我们是一家networking托pipe公司。 我们有4个在CentOS上运行OpenVZ的服务器。 每个服务器上都有大约50个容器运行。 我们计划提供ssh root权限给一些客户(大约50)。 所有这50个用户将开发和托pipe单个网站的模块。 例如。 有一个网站xyz.com现在将有一个模块xyz.com/module1这个module1将由不同的开发者托pipe,并托pipe在不同的容器上。 同样,还有其他模块由不同的开发人员开发并托pipe在其他容器上。 问题是这些容器在NAT防火墙后面运行。 有一个xyz.com的公共IP。 我们不想做端口转发,因为它会在防火墙中打开不必要的端口。 我们正在考虑将所有的ssh请求转发到xyz.com到一个容器(ssh-temp),然后只允许从ssh-temp容器的ssh到其他容器。 但是这种方法是不可行的,因为用户将具有对其容器的根访问权并且可以修改防火墙规则。 有没有更好的方法来执行这个任务。 我正在考虑有一个scheme,用户可以运行一个命令,如: ssh [email protected] 用户将被redirect到特定的模块。 我怎样才能达到这样的计划? 谢谢 编辑:我意识到提供networking容器的根访问是一个坏主意,但现在这是一个强迫,而不是一个select。
我可以ssh到服务器使用另一台机器与ecdsa键,这是设置得很好。 我在另一台机器上生成了一个ecdsa密钥,并在服务器的主目录中为我的.ssh/authorized_keys做了一个ecdsa公钥的cat。 当我尝试SSH到服务器,它是在新机器超时,而不是提示密码。 密钥权限设置为-rw——- 我做了一个cat /var/log/auth.log ,但没有任何显示与此有关。 在哪里看下一个?
我有一台我经常login的服务器。 而且我必须每次input我的密码。 我想改变这个… 我已经按照教程去信了。 在服务器上,我使用ssh-keygen生成一个id_rsa *文件对。 我将.pub添加到了authorized_keys中,并检查了.ssh目录和authorized_keys文件的权限。 然后,我将id文件复制到我的家用电脑上,确认了所有的权限并进行了testing。 它没有工作。 我通过在客户端上生成密钥并将其推送到服务器再次尝试。 那也行不通。 我已经回到在服务器上生成密钥,并试图找出是什么问题… 我从客户端运行“ssh -vvv”,这里是输出(消毒): OpenSSH_5.9p1, OpenSSL 0.9.8x 10 May 2012 debug1: Reading configuration data /etc/ssh_config debug1: /etc/ssh_config line 20: Applying options for * debug1: /etc/ssh_config line 53: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to SERVER [IP-ADDRESS] port 22. debug1: Connection established. […]
我陷入这个问题: 我有一个新的服务器,我通过SSH访问,使用PuTTy。 在Configuration中,我需要select使用ssh访问服务器所需的ssh shell。 select: /bin/sh /bin/bash /bin/dash /bin/bash(chrooted) 如果我select/bin/sh ,我没有一些权限,例如安装Python的setuptools,如果我select/bin/bash(chrooted) ,我没有python,如果我python说:找不到命令。 我正在使用Debian 7, 我该怎么办?
在Ubuntu中,我可以通过命令将PubKey从OpenSSH格式转换为PKCS8格式: ssh-keygen -e -f .ssh / id_rsa.pub -m PKCS8 但在CentOS 6.4中,当我执行相同的命令时,它注意到: ssh-keygen:非法选项 – m 我在Centos 6.4上阅读了ssh-keygen的man-page,发现它没有选项“-m”。 那么,我怎样才能在Centos 6.4上完成同样的任务呢? 非常感谢你!
我的服务器被configuration为在一个网卡上有一个公共IP,在另一个网卡上有一个私有IP …服务器在一段时间后运行良好…突然间,我无法从我的isp外部访问我的服务器networking… 起初我以为这是因为我最近改变了我的IP地址,直到同样的事情发生在另外3个服务器(我负责)完全不同的networking上…一个运行相同的ISP(与我的networking相同以前的服务器),一个运行不同的ISP(甚至不在同一个国家),另一个运行不同的ISP(同一国家)… 我检查的条件: 从外部的服务器ispnetworking: 能够ping到服务器 traceroute到服务器没有问题 无法访问networking服务器 无法访问ssh 无法访问sftp 从服务器内部的ispnetworking(使用公共IP): 能够ping到服务器 traceroute到服务器没有问题 能够访问networking服务器 能够访问ssh 能够访问sftp 服务器上没有设置防火墙…有什么我应该检查? 我也问我的ISP,因为我把这个问题…这也只是偶尔发生…
我们在服务器上使用共享帐户。 每个使用不同的ssh密钥。 有没有办法创build谁运行哪些命令的审计线索? 我们可以通过使用的ssh密钥区分真正的“用户”。
以下是Filezilladebugging跟踪的摘录: Offered public key from "(…)" Offer of public key accepted, trying to authenticate using it. Access granted Server unexpectedly closed network connection 我注意到在debugging模式下putty的行为是相同的,访问被授予,然后“服务器意外closuresnetworking连接”。 从/ etc / ssh / sshd_config中删除以下行时: Match User user1 ChrootDirectory /home/user1 AllowTCPForwarding no X11Forwarding no ForceCommand /usr/lib/openssh/sftp-server 然后Filezilla可以连接但不是PuTTY。 这是好的,因为我只是针对FTP,但是那么user1可以访问远远多于所需的主目录,这是不好的。 任何想法如何解决这个问题? 有没有在服务器端看日志? PS:我认为这与问题没有任何关系,但是validation是基于关键的(因为它出现在痕迹中)。 更新:感谢弗雷德·克劳森很好的build议,我看了一下/ var / log / secure并修复了“致命:所有权或者chroot目录组件的模式”问题。 但它仍然无法正常工作。 这里是/ var […]
我在unix环境中使用check_by_ssh来执行Nagios插件。 less数主机有一个不同的unix帐户,Nagios需要ssh来运行插件。 我通过这样的-l传递帐户名称: command_line $USER1$/check_by_ssh -p 22 \ -H $HOSTADDRESS$ -l <user> -i /home/nagios/.ssh/$HOSTNAME$ -C '<plug-in path>' 对于具有不同unix帐户的机器,有没有办法使所有命令定义翻倍,例如用-l user1replace-l nagios? 我希望有一种方法可以在主机定义中传递用户名,表示这组主机应该用user1login,而另一组主机应该用user2。 任何帮助表示赞赏。 谢谢
我在debian 7上安装了一个ssh服务器,使用sftp连接。 我用这个configurationchrooted一些用户: Match Group sftpusers ChrootDirectory /sftp/%u ForceCommand internal-sftp 但是如果我想用ssh控制台中的这个chroot用户login,他们会被logging下来,但是自动closures连接。 在日志中我看到: Oct 17 13:39:32 xxxxxx sshd[31100]: Accepted password for yyyyyy from zzz.zzz.zzz.zzz port 7855 ssh2 Oct 17 13:39:32 xxxxxx[31100]: pam_unix(sshd:session): session opened for user yyyyyyyyyyyy by (uid=0) Oct 17 13:39:32 d00hyr-ea1 sshd[31100]: pam_unix(sshd:session): session closed for user yyyyyyyyyyyy 我如何才能根据sftp chroot用户,并将其用作ssh的普通用户?