タグ付けされた質問 「sshd」

セキュアシェル(SSH)デーモン

1
sshdの完全な設定を表示する
OpenSSHデーモンには、その設定に多くの「デフォルト」値があります。したがって、sshd_configを確認しても、アクティブな設定の完全なセットが誰かに提供されるとは限りません。 完全なsshd構成を表示する方法(OpenSSH用)?

1
「who -a」コマンドの出力を理解する
私はこの質問をしています。なぜなら、インターネットにwho -aは選択肢があることを示す多くの答えがありますが、誰も出力の読み方を説明していないからです。これを説明するオンラインサイトへのリンクを提供できれば、それも同様に素晴らしい答えでしょう。解読したい例を次に示します。 [bo@hostname ~]$ who -a Jun 17 03:47 590 id=si term=0 exit=0 system boot Jun 17 03:47 run-level 3 Jun 17 03:47 last=S Jun 17 03:48 4424 id=l3 term=0 exit=0 LOGIN tty1 Jun 17 03:48 5503 id=1 LOGIN tty2 Jun 17 03:48 5504 id=2 LOGIN tty3 Jun 17 03:48 …
14 sshd  utilities 

3
特定のユーザーのみが1つのポートでsshを介してログインし、他のユーザーが別のポートを介してログインできるようにする
次の使用例があります。 ユーザーが安全で信頼できるネットワークからログインできるようにする必要がある そして、2人(2人のみ)のモバイルユーザーがLinux Centosマシンにリモートでログインできるようにします。 sshdを異なるポートで実行できます。例: 内部からは、他のポートに接続させたくないので、22で実行してもかまいません(スクリプトを台無しにします)。 外部のモバイルユーザーの場合、別のポート、たとえばポートXでsshdを実行します(セキュリティの強化-これは小規模オフィスのセットアップです)。 セキュリティを強化するために、ポートXの特定のユーザーのみにアクセスを許可するようにsshdを構成したいと考えていました(そして、ユーザーがポートXからログインしていることを知ることができるようにアラートを構成します)。 ただし、sshdのドキュメントでこのような構成を見つけることができません。このような解決策がない場合、誰かがポートXでsshdログインを完了するたびに実行するシェルスクリプトをトリガーすることは少なくとも可能ですか?私はiptablesのドキュメントを見て、sshdログインがあるときにアラートをトリガーできるかどうかを確認していましたが、何も考えられませんでした。 入力を歓迎
13 centos  sshd 

3
SSHDの「一致グループ」から除外する方法は?
SSHD構成に一致グループがあります。 cat /etc/ssh/sshd_config ... Match Group FOOGROUP ForceCommand /bin/customshell ... マシンには「FOOGROUP」に属する多くのユーザーがいます。 私の質問:「FOOGROUP」に属する特定のユーザーを「Match Group」から除外するにはどうすればよいですか?
13 openssh  sshd 

3
ssh-add -Dはssh-agentから保存されたキーを消去しません
なぜこれが起こるのですか?: stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) stan@tcpc:~/.ssh$ ssh-add -D All identities removed. stan@tcpc:~/.ssh$ ssh-add -l 8192 e0:45:5e:cc:45:3e:17:2b:a6:54:6f:8d:53:1b:j2:e3 github (RSA) 2048 25:41:53:a6:45:5d:ac:eb:5c:45:f8:ce:42:a9:he:aa BITBUCKET (RSA) なぜキーが消去されないのですか? PSはこのバグである可能性がありますか?http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=472477 Arch Linuxを使っていますが...
13 ssh  openssh  sshd 

1
sshd_configのUselogin
私は私のsshd_configファイルを調べていましたが、これを見つけました: #Uselogin no 私はそれがコメントされていることを知っていますが、それ以上の説明はありませんし、グーグルで検索すると、これが得られます: 従来のlogin(1)サービスを使用してユーザーをログインしないでください。特権の分離を使用しているため、ユーザーがログインするとすぐにlogin(1)サービスが無効になります。 または login(1)が対話型ログインセッションに使用されるかどうかを指定します。デフォルトは「no」です。login(1)はリモートコマンドの実行には使用されないことに注意してください。また、これを有効にすると、login(1)はxauth(1)Cookieの処理方法を知らないため、X11Forwardingは無効になることに注意してください。UsePrivilegeSeparationが指定されている場合、認証後に無効になります。 理解noする限り、sshが「従来のログイン」を使用するのを防ぎますが、「従来の」ログインについては何も見つかりません。 誰かがそれが何をするのか説明できますか?
12 ssh  login  sshd 

2
sshエラーメッセージのチャンネル番号は何を指しますか?
以下の例では、チャンネル番号は何に対応していますか?サーバー上にあるのはどれですか?クライアントにはどちらがありますか? $ ssh -L1570:127.0.0.1:8899 root@thehost Password: Last login: Fri Aug 9 13:08:44 2013 from theclientip Sun Microsystems Inc. SunOS 5.10 Generic January 2005 You have new mail. # channel 2: open failed: administratively prohibited: open failed channel 3: open failed: administratively prohibited: open failed channel 2: open failed: administratively prohibited: …

2
CentOSサーバーにSSHで接続するときのデフォルトパスを変更しますか?
CentOS 5.7 Webサーバーを使用していますが、SSHを使用して接続するときに、デフォルトの場所を変更したいと考えています。 現在、私はに着陸し/home/username、/home代わりに着陸したいです。 私はルートとして入り、追加PermitUserEnvironment yesしました/etc/.ssh/sshd_config-そして、私はそれを理解しているのでssh、environmentファイルのユーザー自身のフォルダーをスイープします。export path=$PATH:$HOMEここで、または.bashrcまたは.bash_profileファイルのいずれかで動作しないように思えるので、私はこの環境ファイルに正確に追加するものについて確信していませんとにかく、SSH接続は非対話型のシェルですか?)。 前もって感謝します。
12 centos  ssh  sshd  home 

6
sshの終了後、sshコマンドが予期せず他のシステムで続行される
以下のコマンドを実行して、他のシステムの出力ファイルを監視しています。 ssh $ip_address 'for n in 1 2 3 4 5; do sleep 10; echo $n >>/tmp/count; done' ^Cログインしている端末を使用して、または単に端末を強制終了することによってsshコマンドを強制終了した場合、リモートコマンドも終了することを期待しています。ただし、これは発生しません。1から/tmp/count5までのすべての数値を取得しps -ejH、シェルとそのsleep子が実行を続けていることを示します。 これは予想される動作であり、どこかに文書化されていますか?無効にできますか?周りから読むと、私はこの種の動作をデフォルトではなく、nohupで明示的に有効にする必要があると予想していました。 私はsshとsshdのmanページを調べましたが、明らかなものは何も見つかりませんでした。Googleは、この動作をオフにするためではなく、オンにするための手順を示しています。 Red Hat Enterprise Linux 6.2を実行していて、両方のシステムでrootログインとbashシェルを使用しています。
11 ssh  rhel  openssh  sshd 

3
SSHでログイン遅延を提供する方法
sshを使用してログインしている間、ログインの遅延を提供したいと思いました。同じことを行う方法をいくつか試しましたが、望ましい結果が見つかりませんでした。 私は与えられたリンクによって提供されるステップを試みました。 http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables iptables -N SSH_CHECK iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK iptables -A SSH_CHECK -m recent --set --name SSH iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP 自分のマシンにPAMモジュールがインストールされていないため、PAMファイルに関連する変更を行うことができません だから、私に同じことをする他の方法を提案させてくれる体はありますか? 組み込みプラットフォームで実行しているLinuxカーネルのみを使用しています。
11 linux  networking  ssh  sshd 

2
IPv6でのSSHブルートフォース攻撃のブロック
最近、IPv6接続のあるサーバーを使用する必要があり、fail2banがIPv6をサポートしておらず、denyhostsもサポートしていないことを知って驚いた。グーグルで検索すると、人々は一般的に次のことをお勧めします: IPv6を介したsshログインの非アクティブ化(私にとっては解決策ではありません) サーバーで秘密鍵/公開鍵認証のみを使用し、パスワード認証を使用しない(機能しますが、攻撃が多いとサーバーの処理能力が高くなるか、DDoSを実行することでサーバーを使用できなくなる可能性があります) ip6tablesを使用して、同じIPからの連続した攻撃をブロックする IPv6をサポートするsshguardの使用 これまでに収集したものから、IPv6でのアドレスの禁止はIPv4での禁止とは少し異なります。これは、ISPがユーザーに単一のアドレス(/ 128)ではなく、サブネット全体(現在/ 48を持っている)を提供するためです。したがって、単一のIPv6アドレスを禁止することは、攻撃に対して効果がありません。私はip6tablesとsshguardブロッキングサブネットの攻撃の検出について高低を検索しましたが、何の情報も見つけることができませんでした。 sshguardがIPv6攻撃のサブネットを禁止するかどうか誰か知っていますか? 誰かがIPv6攻撃でサブネットを禁止するためのip6tables設定を行う方法を知っていますか? または、誰かが私がすでに見つけたものよりも攻撃を軽減するより良い方法を知っていますか? PS:私はシステムでCentOS 7を使用しています。
10 ssh  security  sshd  ipv6  ip6tables 

1
単一サーバーへの大規模な同時SSHを有効にする
私の目標は、1台のサーバーで10000の同時SSHを実行できるようにすることです。 簡単にするために、私はlocalhostにsshしています。 for i in `seq 1 10000`; do ssh localhost "echo ${i}; sleep 100" >>./info 2>>./log & done sleep 10010000番目のsshが起動したときに、1番目のsshがまだ接続されていることを確認するためです。これにより、実際には10000のsshが同時に 存在します。 そして、ここに私が得た2種類のエラーメッセージがあります: 1. ssh_exchange_identification: Connection closed by remote host 2. ssh_exchange_identification: read: Connection reset by peer 次の変更を行いました。 /etc/security/limits.confして/etc/security/limits.d/90-nproc.conf、ハードセットソフト&nofile&nproc65535(これは右の最大の可能な値である-更新:?なし最大値である。1048576) で/etc/sysctl.conf、kernel.pty.max = 65535 で/etc/ssh/sshd_config、を設定しMaxStartups 10000ます。 これらの変更により、1つのサーバーに対して1000の同時ssh s を正常に実行できますが、2000以上のssh s では機能しません。 一部の人々は、の値を変更することが示唆されているMaxSessions(?実際に私はその使用状況については明らかではないよ:どのように私の場合には影響を与え多重ん)、/proc/sys/net/core/netdev_max_backlogそして/proc/sys/net/core/somaxconn、彼らは違いはありませんように見えます。 …
9 ssh  sshd  ulimit 

5
iptablesでブルートフォースのsshをブロックできない
私のsshdサーバーに対するブルートフォース攻撃をブロック(スローダウン)しようとしています。私はこのガイドhttp://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/に従っています。基本的には、以下の2つのコマンドを入力するだけでよいと言っています。 sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP 私のsshdポートは6622なので、エントリを「22」から「6622」に変更し、それらのコマンドを入力しました。次に、新しいiptablesを簡単にテストしてみました。別のPCに行って、意図的に間違ったログインパスワードを何度か入力しました。残念ながら、新しいルールによって、思い通りに試すことができなくなっているようには見えません。以下は私の現在のルールです。何が悪いのですか? # iptables --list Chain INPUT (policy ACCEPT) target …
9 ssh  iptables  sshd 

2
ansibleがCentOS7のsshdを変更するたびに、ランダムな将来のプレイが接続できない
これは今や十分な苛立たしい問題であり、私は最終的にコミュニティ全体に可能な解決策が何であるかを尋ねようと思いました。私だけがこの問題を経験しているように見えるのはさらにいらいらします。 基本的に、CentOS 7.x、sshd構成、またはsshdの一部でいつでも変更され、デーモンが次の3分間の「ランダムなポイント」で再起動/再ロードされ、ssh接続がすべてリセットされ、そのサーバーがssh経由で数秒間到達できません。 これは特に、sshdに対してこれらの変更自体を実行し、それを再ロードする必要がある(たとえば、新しいCentOS 7xサーバービルドで)ansibleの問題です。しかし、その後のプレイでは、ランダムにsshに接続できず、接続に失敗したそのホストの残りのプレイブックやプレイを爆破します。これは、いくつかがランダムに完了するため、大規模なホストパターンでは特に悪いですが、その他は、sshdが操作された後、プレイブックのさまざまな段階で失敗します。CentOS 5x、6x、またはSolarisでも、このようなことは発生しないことに注意してください。 これを回避するために私ができる最善の方法は、sshdに変更を加えた後に90秒の待機を作成することです。これでも完全に確実なわけではありません。7〜8回呼び出された場合でも、プレイブックの実行には20分以上かかります。 この環境に関するいくつかの事実は次のとおりです。 新しいインストールはすべて公式のISO DVDからのものです。すべてのサーバーはhyper-v 2012ゲストですこの問題のあるすべてのサーバーはCentOS 7.xです 問題と実際の解決策の実際の出力は次のとおりです。 間違い: fatal: [voltron]: UNREACHABLE! => {"changed": false, "msg": "All items completed", "results": [{"_ansible_item_result": true, "item": ["rsync", "iotop", "bind-utils", "sysstat.x86_64", "lsof"], "msg": "Failed to connect to the host via ssh: Shared connection to voltron closed.\r\n", "unreachable": true}]} sshdへの変更の1つの例: …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.