:正常关机,感谢您播放[preauth] 收到从ABCD断开的连接:11:ok [preauth] 等等。 我并不担心这些探测器本身; 系统保持最新状态,根据当前的最佳实践,OpenSSHconfiguration已经得到很好的强化,并且还有额外的保护措施(例如fail2ban)。 是否有任何理由为什么任何OpenSSH preauth日志条目将需要特别的人类关注? 问题的答案什么是“正常关机,感谢您玩[preauth]”在SSH日志中是什么意思? 表明这个问题的具体情况是可以忽略的; 我的问题是更通用的。
我如何执行SSH密钥长度? 虽然2048位以上的数据都没有问题(从我在这个论坛和其他论坛上的各种讨论中),但是如何确保所有用户进入我的服务器的密钥长度至less与此一样大?
我改变了sshd_config将特定组中的用户监禁到他们的主目录。 将子系统更改为sftp internal-sftp并使用了forcecommand:internal-sftp 但是,这阻止了Ubuntu上的pipe理员用户访问sftp。 如何让用户让我们打电话给他'pipe理员'无限制的访问,不影响SSH的特权? pipe理员使用密钥authentication。 我search了有关forcecommand和子系统的文档,但是找不到太多内容。 目前我有这个 #Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp intenal-sftp Match Group somegroup PasswordAuthentication yes ChrootDirectory %h X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
我们有一个debian服务器,运行我们的Tomcat托pipe的应用程序,我们已经安装了Fail2Ban 。 每天早上我看到互联网上有很多人试图攻击服务器。 有一次,我采取了行动,我禁用了ssh的rootlogin,更改了默认的SSH端口号,只允许特定的用户名login。 因此,我们的主机提供商提供的用于备份和监控的软件失败了。 另外pipe理员无法login。 为此,我不得不恢复我所做的改变。 有没有办法解决这个问题。 我会恨一些用户得到幸运和妥协的服务器。 这些是我有的想法,他们怎么听起来: 根访问只允许在内部网。 默认端口只允许在Intranet上使用。 pipe理员在authorized_keys安装了SSH证书,无论如何,这可能是有用的? 任何其他的想法,谢谢。 🙂
我有一个服务器,我通常连接到从多个笔记本电脑,一些FC22,FC23,或Ubuntu的。 我安装了一台全新的笔记本电脑FC23,在authorized_keys中添加了相关的键: [mathieu@xps13 code]$ ssh -vvv root@ovh6 OpenSSH_7.2p2, OpenSSL 1.0.2g-fips 1 Mar 2016 debug1: Reading configuration data /home/mathieu/.ssh/config debug1: /home/mathieu/.ssh/config line 5: Applying options for * debug1: /home/mathieu/.ssh/config line 71: Applying options for ovh6 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 58: Applying options for * debug2: resolving "XXXXXXXXXXXXXXX" port 22 debug2: ssh_connect_direct: needpriv […]
我有3个OpenSSH服务器,我想只有一个。 我创build了一个新的服务器,并将其他3的所有帐户/数据迁移到新的服务器上。 我现在打算更新3台现有服务器的DNSlogging,以便它们指向新服务器的IP地址。 但是,当连接到任何旧服务器的客户端现在连接到新服务器时,它们将会出现错误,因为已知主机文件中的服务器密钥将与新服务器发出的服务器密钥不同。 我可以将服务器密钥从一台服务器移到新的服务器上,这样三台服务器之间就不存在问题,但其他两台服务器仍然会出现问题。 我曾考虑过将附加的2个IP地址附加到新服务器上,并使用不同的服务器密钥对其运行3个独立的SSH守护进程,但是我真的想避免这种情况。 有没有人有任何其他的build议。
我有一个AWS EC2实例,我无法通过其中一个Ubuntu服务器进行连接。 但是,我可以通过任何计算机(使用和不使用私有SSH密钥)连接到AWS实例,但Ubuntu服务器不能。 端口22在Ubuntu上打开。 针对22端口configuration的AWS入站规则 – 在那里没有问题。 重新生成SSH密钥也没有帮助。 Telnet输出: $ sudo telnet xx.xx.xxx.xxx 22 Trying xx.xx.xxx.xxx… Connected to xx.xx.xxx.xxx. Escape character is '^]'. SSH输出(使用私钥时输出相同): $ ssh xxxxx@xxxxxxx -vvv OpenSSH_5.9p1 Debian-5ubuntu1.4, OpenSSL 1.0.1 14 Mar 2012 debug2: ssh_connect: needpriv 0 debug1: Connecting to xxxxxx [xx.xx.xxx.xxx] port 22. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could […]
我正在考虑在我的SSH账户(OpenSSH,Ubuntu)上设置双因素身份validation。 我正在研究Authy-SSH,但我想知道可能的缺点是什么? 另外,当服务器发生时间不同步或丢失手机时,我可以将自己locking吗?
我使用CentOS 7运行VPS。 干净的安装后,我正确地看到失败的login尝试和服务重新启动出现在/var/log/secure像这样: Jul 8 13:55:32 vps unix_chkpwd[2561]: password check failed for user (root) … Jul 8 14:03:21 vps sshd[13388]: Server listening on 0.0.0.0 port 22. Jul 8 14:03:21 vps sshd[13388]: Server listening on :: port 22 运行sudo yum update ,logging到/var/log/secure突然停止。 但是, journalctl -u sshd仍显示失败的login尝试和重新启动服务。 rsyslog.conf没有改变: [midas@vps ~]$ ls -la /etc/rsyslog.conf -rw-r–r–. 1 root root […]
我有一个运行Ubuntu 14.04的数字海洋液滴。 我用它在公共可用的服务器上运行快速的node.jstesting。 我刚刚通过SSHlogin,做$ lsof -i来查看我使用的端口。 在列表的底部,我注意到: sshd 30952 root 3u IPv4 66978103 0t0 TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED) sshd 30953 sshd 3u IPv4 66978103 0t0 TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED) 我没有想到这些SSH连接(它只应该是我!),所以我查了IP地址,它似乎是在中国。 那么现在我该怎么做来检查这些ssh连接是否是恶意的,如果是这样的话,他们可能对服务器做了什么。 我宁愿不核弹它,但如果它已经被攻破(因为他们有根访问,我认为它已经!),那么也许这是最简单的事情。 更新 :由于写了上面的内容,我有2个不同的SSH连接,所以我认为它确实是妥协。 sshd 31009 root 3u IPv4 66979206 0t0 TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED) sshd 31010 sshd 3u IPv4 66979206 0t0 TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED) 如果任何人都可以提出一个合理的方法来检查妥协/清理这个/看到发生了什么,这将是伟大的帮助我学习(我是这样一个n00b!)。 更新2 :看起来,这不是妥协的迹象,而是蛮力login尝试的迹象 […]