花了很多时间和挖掘让我的IPTables工作得很好。 当前状态 :“有效”, 在SSH连接上有明显的可重现的( 几乎不可接受的 ) 延迟 。 ipTables被禁用后,这个延迟就会消失。 请帮忙,我怎样才能摆脱长长的潜在攻击名单 ,也让我的快速ssh回来? -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT #DROP fragments (from a *different* tutorial, do I need this?) -A INPUT -f -j DROP #DROP NEW NOT SYN -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #DROP […]
我已经在我的Ubuntu服务器上build立了一个用户帐户。 用户的默认shell是rbash。 这个工程很好,直到他们inputbash ,而不再限制他们的主目录。 我该如何补救?
我有一台机器有两个ips, Something like this, (/etc/hosts) 10.204.65.18 blahdb01.us.oracle.com blahdb01 10.204.63.56 blah01.us.oracle.com blah01 现在,无论如何, ssh blah01 它会自动连接到, blahdb01 现在我想知道这个行为在哪里被填充。 如果我想停止这个…我想映射blah01只blah01 …可以做什么?
嘿,我通过PuTTy连接到远程服务器。 在这个服务器上,我也在编写一些代码,我想推到一个需要ssh-rsaauthentication的git仓库。 所以当推 git推送起源大师 服务器要求input密码。 然而,我已经加载了我的私钥与选美,所以PuTTy应该知道我的私钥,而不是要求input密码,而是直接接受推送。 我的主要问题:如果您想要通过PuTTy将git推送到需要身份validation的远程服务器(用户拥有有效的私钥),标准过程如何? 上传我的密钥到服务器当然不是一个好的select。
我想只允许某些主机通过SSH连接到我的服务器,并通过一个友好的错误消息拒绝其余的。 系统的授权用户通常是非技术性的,通过Filezilla访问这个系统。 我以为我可以做到这一点与TCP包装,但是当我input下面到我的hosts.deny ,客户端只是得到错误消息“ssh_exchange_identification:由远程主机closures连接” sshd : ALL \ : twist /bin/echo "Sorry, but your host is not allowed to connect to this server." \ : deny 我遇到了一个脚本, SSH扭曲 ,似乎解决了这个问题,但我只是在客户端看到相同的错误。 对于它的价值,我正在使用OpenSSH 5.3p1在RHEL 6.1上进行testing。
我有一个Web服务器偶尔停止工作完全。 Web请求,CPU使用率,内存使用率,磁盘使用率或导致崩溃的networking使用率不会上升。 只是所有的使用graphics突然下降到0,服务器变得基本无法访问。 我仍然可以ping通服务器,实际上我可以在端口80和22上获得连接,但除了ping响应之外,我从来没有得到任何响应。 重启服务器会导致完全恢复。 这种事故发生在18-36小时左右。 这是一台在亚马逊的EC2上运行Ubuntu 11.04(股票PHP 5.3,Apache,JVM)的虚拟机。 我创build了几十台服务器,结果相同,所以这不是硬件问题。 我已经尝试用Ubuntu 10.10从头开始重build我的服务器映像,并没有任何效果。 我可以尝试诊断这个问题? 编辑,进一步的细节:我有一个cron作业每分钟运行一次,logging详细的Apache状态的输出(哪些URL正在运行,多久,等等)。 崩溃前的最后一个日志看起来很正常,一旦崩溃发生,cron作业甚至不会运行(根据/var/log/auth.log)。 编辑,为清楚起见:我可以telnet到端口22,但不是SSH到它。 我可以telnet到80端口,但是对于HTTP GET没有任何响应。
我试图在运行Debian 5的服务器上设置jailkit。我为他创build了一个新的ssh用户(bob)和一个chroot目录(/ var / www / bob)。 我用下面的命令给了chroot extshellplusnet和限制shell选项: jk_init -c /etc/jailkit/jk_init.ini -j /var/www/bob/ extshellplusnet jk_init -c /etc/jailkit/jk_init.ini -j /var/www/bob/ limitedshell 然后我监禁他: jk_jailuser -m -j /var/www/bob bob 当我试图跳进ssh,它连接,我得到的横幅,然后断开连接。 我的auth.log如下所示: Aug 25 05:04:36 server sshd[29885]: Accepted password for bob from 123.45.6.7 port 50624 ssh2 Aug 25 05:04:36 server sshd[29885]: pam_unix(sshd:session): session opened for user bob by […]
我们有100多个embedded式板卡需要偶尔讨论。 我们已经find了可靠地做到这一点的最好方法(有一些奇怪的互联网连接)是让电路板打开一些反向ssh隧道到我们的服务器。 目前,每个委员会开设三条隧道,总数约为300条。隧道大部分时间处于闲置状态。 这是否有任何性能影响? 假设我们没有用完端口或文件描述符,最有可能把我们绊倒的是什么? 编辑:我主要关心一次连接数百个非活动客户端。 只有less数几个隧道在任何时候都能被使用。
我正在尝试创build一个SSH隧道,把它closures到一个后台进程,并写一个PID文件,我可以稍后用它来杀死它。 我可以用-f运行ssh,但是我没有处理它的PID。 但是,当我尝试通过nohup或setsid运行下面的脚本时,控制永远不会返回到我尝试守护该脚本的shell。 #!/bin/sh while getopts ":v" flag; do case $flag in v|verbose) verbose=1;; 🙂 echo "option -$lastflag requires an argument"; exit 1;; esac lastflag="$flag" shift $((OPTIND – 1)); OPTIND=1 done ssh -p '2222' -nNL '5984:localhost:5984' '[email protected]' & pid=$! sleep 2; ps -p $pid >/dev/null 2>&1 || exit 1 echo $pid > "var/couchdb-tunnel.pid" wait 调用: […]
Screnario: [internal_server_1]AA——AB[firewall_1]AC—-+ 10.2.0.3-^ ^-10.2.0.2 | internet 10.3.0.3-v v-10.3.0.2 | [internal_server_2]BA——BB[firewall_2]BC—-+ AC,BC的端口有有效的互联网地址。 所有的系统都运行linux并具有root用户权限。 需要安全的rsync internal_server_1:/ some / path到internal_server_2:/ another / path 我的想法是在两个防火墙之间build立ssh安全隧道,例如来自firewall_1 firewall1# ssh -N -p 22 -c 3des user2@firewall_2.example.com -L xxx/10.3.0.3/xxxx 之后会从internal_server_1运行rsync,有点像: intenal1# rsync -az /some/path [email protected]:/another/path 我不知道 如何为rsync创build一个正确的ssh隧道(哪些端口需要隧道) 并在哪里我会使rsync? (在SSH隧道的情况下远程comp地址) 任何想法或指针,以帮助这种情况下的互联网资源? 感谢名单。