我试图chroot一个“testing”用户(组sftp)到/ home / test。 我在sshd_config的末尾添加了以下几行: Subsystem sftp internal-sftp Match User test ChrootDirectory /home/test X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp home和test目录有755个权限,由root拥有。 我也试过用ChrootDirectory /home 。 root@Debian:/# namei -l /home/test f: /home/test drwxrwxrwx root root / drwxr-xr-x root root home drwxr-xr-x root root test 我无法通过SFTP或SSH连接到服务器(不论我是否包括Subsystem sftp internal-sftp和ForceCommand internal-sftp )。 只要我login,我收到以下消息: Write failed: Broken pipe …并将以下内容附加到auth.log: May 12 13:48:29 […]
这是我有的设置: 在防火墙后面的一个LAN内的一个Linux机箱A. 具有可从互联网访问的固定IP地址的Linux服务器。 我希望能够通过SSH连接到远程防火墙后面的Linux机器。 我读过关于SSH隧道,我想到这可能是我的解决scheme。 我能够打开A和B之间的远程SSH隧道。但我不知道如何使用这个隧道通过SSH控制A,或者甚至可能。 例如:从我的笔记本电脑通过B连接到A. 正如我了解它打开隧道,这是命令: ssh -R 2022:localhost:22 user@serverB (通过端口2022的请求传送到目标机器的端口22(ssh))通过user @ serverB。 打开这个隧道后,应该通过ssh连接到目标机器的动作是什么? 如果我的理解是错误的,请纠正我。
SSH-2已经出现了近十年。 我知道至less所有当前连接到我的服务器的计算机使用更新的版本2协议。 考虑到这一点,禁用或阻止SSH-1有什么好处(安全或其他)吗? 我可以安全地禁止通过SSH协议版本1从服务器进行任何访问,仍然允许使用版本2的SSH客户端访问服务器,而不会破坏任何东西? (如果有人知道在哪里可以find使用情况统计信息,那么还有一个额外的问题)即使服务器稍后被更多人使用,但是实际上仍然有人使用SSH-1协议的可能性有多大?
好,所以我试图用SSH连接从一台服务器到另一台服务器。 我已经使用ssh-copy-id从“客户”机器复制到“服务器”的密钥,它仍然提出密码提示,所以我检查了/ var / log / secure中的日志,并看到“身份validation拒绝:目录错误的所有权或模式“,我在用户帐户(非root帐户).ssh目录和文件上使用chmod修复了这个错误。 现在,在/ var / log / secure文件中不再有任何错误报告,在'client'端ssh的-v日志显示如下: debug1: Next authentication method: publickey debug1: Trying private key: /root/.ssh/identity debug1: Offering public key: /root/.ssh/id_rsa debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password debug1: Trying private key: /root/.ssh/id_dsa debug1: Next authentication method: password 然后它要求input密码… Selinux被禁用。 有任何想法吗? 谢谢 斯图尔特
昨天晚上我正在搞我的iptables做这个特定的命令: sudo iptables -F sudo iptables -X sudo iptables -P INPUT DROP sudo iptables -P OUTPUT ACCEPT sudo iptables -P FORWARD DROP sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT 如果我是对的,没有什么真正的危害 然后我的ssh connexion倒下了。 试图重启服务器,但一直在说 ssh: connect to host XXXX port 22: Connection refused 我试图启动到救援模式,挂载/ dev […]
我想只允许几个IP地址进行SSH连接。 我正在使用带有firewalld和OpenSSH SSH客户端的CentOS 7。 我怎样才能做到这一点?
我在远程服务器上创build了一个用户'vasya'@'%'其中包含一些dbs上的所有权限。 当我SSH服务器我可以mysql -u vasya -p没有任何问题。 但是,当我尝试通过Sequel Pro使用SSH隧道 host: 127.0.0.1 username: vasya password: ***** port: 3306 ssh host: <My Server IP> ssh user: <my server user that I used in terminal> ssh password: *********** 我得到: 无法连接到主机127.0.0.1,因为访问被拒绝。 仔细检查您的用户名和密码,并确保您的当前位置的访问是允许的。 MySQL说:访问被拒绝用户'vasya'@'localhost'(使用密码:是) 在my.cnf中,我已经设置了这个,尽pipe我不认为这对于ssh隧道是必要的: #skip-networking bind-address = 0.0.0.0 哦,是的,我可以使用我创build的另一个用户成功连接到Sequel Pro,而后者与vasya没有区别。 Vasya有什么问题?
当服务器上运行一些cpu密集型进程时,通过ssh命令错误的“运行超时”可能无法login到本机。 根据peterph回答的这个post ,在任何情况下都应该有一个保证sshd服务的方法。 但是我只是不知道如何为sshd创build一个组,给它一些不可忽视的CPU时间份额,然后给这个“远程访问”处理更高的CPU份额 。 任何人都可以告诉我如何configuration它在“/etc/cgconfig.conf”和“/etc/cgrules.conf”? 非常感谢。
我有3台机器连接成一个链,A,B,C。 A–>B–>C A是我的机器,B是服务器,C是其他机器,有一些服务和Web服务器。 由于某些问题,我需要从A访问C上的Web服务器(端口80),我可以使用sshlogin从A到B,然后从B到C,但此时的控制台太less了。 我需要networking浏览器,并使用ssh选项-X不起作用(与Firefox启动dbus的一些问题)。 我使用传统的命令转发B上的端口转发为ssh转发22端口: ssh -L 2222:localhostB:22 user@ipC 但使用相同的80端口没有工作: ssh -L 8888:localhostB:80 user@ipC 我知道有一些其他转发,使其工作,但我不明白如何和什么。 我需要这样的东西: A –> B (frd from B:8888 to C:80) –> C (port 80 web server) 所以当我inputipB:8888时,我将被转发到C:80。 任何帮助,作为解释什么必须做,或命令脚本将不胜感激。 我注意到从一个博客,它必须做两次ssh -L转发完成,但我不明白为什么。
我正在尝试为我所在的公司的Kubuntu 12.04 Linux工作站设置Kerberoslogin支持(Windows AD域提供kerberos)。 它几乎完全工作,但我不能让kerberos同时为机器login(通过kdm)和ssh工作。 这个问题似乎是kdm检测主机的完全限定的域作为hostname.domain。 和ssh检测到完全合格的域名是hostname.domain(注意缺less尾随)。 缺乏或缺乏。 在kerberos请求中使用的域的末尾足以使票证请求失败,并在“kerberos数据库中找不到服务器”错误。 如果我更新/ etc / hosts以将完全限定的主机名称作为hostname.domain。 并join域使用samba kdmlogin使用Kerberos正常工作,但sshlogin失败。 如果我更新/ etc / hosts使主机名为hostname.domain,那么使用kerberos sshlogin工作,但kdmlogin失败。 对于为什么这两个服务检测到完全限定的域名有所不同,我有点不知所措 – 我已经做了大量的search,没有发现任何其他人有这个问题或任何选项来强制其中一个服务以不同的方式检测他们的域名。 技术细节 被使用的Kubuntu 12.04是我的控制之外的技术要求,所以在这个阶段升级到以后的发行版是不可行的。 正在使用pam_krb5来提供通过pam的Kerberos身份validation使用的DNS不是Windows的DNS(不能切换DNS服务器,直到进一步的工作在其他基础设施完成),所以用于桑巴kerberosiedjoin到域的主要细节从/ etc / hosts看起来像 127.0.0.1 hostname.domain. hostname localhost (正在使用的unix dns服务器虽然确实有主机的正确的反向dns条目) /etc/krb5.conf(这主要是发行版的默认值,input域详细信息和服务器) [libdefaults] default_realm = DOMAIN krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = […]