我是那个问复杂问题的人,没有看到简单的答案。 为了快速解释,我有一堆服务器(在debian 9上),有2个物理networking接口,一个前端(用于应用程序)和一个后端(用于pipe理目的)。 因为我想locking一切,我决定拒绝ssh从前端界面访问服务器,而对于“其他”的原因,不能只是阻止端口22.复杂的部分是,我不能只是把ip地址在sshd config(ListenAddress)中的服务器后端networking,因为ip是dynamic的。 我没有在网上find任何东西只是说ssh“只使用该接口”,所以现在我做了一个脏的修复sshd服务的systemd启动,看起来像这样: [Unit] Description=OpenBSD Secure Shell server After=network.target auditd.service ConditionPathExists=!/etc/ssh/sshd_not_to_be_run [Service] EnvironmentFile=-/etc/default/ssh ExecStartPre=AdmNetIp=$(echo `ifconfig eth1 2>/dev/null|awk '/inet / {print $2}'`); sed -i "s/\(^#\)\{0,1\}ListenAddress .*/ListenAddress $AdmNetIp/" /etc/ssh/sshd_config ExecStart=/usr/sbin/sshd -D $SSHD_OPTS ExecReload=/bin/kill -HUP $MAINPID KillMode=process Restart=on-failure RestartPreventExitStatus=255 Type=notify [Install] WantedBy=multi-user.target Alias=sshd.service ExecStartPre的重要组成部分。 它基本上用sshd启动之前的eth1接口的实际ipreplacesshd config中的ip。 我真的不喜欢那个,想知道是否有一个“更清洁”的方式。 我什么都不知道,用我的玩具来操作,所以如果这很愚蠢的话,我很抱歉失去了时间。 我更像是一个pipe理员,也是一个法国人,对于你stream血的眼睛感到抱歉。 谢谢阅读 !
我启动ssh -S mysocket example.com来连接example.com 。 如果我的连接挂起,我需要kill这个过程: ssh -S mysocket example.com -N -L 1234:localhost:1234 & last_pid=$! …(do something blocker) kill $last_pid 但是这不起作用。 如果last_pid是XXXX ,那么当我用ps -ef | grep ssh检查实际进程时 ps -ef | grep ssh ,进程'PID似乎XXXX + 1 。 这意味着ssh -S socket在后台启动,产生一个subprocess并退出。 在这种情况下,我们如何捕获最后一个pid?
这个问题关于在服务器HOST证书已知被攻陷的情况下,在客户端主机端的SSHconfiguration。 简而言之:我们如何撤消SSH HOST证书,哪些文件需要在CLIENT端主机上更新,以便在ssh连接尝试期间响应服务器提供的证书被识别为撤销证书? 长版本:CLIENT证书: 每个用户生成一个密钥对,将公钥提交给客户端CA,客户端CA生成客户端证书并将其返回给用户。 用户将证书(以-cert.pub结尾)放在他的私钥旁边,当他添加私钥并提供密码时,它通过ssh-add加载。 客户端CA的公钥在服务器主机的可信CA文件中列出,并且由于CA出现在该文件中,sshd守护程序授权用户的连接。 它还检查指定证书的其他条件,例如未过期和在用户主体中进行帐户。 服务器还会检查证书是否已被吊销用户的文件。 因此,当用户的私钥和证书被泄露时,一旦通知CA,他撤销证书并将其分发给服务器主机被吊销的用户文件。 因此,当撤销的用户文件被更新时,受损的密钥和证书不再是威胁。 HOST证书: 每个主机节点都有一个由主机CA签名的主机证书。 每个客户机节点都具有全局已知的主机文件,通常是/ etc / ssh_known_hosts,已更新为包含给定主机CA的条目。 但似乎没有撤销主机文件的任何地方。 当客户端节点上的用户尝试ssh进入服务器主机时,ssh(在客户端主机上)接受由服务器主机提供的主机证书,因为签名该证书的签名中心的公钥是在ssh_known_hosts文件中的。 但是,何时何地该主机证书validation反对撤销? 主机上撤销的用户文件适用于有关INCOMING连接的客户端证书。 HOST证书需要在与服务器主机的OUTGOING连接上通过SSH进行检查,所提供的证书需要在客户端通过SSH进行检查。 如果没有这样做,唯一从受损主机密钥和证书中恢复的方法是将CA本身变为不可信,从客户机主机系统上的/ etc / ssh_known_hosts中删除。 这意味着所有具有由相同CA签名的证书的主机也将被呈现为未知主机。 那么,我们在客户端主机端放置了什么和在哪里撤销HOST信息,以便ssh将主机证书识别为撤销,并将HOST识别为不可信? 提前致谢
当我纯粹为了隧道的目的而运行ssh会话时,我是这样开始的: ssh -N -L 5432:localhost:5432 user@host & 但是,当我这样做时,terminal上的每一秒击键都不起作用。 其他窗口不受影响。 到底是怎么回事? 细节: Ubuntu 17.04 OpenSSH 7.4p1 GNOMEterminal3.20.2 我想不出任何可能相关的东西,但如果有的话,让我知道。
在过去的几天中,我一直在绕开LDAP身份validation,并设法configuration一些Linux系统(CentOS 6和7),以对OpenLDAP服务器(我也安装和configuration)执行SSH身份validation过程。 但是,即使一切正常,但仍然有一些LDAP身份validation过程对我有所帮助。 我不太明白的是,PAM和NSS如何相互配合,以及它们如何相互作用。 经过对这个主题的研究,我得出结论:( 参考 ): NSS提供名称服务机制来获取用户和组名信息; PAM提供了应用软件使用的灵活的authentication机制,因此涉及密码数据交换。 但什么是身份validationstream程? 如何使用我configuration的文件/服务( /etc/nsswitch.conf,/etc/nslcd.conf,/etc/nscd.conf/,/etc/pam.d/password-auth )以及按什么顺序? 注意:如果我从“nsswitch.conf”中删除与shadow数据库相对应的行,authentication过程仍然可以正常工作。 这意味着文件“nsswitch.conf”永远不会用于获取密码查找的来源?
直到今天,我才能够使用基于浏览器的SSH客户端。 现在,我每次尝试连接时都会收到以下错误消息。 我已经尝试重新启动,停止/启动,并删除/添加回静态IP。 连接错误发生错误,我们无法连接或保持连接到您的实例。 如果这个实例刚刚启动,请在一两分钟之内重试。 这是一个截图:
目录/run/media/user/disc是SSH服务器上的一个目录(Fedora 25)。 它的小组是非常好的。 我试图通过SSH使用属于sftponly组的用户访问该目录。 不幸的是,我不能访问(读)到这样的目录(权限被拒绝)。 访问控制列表看起来不错,但仍然有一些问题: # getfacl /run/media/user/disc getfacl: Removing leading '/' from absolute path names # file: run/media/user/disc # owner: root # group: sftponly user::rwx group::rwx group:sftponly:rx mask::rwx other::rwx 任何想法? 谢谢
我试图findOpenSSH退出状态代码及其含义,但我无法find任何地方。 我相信这对其他人有帮助。 主要是我对Exit status 5感兴趣,因为我一旦在Windows Server 2012上validation成功,就会得到该Exit status 5 。
我有两个ec2s驻留在相同的vpc具有相同的子网和相同的安全组。 vpc有我的ip的vpn设置。 我可以很好地logging到使用其私有IP的实例之一,但我无法login到其他实例。 这两个实例中的所有内容看起来都是相同的(vpc,subnet和SG wise)。 我错过了什么? 我也在stackoverflow中创build了相同的问题我知道我不应该这样做,但在发布问题后,我认为这个网站更适合这类问题。
我在使用Azure虚拟机时遇到了问题。 我有虚拟机,它正在运行: 我有它自己的静态 IP地址: 我也允许从外面访问: 我知道,让所有的港口到外面是不好的,但这只是为了发展。 现在,当我尝试通过使用SSH连接到端口22中的静态IP地址时,它会引发错误消息。 就像这个地址不存在一样。 为什么发生这种情况? 几个月前,我能够与当前设置进行连接,现在Azure中发生了一些变化。 我也检查了资源的健康状况,它向我显示: 我也打开启动诊断,但有很多的信息。 这是链接到我的启动诊断日志文件