我将设置一个Linux控制台框,以便仅通过该Linux机器通过sshlogin到思科设备。 我如何在Linux上设置ssh客户端来logging应用到思科设备的所有命令?
我有一个防火墙的服务器,通过公用networking上的SSH发送数据,但SSH端口不是默认的22.如何将端口configuration为znapzendzetup? 对于mbuffer设置端口不是问题,但是如果通信是未encryption的,我觉得通过它发送数据并不舒服。
我设法做了ssh隧道,只是为了两跳 ssh -L 1234:serverB:22 user@serverA scp -P 1234 user@localhost:/file /file 现在我需要从本地主机 – > serverA – > serverB – > serverC 并在localhost和serverC之间复制文件
我们正在尝试制作一个安全的AMI,以便分发给我们的客户之一(运行Linux / CoreOS)。 一旦我们的客户部署我们的AMI,重要的是他们无法获得shell访问(例如,不能SSH进来)。 从表面上看,这似乎是一个非常简单的问题要解决:只要确保只有我们的钥匙在authorized_keys文件。 但是,当我们的客户部署我们的AMI时,他们被迫提供他们自己的密钥对,然后将相关的公钥插入到方框中的authorized_keys文件中,使他们能够进入SSH框。 我知道亚马逊通过在169.254.169.254上的HTTP将公钥访问(和用户元数据)到主机操作系统(参见: http : //docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key- pairs.html )。 一些在Internet和CoreOS文件系统上进行的调查表明,/ usr / bin / coreos-metadata实际上访问这个IP,可能是用于密钥对的,但是我无法弄清楚究竟是在启动那个可执行文件还是如何禁用它。 我甚至想过删除可执行权限或完全删除它,但文件系统的这一部分在CoreOS上是只读的(甚至是根目录)。 上述行为显然胜过了我们所采取的任何安全措施。 有什么我们可以做,以防止这种情况发生?
我需要允许域用户(用户名和密码)访问Centos 7服务器以及本地用户(SSH密钥/无密码)。 我已经configuration了AllowUsers和AllowGroups的sshd_config,并假设如果我添加了本地用户应该工作。 但是,本地用户尝试login时出现错误: sshd[23906]: pam_sss(sshd:account): Access denied for user datahub_push: 10 (User not known to the underlying authentication module) sshd[23906]: fatal: Access denied for user datahub_push by PAM account configuration [preauth] 域用户工作得很好,并在sshd_config中的AllowGroups下有一个条目。 一些Googlesearch后,有一个build议,我需要修改: /etc/pam.d/sshd …但我不知道要改变什么,编辑该文件是否是最佳做法? 即应该使用authconfig工具。 任何帮助极大的赞赏。
我试图找出一种方法来衡量SSH连接的RTT,但我的谷歌太弱(也许我问错误的问题?)。 类似ping的情况下,SSH的情况下工作,但ICMP不。
为了描述情况,我需要定义三台机器。 在本地networking上,我有一台机器(LAPTOP)和一台机器(SERVER)分别通过WAN和LAN连接到路由器。 第三台机器是一个外部vps(VPS)。 我正在尝试使用明确的IP地址从LAPTOP SSH到服务器。 为此,我设置了openssh服务器(所有的机器都运行Ubuntu),监听端口22.在路由器上,我给SERVER一个预留的IP地址,并且将端口22的端口转发规则添加到SERVER的22端口。 什么是工作: – 从VPS到SERVER的SSH – 从本地networking内部使用本地主机名从LAPTOP到SERVER的SSH 什么不工作: – 使用显式IP地址从LAPTOP到SERVER的SSH。 尝试和debugging我运行nmap来查看端口是否被过滤。 我在VPS和LAPTOP上都运行了以下命令 nmap -sS -p 22 xx.xx.xx.xx 其中x表示本地networking的路由器的文字外部IP。 结果如下: VPS:22 / tcp打开ssh LAPTOP:22 / tcp过滤的ssh 只是为了再次检查我是否使用LAPTOP中的本地主机名,端口是否应该打开。 为什么在使用显式外部IP时从LAPTOP进行SSH连接时会过滤端口? 传出的请求是否被路由器过滤了?
当使用PuTTY 0.65和WinSCP 5.9.3的MIT Kerberos票务pipe理器时,我有时无法与我login的服务器连接。 PuTTY将以No supported authentication methods available (server sent: ) No supported authentication methods available (server sent: publickey,gssapi-keyex,gssapi-with-mic)或No supported authentication methods available (server sent: publickey,gssapi-keyex,gssapi-with-mic) 如果我在尝试连接到服务器之前记得首先获得一张票,似乎最经常发生。 得到一张票后,我每次尝试都会收到同样的错误。 大约一个小时后它有时会自行解决。 我尝试连接的身份validation服务器和服务器的连接通过VPN运行。 使用Cygwin + kinit时我没有遇到任何问题。 这是我的日志: . 2017-01-28 14:04:38.979 Server offered these authentication methods: publickey,gssapi-keyex,gssapi-with-mic . 2017-01-28 14:04:38.980 Using SSPI from SECUR32.DLL . 2017-01-28 14:04:38.980 Attempting […]
我build立了一个使用chroot的用户,通过sshd的sftp只能访问一个目录,这样我的一个同事就可以上传某些types的文件。 然后,我将要通过HTTP触发一个命令,这个命令将对这些文件运行一个很长的过程,并且我需要在进程运行时禁用sftp。 有没有我可以用来禁用SFTP的命令,而不必更改sshd_config文件并重新加载服务? 我正在考虑做端口阻塞,但我仍然需要访问SSH。 我读了有关禁用用户帐户passwd -l ,但如果它已经通过SFTPlogin它仍然会允许修改。 有什么build议么? 编辑: 经过更多的涉猎,我发现我可以做ps -axl | grep $user@notty ps -axl | grep $user@notty然后发送一个kill -9给PID,以断开用户与当前会话的连接,然后执行passwd -l username以防止用户再次login,或者按照Martin的build议删除符号链接到sftp-server二进制文件。 但最后我采取了Mike的build议,只是将文件移动到其他位置,而不是在chroot目录中运行进程。
MIT Kerberos支持多种types的凭据caching来存储票据。 例如,如果我想在内核内存中使用每个用户的持久性密钥环,我可以将以下内容添加到krb5.conf 。 [libdefaults] default_ccache_name = KEYRING:persistent:%{uid} 其中一个选项是进程内存中的ccache。 我如何启用此选项?