タグ付けされた質問 「openssh」

sshプロトコルのOpenSSH実装に関する質問。

5
OpenSSHのデフォルトのアイドルタイムアウトは何ですか?
この単純な質問への答えを見つけることができないようです。これはいくつかのコンプライアンス文書に必要です。 CentOS 6.5(OpenSSH 5.3p1-94.el6)のデフォルトインストールで、アイドル状態が続くと、ユーザーのSSHセッションは終了しますか?アイドルタイムアウトを増やすために以下を設定できると思いますが、デフォルトではコメント化されています。 $ grep -i alive /etc/ssh/sshd_config #TCPKeepAlive yes #ClientAliveInterval 0 #ClientAliveCountMax 3 また、現在のsshd設定のリストをダンプするコマンドはありますか?に何も表示されませんman sshd。
25 ssh  centos  openssh 

7
SSHでホストごとに2つの異なるIPアドレスを使用する
という名前のサーバーがありgamma、常に稼働しています。自宅から接続することもありますが、その場合はパブリックIPアドレスを使用します55.22.33.99。時々、仕事中に接続し、不必要にパケットをバウンスさせるのではなく、ローカルIPアドレスを介して接続します192.168.1.100。 現時点では、それらを2つの異なるエントリに分割しています ~/.ssh/conf Host gamma-local HostName 192.168.1.100 Port 22 User andreas Host gamma-remote HostName 55.22.33.99 Port 12345 User andreas ですから、私が仕事をしている場合、入力しなければならないのはssh gamma-local、私だけです。私が家にいる(または世界のどこかにいる)場合は、実行しssh gamma-remoteます。 サーバーに接続するとき、どこにいるかに応じて別の名前を入力する必要はありません。その部分は自動的に行われます。たとえば、場合によっては、自分がどこにいるかわからない人を接続する自動化されたスクリプトがあります。 Bashスクリプトを使用して最初にローカルの接続に「試行」し、接続しない場合はリモートIPアドレスに接続してみて、この問題を解決する質問があります。これは便利ですが、(1)効率が悪いようです(特に、すぐにエラーが返されるとは限らないため、接続がタイムアウトするのを「待たなければならない」ことがあります)。 Bashスクリプトの使用に依存せず、接続が最初に機能するかどうかを「テスト」することなく、これを達成する別の方法はありますか?
23 ssh  openssh 

3
sshネゴシエートできません:「一致する暗号が見つかりません」、cbcを拒否しています
リモートマシンにsshしようとしていますが、失敗します: $ ssh -vvv admin@192.168.100.14 OpenSSH_7.7p1, OpenSSL 1.0.2o 27 Mar 2018 ..... debug2: ciphers ctos: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc debug2: ciphers stoc: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: compression ctos: none,zlib@openssh.com debug2: compression stoc: none,zlib@openssh.com debug2: languages ctos: debug2: languages stoc: debug2: first_kex_follows 0 debug2: reserved 0 debug1: kex: …
23 ssh  openssh  synology 

2
SSHキーベースの認証:known_hosts vs authorized_keys
Linuxでのsshキーのセットアップについて読んで、いくつか質問があります。間違っている場合は修正してください… ホストtr-lgtoがsshを使用してホストtr-mdmに接続したいとします。それが実際のtr-mdmであることを確認したい場合は、tr-mdmでキーのペアを生成しknown_hosts、tr-lgtoで公開キーを追加します。tr-mdmがそれが実際のtr-lgtoであることを確認したい場合、tr-lgtoはキーペアを生成し、authorized_keystr-mdmに公開鍵を追加する必要があります。 質問1:ファイルknown_hostsにはユーザーフィールドはなく、IPアドレスとホスト名のみがあります。tr-mdmには多くのユーザーがいて、それぞれに独自の.sshフォルダーがあります。各known_hostsファイルに公開鍵を追加する必要がありますか? 質問2:ssh-keyscan -t rsa tr-mdmtr-mdmの公開キーが返されることがわかりました。このキーがどのユーザーに属しているかを知るにはどうすればよいですか?さらに、公開キーは、/root/.ssh/そのコマンドが返すものとは異なります。どうすればいいの?

2
Stretchでopensshを再起動するときに推奨されないオプション
今日、Debian Stretchで更新を行った後ssh、現在の設定でサービスを再起動すると、次の警告が表示され始めました。 /etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval /etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits /etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication /etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication [....] Restarting OpenBSD Secure Shell server: sshd /etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval /etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits /etc/ssh/sshd_config line 29: Deprecated option …
20 debian  openssh 

5
〜/ .ssh / authorized_keys形式のキーを指定すると、キーの強度を簡単に判断できますか?
〜/ .ssh / authorized_keys [2]には公開鍵のリストが含まれています。 残念ながら、各公開キーはキーの強度(ビット数)を指定しません。 このファイルを1行ずつ処理し、キー強度を出力できるユーティリティはありますか? のmanページをチェックしましたがssh-keygen、秘密鍵でしか機能しないようです。 また、pageantPuttyツールで表示されるのと同じ方法でsha1ハッシュを出力するツールはありますか? 私が探している形式: Key Algorithm Strength Hash Comment ssh-rsa 2048 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff user1@host1 ssh-rsa 2048 11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff:11 user2@host2
17 ssh  openssh 

2
SSHホストキーをロールオーバーする方法は?
推奨は2048ビットキーをすぐに段階的に廃止することなので、sshサーバーを2048ビットRSAキーからより大きなキーにアップグレードしようとしています。 次のように、新しいキーを生成し、それをsshd構成に追加しました。 HostKey / etc / ssh / ssh_host_rsa_key (古い2kビットのキーが最初) HostKey / etc / ssh / ssh_host_rsa4096_key (新しい大きなキー2番目) 再起動後sshd、ホストにsshしますが、IDが変更されたという警告は表示されませんが、新しいものはにキャッシュされません~/.ssh/known_hosts。行を逆の順序で配置すると、IDが変更されたという警告が表示されます。同様に、ed25519キーを追加するとき、どの順序で入力しても、クライアントは既知のホストファイルに新しいキーを追加しません。 これにより、SSHホストキーのロールオーバーが不可能になっているようです。しかし、セキュリティを考慮すると、キーのアップグレードが定期的に必要になるため、実際にはそうではないと考えるのは困難です。 キーを交換するだけで、すべてのクライアントを実行ssh-keygen -Rして古いキーを削除し、新しいキーを手動で確認して受け入れる必要があることはわかっています。しかし、特に多くのクライアントが接続している場合や管理していない場合すべてのクライアント。言うまでもなく、クライアントを管理しない場合、実際にホストキーを確認せず、代わりに単にYを押す可能性が非常に高いので、セキュリティを改善しようとすると、実際にman-in-代わりに中間攻撃。 SSHホストキーのアップグレードを機能させる方法はありますか?つまり、クライアントは新しいより安全なキーを学習する必要があります(また、できれば古いキーを学習しないでください)。また、ホストキーを変更せずに、中間者警告を変更しました。
17 ssh  openssh 

2
キーでリモートマシンにログインできません
キーを使用してリモートマシンにログインしていました(このマシンのルートにする必要があります)。ローカルマシンとリモートマシンの両方がf23にあります。過去数日から、キーを使用してこのマシンにログインできません。パスワードを要求しています。ssh -vvvは次のとおりです。 ssh -vvv aveta OpenSSH_7.1p1, OpenSSL 1.0.2d-fips 9 Jul 2015 debug1: Reading configuration data /home/rudra/.ssh/config debug1: /home/rudra/.ssh/config line 4: Applying options for aveta debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 56: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to phy-aveta.physics.uu.se [130.238.194.143] port 22. debug1: Connection …
15 ssh  sshd  openssh 

1
CentOS 7にfail2banをインストールする
この質問に対する@GarethTheRedの回答を使用して、リモートCentOS 7サーバーにfail2banをインストールしています。私はtail -f /var/log/fail2ban.log、までのすべてのステップを完了することができます。その時点で、彼が答えを得るのとは異なる結果が得られます。 このステップで得られた結果は次のとおりです。 [root@remotecentosserver.com ~]# tail -f /var/log/fail2ban.log 2014-12-02 16:55:53,548 fail2ban.server.server[6667]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.0 2014-12-02 16:55:53,550 fail2ban.server.database[6667]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3' 2014-12-02 16:55:54,239 fail2ban.server.database[6667]: WARNING New database created. Version '2' 最後の行の後、カーソルを取得しますが、を入力しない限り、コマンドプロンプトは表示されませんCtrl-C。 と入力するとsystemctl status fail2ban、fail2banアクティブであることがわかります。システムからログアウトし、後で再度sshdログインすると、前回のログイン以降にログイン試行が何度も失敗したことがわかります。したがって、fail2banログがあるはずです。しかし、私はそれらを見つけることができないようです。 誰かがこの設定を取得してfail2ban追跡可能なログを生成する方法を教えてもらえますか?
15 ssh  centos  openssh  sshd  fail2ban 

2
sshホストをコンピューター上のすべてのユーザーに対してグローバルにする
そのため、SSHには特定のユーザーの設定を構成するこれらのファイルがあります。 ~/.ssh/authorized_keys ~/.ssh/config ~/.ssh/id_rsa ~/.ssh/id_rsa.pub ~/.ssh/known_hosts configやなどのこれらのファイルの一部をグローバル化したいknown_hostsです。他のユーザー(rootを含む)が構成済みのホストを共有できるようにします。 これを行う最良の方法は何でしょうか?

1
sshdの完全な設定を表示する
OpenSSHデーモンには、その設定に多くの「デフォルト」値があります。したがって、sshd_configを確認しても、アクティブな設定の完全なセットが誰かに提供されるとは限りません。 完全なsshd構成を表示する方法(OpenSSH用)?

5
SSHサーバーが接続要求に応答しない
OpenSSHを使用して、ローカルマシンにSSHサーバーをセットアップしようとしています。リモートホストからローカルSSHサーバーにSSHで接続しようとすると、SSHサーバーが応答せず、リクエストがタイムアウトします。私は単にこれを見落としている、これに対する本当に明らかな修正があると確信しています。 リモートホストからSSHで接続しようとするとどうなりますか。 yoshimi@robots:/$ ssh -vv volt@99.3.26.94 OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to 99.3.26.94 [99.3.26.94] port 22. debug2: fd 3 setting O_NONBLOCK debug1: connect to address 99.3.26.94 port 22: Connection …
14 ssh  openssh 

1
SSH接続が開かれた後にポートリダイレクトを設定する方法は?
クライアントとサーバーの両方でopensshを使用しています。sshを介していくつかのポートリダイレクトを実行ssh -Lまたはssh -Rセットアップできることを知っています。ただし、これらはコマンドラインパラメーターであるため、このようなリダイレクトは、接続を開く前に記述する必要があります。 コマンドラインsshクライアントを使用して、オンザフライでポートリダイレクトを設定できますか? PuTTYsshクライアントを使用すると、接続が既に開かれているときに、ドロップも再接続もせずに、ポートリダイレクションをインタラクティブにセットアップできました。したがって、技術的に可能であることがわかりました。

3
SSHDの「一致グループ」から除外する方法は?
SSHD構成に一致グループがあります。 cat /etc/ssh/sshd_config ... Match Group FOOGROUP ForceCommand /bin/customshell ... マシンには「FOOGROUP」に属する多くのユーザーがいます。 私の質問:「FOOGROUP」に属する特定のユーザーを「Match Group」から除外するにはどうすればよいですか?
13 openssh  sshd 

4
OpenSSH RemoteForwardに動的に割り当てられたポートを決定する
質問(TL; DR) リモート転送(-Rオプション)のためにポートを動的に割り当てる場合、リモートマシン上のスクリプト(たとえば、からソース.bashrc)は、どのポートがOpenSSHによって選択されたかをどのように判断できますか? バックグラウンド 私は(両端で)OpenSSHを使用して、他の複数のユーザーと共有している中央サーバーに接続します。私のリモートセッション(今のところ)では、X、cups、pulseaudioを転送したいと思います。 最も簡単なのは、-Xオプションを使用してXを転送することです。割り当てられたXアドレスは環境変数に保存され、DISPLAYそこからほとんどの場合、対応するTCPポートを特定できます。しかし、Xlibが名誉を与えられてDISPLAYいるので、私はほとんど必要としません。 cupsとpulseaudioにも同様のメカニズムが必要です。両方のサービスの基本は、それぞれ環境変数CUPS_SERVERとの形式で存在しPULSE_SERVERます。次に使用例を示します。 ssh -X -R12345:localhost:631 -R54321:localhost:4713 datserver export CUPS_SERVER=localhost:12345 lowriter #and I can print using my local printer lpr -P default -o Duplex=DuplexNoTumble minutes.pdf #printing through the tunnel lpr -H localhost:631 -P default -o Duplex=DuplexNoTumble minutes.pdf #printing remotely mpg123 mp3s/van_halen/jump.mp3 #annoy co-workers PULSE_SERVER=localhost:54321 mpg123 mp3s/van_halen/jump.mp3 …

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.