我正在运行Debian stable,我正在寻找为我的'sftponly'组中的用户build立以下环境: 获刑 可以用SFTP传输 可以和SCP转移 不能用SSH交互式login 从我的实验和研究来看,sshd_config中的以下节段似乎让我有90% Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp 这给我监狱的SFTP和没有SSH,这是很好的。 但是它也禁用了SCP,这是不理想的,因为相当多的客户端是传统的,使用SCP而不是SFTP的脚本进程(我们正在replace的服务器支持这两种协议),并且由于这些客户端并不在我们的控制之下修改,完全禁用SCP可能不切实际。 这个configuration可以禁用SCP,因为传入的SCP连接会导致sshd像用户那样通过用户的loginshell产生一个“scp”进程。 似乎SFTP通常也是如此,如果不是特殊的“internal-sftp”处理程序。 所以,我想我的问题是:是否有一种方法可以达到与“internal-sftp”相同的效果,但对于SCP而言,却不使用像scponly和rssh这样的第三方工具? “internal-sftp”的真正好处在于它不需要build立一个支持文件的监狱,也不需要处理潜在可利用的第三方setuid二进制文件(特别是具有漏洞利用历史的rssh)。
我什么都做不了。 经过一番挖掘,我发现它不是从我的主目录读取sshconfiguration。 $ ssh -xvvv server OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011 debug1: Reading configuration data /etc/ssh_config (…) 当在一个朋友的同一台电脑上,一切正常的时候,看起来像这样: $ ssh -xvvv server OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011 debug1: Reading configuration data /Users/kuba/.ssh/config (…) 它早些时候工作,我不知道我可以做任何事情导致这个问题。 这怎么可能发生,以及如何解决? 在tike指出的文档链接中指出 Because of the potential for abuse, this file must have strict permissions: read/write for the user, and […]
我正在寻找一种方法来自动定义我的会话中的任何服务器我ssh到的一些别名。 我不能把它们放在服务器上的.bashrc文件中,因为我login的用户帐户被其他人共享,除此之外还有几十个,在每台机器上维护一个脚本将是痛苦的。 我知道我可以使用expect自动input别名,但我只是想知道OpenSSH是否有内置的,可以用来实现这个?
我试图在AllowUsers和AllowGroups专用debian7服务器上修改/etc/ssh/sshd_config 。 但是,我似乎无法同时合作。 安装程序 有一个名为testuser的用户。 该用户位于一个名为ssh-users的组中: $ groups testuser testuser : testuser ssh-users testuser试图通过ssh testuser@<server_ip>并input密码。 我的sshd_config可以在这里find: http : //pastebin.com/iZvVDFKL – 我认为基本上我从默认的唯一变化是: 设置PermitRootLogin no 并用AllowUsers添加两个用户(我的服务器上的实际用户名不同) 每次修改sshd_config后都会运行service ssh restart 。 问题 使用AllowUsers设置时, testuser 可以连接: AllowUsers user1 user2 testuser 为其组设置AllowGroups时, testuser无法连接: AllowUsers user1 user2 AllowGroups ssh-users 导致Permission denied, please try again. 当testuser在ssh密码提示符中input密码时。 问题 AllowUsers是否会覆盖AllowGroups ? 什么是最好的方法来解决这个问题,而不需要手动添加用户名到AllowUsers ? 理想情况下,我希望能够将用户添加到ssh-users组中,而不必再次触摸sshd_config […]
有人build议针对Logjam相关的SSH攻击的缓解策略是使用类似于(下面的OpenSSH)来生成自定义SSH Diffie-Hellman组, ssh-keygen -G moduli-2048.candidates -b 2048 ssh-keygen -T moduli-2048 -f moduli-2048.candidates 然后用输出文件moduli-2048replace系统范围的模块文件。 ( ssh-keygen -G用于生成候选DH-GEX素数,而ssh-keygen -T用于testing生成的候选人的安全性。) 这对SSH服务器来说显然是合理的,否则这些服务器会使用熟悉的组来预先计算,但是在自定义SSH客户端系统上部署自定义SSH DH组还有什么安全方面的好处吗? (也就是说,连接到SSH服务器的系统,但从来没有充当SSH服务器本身。) 我主要感兴趣的是有关Linux上的OpenSSH的答案,但更通用的答案也将不胜感激。
我有一个相当小的安装服务器,它不允许密码authentication,只使用密钥。 而且它绝对没有安装Java。 通常我不会注意脚本小子猜测我的密码的每天数以千计的尝试 – 我想他们浪费在我的系统上的时间是他们不浪费在允许密码authentication的系统上。 但是我在/var/log/auth.log中看到这个消息: Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth] 提到的是来自攻击者的Javaexception,还是来自我身边的东西?
我有一个家庭和工作的电脑,家里的电脑有一个静态的IP地址。 如果我从工作计算机sshsh到我的家用电脑,ssh连接工作,但不显示X11应用程序。 在我的/etc/ssh/sshd_config中: X11Forwarding yes X11DisplayOffset 10 X11UseLocalhost yes 在工作中,我尝试了以下命令: xhost + home HOME_IP ssh -X home ssh -X HOME_IP ssh -Y home ssh -Y HOME_IP 我的/etc/ssh/ssh_config在工作: Host * ForwardX11 yes ForwardX11Trusted yes 我的~/.ssh/config在工作: Host home HostName HOME_IP User azat PreferredAuthentications password ForwardX11 yes 我的~/.Xauthority在工作中: -rw——- 1 azat azat 269 Jun 7 11:25 .Xauthority 我在家里的~/.Xauthority […]
我们有一个Ubuntu 10.04服务器。 如何设置它,以便通过SFTP或SSH创build(或复制)的新文件具有g + rw和g + rwx权限(在适当情况下)? 我还使用setgid(chmod g + s),以便它们inheritance适当的组所有者。
当我用腻子login时,我总是要: 更改设置 出现 字形 更改 8 调整窗口大小 这样我可以看到足够的文本来处理日志文件。 我没有看到我可以将这些设置保存到保存的会话中,这可能吗? 替代文字http://i29.tinypic.com/34t3g4k.png 回答: 所以答案是点击更改设置,改变一切,但你必须再次点击会话的名称和保存,谢谢大卫: 替代文字http://i28.tinypic.com/2lwvrxz.png
以下对Google文档的引用不再是真实的。 Googlebuild议从GCE实例中删除SSH密钥以保护SSH。 这对我来说没有任何意义。 钥匙在那里是为了安全,对吗? 当我删除钥匙,SSHD停止工作。 我可能会错过他们的观点。 有人可以解释这是什么意思: 删除SSH主机密钥 不要在您的实例中使用ssh主机密钥。 删除它们如下: rm /etc/ssh/ssh_host_key rm /etc/ssh/ssh_host_rsa_key* rm /etc/ssh/ssh_host_dsa_key* rm /etc/ssh/ssh_host_ecdsa_key*