我在我的Ubuntu 10.04.04服务器上使用/etc/hosts.deny和ufw的组合。 大多数时候,我看到.com.cn域中的机器发生了失败的ssh尝试,如下所示: Failed logins from: 112.114.63.139 (139.63.114.112.broad.km.yn.dynamic.163data.com.cn): 1 time 不过,在/etc/hosts.deny中,我有这个规则: ALL: .com.cn 在连接到ssh之前,不应该阻止连接吗? 我已经通过阻止我的家用机器进行了testing,在获得login提示之前,它肯定会拒绝我一个连接(是的,我已经移走了我的ssh密钥,所以这些都没有涉及)。 这是按照预期工作吗? 编辑: James Sneeringer促使我更仔细地观察日志,也许我明白了为什么会发生这种情况。 从auth.log: Nov 5 09:38:40 mymachine sshd[22864]: warning: /etc/hosts.deny, line 21: can't verify hostname: getaddrinfo(139.63.114.112.broad.km.yn.dynamic.163data.com.cn, AF_INET) failed Nov 5 09:38:44 mymachine sshd[22864]: reverse mapping checking getaddrinfo for 139.63.114.112.broad.km.yn.dynamic.163data.com.cn [112.114.63.139] failed – POSSIBLE BREAK-IN ATTEMPT! Nov 5 09:38:45 […]
不久之前,我得到了一个答案,告诉我如何在正在运行的SSH ControlMaster进程中添加端口转发。 要知道这有很大的帮助,但我仍然错过了一个方法来消除这样的端口转发后,我不再需要了。 据我所知,你可以通过正常连接的内部命令键顺序来做到这一点,这似乎是被禁用的ControlMaster客户端。 即使这是可能的,我需要一个解决scheme,我可以用脚本自动化,这肯定不是那么容易。 有没有办法做到这一点? 它很容易自动化吗?
我有一个Ubuntu的服务器和运行Cygwin的Windows XP客户端。 服务器ssh进入客户端,并尝试用一些参数执行一个shell脚本,命令如下: ssh user@IP_ADDR 'sh /home/user/project/clientside 2 5 7 6 9 5 7 IP_ADDR' 其中IP_ADDR是客户端的IP地址。 但是,虽然这样做,我得到以下错误: Access is denied. 想到这可能是一个用户权限错误,我试着在userlogin时在Cygwin上的客户端上运行sh /home/user/project/clientside 2 5 7 6 9 5 7 IP_ADDR 。 这按预期工作。 然后我认为这可能是我login到客户端时使用的login错误。 所以我执行这个,而不是: ssh user@IP_ADDR 'whoami' 并找回了user 。 甚至在Cygwin的客户端上执行了chmod -R 777 /home/user/project之后,就发生了这种情况。 对于脚踢,我在客户端上了Cygwin,并执行了ssh localhost并手动执行了sh /home/user/project/clientside 2 5 7 6 9 5 7 IP_ADDR 。 […]
我正在使用rsnapshot,我的configuration如下: config_version 1.2 snapshot_root /home/user/.snapshots/ cmd_cp /bin/cp cmd_rm /bin/rm cmd_rsync /usr/bin/rsync cmd_ssh /usr/bin/ssh cmd_logger /usr/bin/logger cmd_du /usr/bin/du cmd_rsnapshot_diff /usr/bin/rsnapshot-diff interval hourly 24 interval daily 7 interval weekly 4 verbose 2 loglevel 3 logfile /home/user/rsnapshot.log lockfile /home/user/rsnapshot.pid backup [email protected]:/home/user/ website/ backup_script [email protected]:/home/user/backup_mysql.sh website/mysql/ 我的sql备份文件:(故意留下来的东西) ### Setup dump directory ### BAKRSNROOT=/.snapshots/tmp ##################################### ### —-[ No Editing below […]
我想设置SSH密钥来自动化scp作业。 我目前的假设是“自动化”意味着没有密码的SSH密钥,但我愿意接受您的build议。 在我问这个问题之前,我做了很多Googlesearch。 这是我发现的: 很多页面解释了如何在没有密码的情况下configurationSSH密钥 很less有网页解释没有密码的SSH密钥的安全影响 因此,这个问题是杰夫·阿特伍德所说的“让互联网变得更美好”的主要候选人。 为了这个问题的目的,想象这个configuration: 来源1( 不受我控制): user1@host1 源2( 不受我控制): user2@host2 来源X / Y / Z( 不受我控制):等 目的地(由我控制): user3@host3 目标:设置“作业”(脚本,不pipe)从user1@host1和user2@host2 (等)到user3@host3使用scp 我已经知道: ssh-keygen生成SSH密钥 SSH密钥可以有空/无密码 ~/.ssh/id_dsa有私钥 ~/.ssh/id_dsa.pub有公钥 将~/.ssh/id_dsa.pub复制到~/.ssh/authorized_keys并仔细设置其文件权限 与其他用户/主机共享~/.ssh/id_dsa.pub内容以便与scp一起使用 在我自己的不同主机/用户之间的testing中,我知道我的设置工作。 什么麻烦我的安全影响。 而且,我承认我不是Linuxpipe理员,也不是安全专家。 如果我将这个公共SSH密钥交给另一个部门使用scp ,那么如果同一个密钥泄漏/丢失/被盗给另一个部门呢? 这是否暗示有权访问此公共SSH密钥的任何人都可以将scp用作host3 而不使用密码? 重要的假设要考虑你的回应: 我不关心外部黑客通过更广泛的互联网。 这些是安全企业networking上的Linux机器。 我无法设置其他用户ID。 我猜测有一种方法来限制特定的SSH密钥的访问,但我不知道如何。 也许~/.ssh/authorized_keys选项(我刚才了解到)? 是否有可能有多个SSH密钥 – 给每个源不同的密钥? 请告知正确的方法。
情景是这样的: Windows workstation -> Linux bastion host -> Linux server 从我的Windows工作站,我使用PuTTY SSH进入Linux堡垒主机,然后通过SSH进入Linux服务器。 问题是,当堡垒主机和Linux服务器之间的authentication是ppkauthentication,我不想在我的堡垒主机上存储Linux服务器的ppk密钥时,我该怎么做?
我希望能够连接到服务器,启动一个sudo shell,然后使用代理转发连接到另一台服务器(以便使用SCP将文件复制到受保护区域)。 但: ubuntu@tunnelator:/var/www$ ssh -p 10022 stevebennett@localhost Last login: Fri Apr 5 10:54:03 2013 from localhost ~ exit Connection to localhost closed. ubuntu@tunnelator:/var/www$ sudo ssh -p 10022 stevebennett@localhost Password: 据推测,启动sudo shell会阻止代理转发。 不同之处在于: debug1: Offering RSA public key: id_rsa debug1: Server accepts key: pkalg ssh-rsa blen 277 debug1: Authentication succeeded (publickey). 与: debug1: Next authentication […]
为了进行testing,我在虚拟机内运行了一个OpenStack部署。 我的设置如下:使用Virtualbox托pipeUbuntu x64 – >使用OpenStack访问Ubuntu x64 – >通过OpenstacktestingUbuntu X64服务器实例。 我意识到这是没有实际用途的,但正如所说的,它仅用于testing目的。 我成功地启动了一个实例,将它绑定到11.1.0.3和172.16.1.1(主机是172.16.0.1),我可以通过ssh -i key.pem [email protected]从主机或guest虚拟机成功ssh进入它(或172.16.1.1 )。 不幸的是,通过Horizon的NoVNC不起作用(启动VNC握手 – >连接失败)。 我nova.conf中的相关行如下: –novnc_enabled=true –novncproxy_base_url=http://172.16.0.1:6080/vnc_auto.html –vncserver_proxyclient_address=172.16.0.1 –vncserver_listen=172.16.0.1 所以我不确定发生了什么问题。 匹配.pem文件的密钥对与我的SSH实例相结合,实例是活动和正在运行。 任何帮助将不胜感激。 编辑 : nova get-vnc-console [id] novnc正确地提供给vnc的一个链接到vm,但它也无法连接。 编辑2 :澄清:我有一个活动的,正在运行的实例,通过OpenStack仪表板成功启动。 我可以ping实例,我可以ssh进入(使用'ssh -i key.pem ip ),但是我无法通过VNC访问它(特别是仪表板上的novnc)。 尝试通过URL访问虚拟机通过get-vnc-console提供的nova也不起作用。 我想要做的是通过VNC访问这个实例。
我在这个问题上d </s>不安。 全新的Ubuntu 12.04服务器安装,我可以在SSH中,但不能使用SFTP(使用Filezilla)。 它似乎authentication罚款..但后来它错误: 错误是: Error: Connection timed out Error: Could not connect to server 这是完整的交易: Status: Connecting to 10.2.1.102… Response: fzSftp started Command: open "[email protected]" 22 Command: Trust changed Hostkey: Once Error: Connection timed out Error: Could not connect to server 这是我的sshd_conf文件: Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key UsePrivilegeSeparation […]
我知道我可以通过将主机名添加到/etc/hosts来将主机名列表添加到bsh选项卡中 – 完成ssh ,但由于它们在DHCP上,所以这是一个不好的做法。 有谁知道另一个DHCP感知的方式,这不会强迫我干涉Ubuntu太多? (全球解决scheme优先)