是否有可能使用代理转发,不包括所有的密钥被转发,除了特别说明的? 或者,是否有任何方法来指定每个会话尝试密钥的顺序? 使用ssh-agent需要pipe理不同的套接字: https : //superuser.com/questions/357602/use-a-specified-key-from-ssh-agent/401737#comment396923_358604 是否有更容易configuration的替代代理? 例如: Client A –> ssh/agent-forwarding –> Server B –> Server C | ——> Server D 我只想在代理转发中只允许一个密钥,允许: A -> B -> C ,而不是A -> B -> D 。 或者至less指定键被尝试的顺序。 (在@ jeff-ferland回答之后,为了清晰起见编辑)
用户A有两个SSH私钥,随着时间的推移,他在一些服务器上使用了这个公钥,他丢失了一个私钥,创build了一个新的私钥对。 用户A如何告诉我(系统pipe理员),他丢失了密钥,以及如何pipe理他所访问的所有服务器(我没有用户A有权访问的所有服务器的列表)。 换句话说,我该如何回忆与这个私钥相关的公钥。 在基于LDAP的身份validation中,所有服务器都将与单个服务器存储库进行通信以进行身份validation,如果我删除了访问或修改了服务器上的密码,则当用户A丢失其密码时,所有使用此LDAP进行身份validation的系统都将受到保护。
问题: 我们有许多dev / qa / prod RH / Solaris服务器,它们之间有多个拥有ssh信任的帐户,包括不同环境中的服务器(prod-> prod,还有qa-> prod)。 我知道这是一个不好的做法,我试图解决它的第一步是要了解哪些帐户可以ssh到哪些其他帐户没有密码框。 我的方法是login到指定服务器列表的shell脚本, sudo通过/ etc / passwd文件获取所有帐户和主目录的列表,查看后者是否存在.ssh和id_rsa.pub和/或id_dsa.pub和authorized_keys并将每个帐户每个帐户的这些信息输出到运行脚本的机器上的stdout 。 用户可以指定一个密钥供ssh使用,这不是默认的事实是一个公认的限制。 (我假设情况并非如此) 然后使用输出创build一个HTML页面,其中包含从上面的输出创build的JavaScript对象{username,machine_name,rsa_key,dsa_key,authorized_keys []},并使用JQuery(或类似的)显示层次结构(tbd如何)。 我的问题是,解决这类问题是否已经存在? 如果没有,我的方法的任何意见将是受欢迎的。
我有多个笔记本电脑和工作站,从中央服务器上的多个Mercurial存储库中进行推送和推送。 我通常使用.ssh/config来设置别名: Host repo-server HostName server.somedomain User user143 IdentityOnly yes IdentityFile ~/hgkey Port 156 …和更多的select,你明白了。 然后,我可以简单地在每个本地存储库上执行hg push ssh://repo-server//hgroot/someproject ,并且可以在一个地方更改服务器地址和端口。 对于工作站来说,这可以正常工作,但笔记本可以使用不同的地址和不同的端口从networking内部或外部访问服务器。 有什么办法可以指定多个主机名/端口组合,以便SSH自动按顺序尝试它们? 这样,用户可以推拉,而不必关心正确的地址。 (当然,使用VPN将是最正确的解决scheme)
对Ansible主用户来说,似乎只有两种合理的方法: 使用root 使用NOPASSWD sudo访问另一个用户(例如, ansible ) 第一个选项是禁止使用,因为我不敢保持PermitRootLogin 。 所以,默认情况下,第二个选项似乎是要走的路。 我至less在/etc/ssh/sshd_config : Match User ansible PasswordAuthentication No 并通过使用authorized_keys的from选项将密钥用法限制到Ansible主机: from="192.168.100/24" 到目前为止,我的想法还有其他想法或问题吗?
我已经build立了一个使用OpenSSH的SFTP服务器,一切正常,我创build的用户可以连接。 在authentication之后,用户直接在/chroot里find他们不允许写入的目录。 所以我把一个/subdirectory放到/chroot他们有写权限(受这个博客文章的启发),这也很好。 但是,由于我正在进行的项目的性质,用户应该直接在一个文件夹中,他们被允许在authentication后写入。 转发到/chroot/subdirectory可能是最好的解决scheme,但我没有find解释如何实现这一目标的资源。 可以这样做吗? 怎么样?
有很多类似这个问题的答案,但我似乎无法find一个明确的答案。 它们要么至less抓取一次公钥,要么完全忽略该密钥,要么直接写入known_hosts文件(意味着没有哈希) 我有服务器的指纹和/或公钥。 我想要一个shell命令将其添加到客户端的known_hosts文件。 这必须使用任何configuration(散列/不散列) 另外,脚本会从这个服务器做一个git pull,所以我不知道在这个时候提供端口信息是否相关。 请告诉我,如果是。 谢谢。 如果这个问题已经得到解答,我可以随意指出正确的方向。 PS – 额外的信息:我问的关于端口的原因之一是因为我做了以下没有成功(我知道这是从主机,我宁愿不要做)的关键: ssh-keygen -R my.awesome.host # hostname ssh-keygen -R 1.2.3.4 # IP ssh-keygen -R my.awesome.host,1.2.3.4 ssh-keyscan -H my.awesome.host,1.2.3.4 >> ~/.ssh/known_hosts ssh-keyscan -H 1.2.3.4 >> ~/.ssh/known_hosts ssh-keyscan -H my.awesome.host >> ~/.ssh/known_hosts 但是,当我克隆(通过SSH)我遇到了一个响亮的: The authenticity of host '[my.awesome.host]:7999 ([1.2.3.4]:7999)' can't be established. RSA key fingerprint is […]
有没有一种方法可以测量/报告隧道SSH会话中的总延迟? 我特别的设置是: 客户端(OS X + wifi路由器+ ADSL调制解调器) 网关SSH服务器暴露给互联网 内部SSH目标我隧道 我感兴趣的是看到本地机器上的控制台和打开会话的最终机器之间的延迟。
嗨,这里是我有一个企业数据中心的一个项目的服务器的情况。 我在端口22上有一台对这台机器的SSH访问权限。有一些虚拟机在这台服务器上运行,然后在其他许多操作系统的工作背后。 现在,由于我在数据中心防火墙后面,所以我的主pipe问我是否可以做一些事情,让我可以让很多人直接访问这些虚拟机。 我知道如果我被允许获得22以外的端口的stream量,那么我可以做一个端口转发。 但是因为我不被允许,所以在这种情况下可以解决什么问题。 想要连接的人可能是完全的白痴。只要在他们的机器上打开putty,甚至可以filezilla,他们可能会很高兴。我已经configuration了一个Apache反向代理,用于将Internetstream量redirect到这些主机上的虚拟机。我不清楚至于SSH我能做些什么。所以在这种情况下,有什么等同于Apache反向代理可以做类似的工作的SSH。 我的手中没有防火墙或22以外的任何其他端口,事实上即使我请求他们不允许打开.2次SSH并不是我主pipe想要的东西。
首先,我知道这个问题已经有一百万次了,我已经看了所有我能find的东西,而且还不能解决问题。 我遇到这个问题时,从我的Mac ssh'ing我的Ubuntu服务器上一个全新的Ubuntu安装(我重新安装,因为这个问题)。 我有SSH端口映射到7070,因为我的ISP阻止22。 在客户端: bash: ssh -p 7070 -v [email protected] debug1: Reading configuration data /etc/ssh_config debug1: Connecting to address.org port 7070. debug1: Connection established. debug1: identity file /home/me/.ssh/identity type -1 debug1: identity file /home/me/.ssh/id_rsa type 1 debug1: identity file /home/me/.ssh/id_dsa type -1 ssh_exchange_identification: Connection closed by remote host 以下是我所做的尝试解决问题的方法: 确保我的maxstartups可以: bash: grep MaxStartups /etc/ssh/sshd_config […]