我的公司打算聘用一个外部承包商,为我们的EC2服务器上的一些开发工作。 我们使用使用.pem证书文件访问的Ubuntu。 出于显而易见的原因,我不想与外人分享我的.pem密钥 – 如果密钥丢失,互联网上的任何人都可以访问我的机器。 我可以将承包商的ssh密钥添加到所有服务器上的.ssh/authorized_keys ,但是这将是单调乏味的,除非我更改模板服务器映像,否则新服务器将无法访问。 有没有更简单的方法来授予对EC2机器的临时可撤销访问?
用户通过ssh连接。 用户也被chroot-ed到他们的主目录。 目标是安全。 由于用户是chroot-ed,当他们login/ bin / bash没有find。 很明显,用户需要shell命令。 Shell访问可以通过 1)symlink / bin / bash到/ home / username 2) 通过/ etc / fstab挂载–bind – 首选项,因为服务器经常重启。 这两个选项在安全性方面有差异吗? 还是有第三个更安全的select?
你可以让ssh和sshd,而不是检查〜/ .ssh / known_hosts和〜/ .ssh / authorized_keys(分别),以请求的键作为参数调用一个命令,只有在命令被接受时才接受键。
我想知道我怎样才能logging用户在服务器上使用的SSH命令行。 例如,如果我的服务器上的用户Alex正在执行以下一组命令: $ cd /tmp $ touch myfile $ ssh [email protected] $ ssh [email protected] $ vim anotherfile $ ssh [email protected] 我想将服务器上使用的ssh命令logging在如下所示的文件中: [2014-07-25 10:10:10] Alex : ssh [email protected] [2014-07-25 10:18:20] Alex : ssh [email protected] [2014-07-25 11:15:10] Alex : ssh [email protected] 我不在乎他在ssh会议期间做了什么,我只是想知道WHEN和他在哪里与另一台服务器build立连接。 用户没有使用bash,我想避免操作.bash_history,因为用户可以修改它。 任何线索? 谢谢 :) 编辑:更具体: 用户连接到服务器A,然后从服务器A连接到服务器B.我想跟踪他通过服务器A通过SSH连接的服务器。
我有我的SSH密钥正确设置,我可以SSH密码进入远程机器。 然而,我的结构部署脚本,可以自动validation,直到几个小时前,每当我试图部署到远程机器开始问我的私钥密码。 即使我input密码,似乎也不在乎我是否给出了正确的密码,并提示系统login,就好像我根本没有ssh密钥。 请记住,我是一名开发人员,而不是系统工程师,他们不熟悉Fabric的工作原理。 我错过了一些明显的可能性相当高。 任何解决scheme,甚至指针的地方,将不胜感激。 这是我从真实部署脚本中获得的校对脚本: #!/usr/bin/env python2 import sys from fabric.api import * from fabric.network import ssh ssh.util.log_to_file("paramiko.log", 10) @hosts(['host-ip-address']) def boot(): env.use_ssh_config = True env.user = 'userlogin' env.key_filename = ['~/.ssh/some-public-key.pem'] env.gateway = '[email protected]' execute(a) def a(): run('ls') boot() 这里是来自paramiko的日志消息: DEB [20141007-19:22:50.804] thr=1 paramiko.transport: starting thread (client mode): 0xfe2790L INF [20141007-19:22:50.847] thr=1 paramiko.transport: […]
我有一个问题,configuration我的SSH服务器可以使用公钥login,没有密码。 tail -f /var/log/auth.log给出 Feb 6 14:56:06 ubuntu sshd[24654]: rexec line 26: Deprecated option RhostsAuthentication Feb 6 14:56:28 ubuntu sshd[24654]: Invalid user mpsd from ip.ip.ip.ip Feb 6 14:56:28 ubuntu sshd[24654]: input_userauth_request: invalid user mpsd [preauth] Feb 6 14:56:28 ubuntu sshd[24654]: error: Received disconnect from ip.ip.ip.ip: 14: No supported authentication methods available [preauth] 我已经检查/home/mpsd/.ssh有700和/home/mpsd/.ssh/authorized_keys有600个权限。 authorized_keys包含我的远程Windows机器上生成的RSA公钥。 我的sshd_config读取 […]
我目前坐在Ubuntu上,并希望远程访问我的OpenShift应用程序。 我已经做了以下创build一个ssh-rsa键(我用xx:xxreplace了指纹): > mkdir ~/.ssh > chmod 700 ~/.ssh > ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/karl/.ssh/id_rsa): openshiftKey Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in openshiftKey. Your public key has been saved in openshiftKey.pub. The key […]
我正在尝试为OpenSSH实现双因素身份validation。 环境是CentOS 7(内核:3.10.0-229.1.2.el7.x86_64),OpenSSH_6.6.1p1,OpenSSL 1.0.1e-fips 2013年2月11日。我们已经部署了Active Directory(LDAP)+ Kerberos。 规范如下: 具有现有的有效Kerberos票证的用户只能被要求提供第二个因素 必须要求没有现有有效Kerberos票证的用户input其密码和第二个因素 本地用户(无LDAPauthentication)应该能够使用本地密码进行authentication 第二个因素不能在第一个之前提供 除了Kerberos之外,如果可用的话,公钥authentication也应该被接受为第一要素 该function应该能够限制在一组用户 – 其他人只是让他们的密码 为了执行第二个因素的身份validation过程,第三方有一个对Kerberos一无所知的PAM模块。 所以这就是我所做的: 把这些行放到/ etc / ssh / sshd_config中: # To enable PAM – this will make sshd use PAM with configuration /etc/pam.d/sshd UsePam yes ChallengeResponseAuthentication yes # To enable Kerberos and public key authentication – it will let sshd […]
IAM能够使用putty连接到openshift上的ssh服务器主机,但同时在bitvise ssh客户端使用相同的设置我得到以下错误 – 01:47:18.424 Connecton失败。 getaddrinfo()失败。 Windows错误11003:A 数据库查找期间发生不可恢复的错误。 01:47:18.424 SSH2会话已经终止。 我已经在它的密钥对部分添加了公钥。 有没有办法使用bitvise连接到端口22上的SSH服务器。
我有一个SFTP服务器设置,每当用户试图通过SFTP连接,他们看到目录/ home / user,但他们也可以改变目录到/ home甚至/ 我该如何阻止他们只能看到当前的用户主目录? 我有这个在我的sshd_config里面 Subsystem sftp internal-sftp Match group ftpaccess ChrootDirectory /home/sony X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp