Tag: ssh

12.04LTS – 无法打开与您的身份validation代理的连接

我正在为新的Linode Ubuntu 12.04LTS部署添加ssh身份validation。 我按照他们的指导 ,直到我需要用我现在刚刚添加的ssh密钥ssh到框中,但我反而得到: "Error: agent admitted failure to sign using the key" 这很好, Ubuntu OpenSSH指南说,你需要做的就是运行 ssh-add 在服务器上,你会成为金。 除了当我这样做,我得到 Could not open a connection to your authentication agent. 我仔细检查了一下进程,确实看起来好像ssh-agent已经运行了(实际上是两次,因为我试过了eval技巧 ,根本不起作用): alex@mybox:~$ ps aux | grep ssh root 2645 0.0 0.1 49948 776 ? Ss Mar13 0:00 /usr/sbin/sshd -D alex 16989 0.0 0.0 12492 324 […]

我如何使用Puppet在系统重build中维护SSH主机密钥?

我有几个实验室环境,定期重build计算机,但需要保持相同的SSH主机密钥,以便连接到实验室计算机的人员(通常来自他们自己的系统,而不是我的pipe理员)不会得到“每次我们升级实验室系统的操作系统时,主机密钥都会改变“错误。 (这与处理SSH主机validation错误的最stream畅的工作stream程类似,但在这种情况下,我们已经决定在系统重build中维护相同的密钥对我们来说是最好的解决scheme。 现在,我有一个名为ssh的Puppet模块,其中包含以下子句: file { "/etc/ssh/": owner => 'root', group => 'root', mode => '0644', source => "puppet:///modules/ssh/$fqdn", recurse => true, require => Package['openssh-server'], notify => Service['sshd'], } 在puppet master上,每个主机都有自己的目录,包含所有主机密钥文件( ssh_host_key , ssh_host_dsa_key , ssh_host_rsa_key等),如file资源定义所暗示的。 我的问题是,这感觉就像混合代码和数据(因为所有的主机密钥都在一个模块目录内),每次添加一组新的主机时,我必须再次提交到Puppet VCS。 有没有更好的方法来pipe理这些事情?

rsync连接closures一个小时左右

我在cron中运行一些命令,通过两个数据中心进行rsync。 数据中心之间的连接速率约为1Mbps。 我注意到,rsync保持大约2.7GB到2.9GB的传输数据,这可能相当于大约一个小时或更长的连接。 我知道在过去我们的防火墙被configuration为closures已经打开了一个多小时的空闲连接。 但是,一个rsync传输真的是空闲? 我能做些什么来解决这个问题? 错误: rsync:连接意外closures(到目前为止收到2987596424个字节)[receiver] rsync错误:在io.c(605)[receiver = 3.0.9]的rsync协议数据stream(代码12) rsync:连接意外closures(到目前为止收到523个字节)[生成器] rsync错误:在io.c(605)[generator = 3.0.9]的rsync协议数据stream(代码12) 我已经在我的〜/ .ssh / config(但也许这些值需要增加?): Host * ServerAliveInterval 60 ServerAliveCountMax 15

SSH + RC4密码:究竟有什么危险?

我有一种情况,慢Windows机器需要通过SSH定期自动连接到另一台机器。 在这台慢速机器上SSH的性能非常糟糕,实际上成为了一个问题。 我已经build议用更快的机器replace问题机器,但已经被击落。 我正在考虑用慢速机器上的SSH来试用arcfour -aka RC4-sher。 我已经读过,它不太安全,但比AES或河豚还要快。 那么究竟会有哪些风险呢? 我的理解是,SSH提供以下三项安全性: 通过SSH传输的数据的隐私 服务器的保证,客户是谁他/她自称。 即有效的用户名+密码/ SSH密钥组合。 通过服务器的/ etc目录中的密钥来向服务器机器声称是客户端。 对于我的具体情况来说,我们可以以低安全性排名第一,排名第二的是麻烦而不是交易断路器。 对于这个特别慢的机器,#3也是可以接受的。 但是我担心#3会影响其他客户。 在服务器上连接到的帐户是非特权的,并且已经被locking得非常好,所以作为该用户连接的任何人都不应该能够做出明显的事情,比如服务器上的更改关键文件。 但是,如果攻击者能够破解使用较弱的RC4会话进行的交易,那么攻击者是否可以对服务器密钥进行一些深入的了解? 上述三个方面中的哪一个使用较弱​​的密码会有危险? PS:SSH的连接共享function可能是最好的答案,但不幸的是似乎不支持在Windows上。 此外,使用河豚密码,而不是AES提供了一些改进,但它仍然很糟糕。

阻止用户访问控制台,但仍允许svn + ssh://访问SVN回购

我在我的服务器上创build了一个用户john ,并将他添加到SVN组中,以便我们可以共享我们的代码,一切都看起来不错。 现在我想阻止这个用户通过SSH连接到控制台或shell。 在/etc/ssh/sshd_confing文件中添加以下/etc/ssh/sshd_confing行: Match User john ForceCommand svnserve -t 我想问问我的configuration是否足够安全? 通过SSH的SVN命令正常工作。 当他尝试连接时,他会得到: blueprint:~ john$ ssh john@91.***.***.96 -p **5 john@91.***.***.96's password: ( success ( 2 2 ( ) ( edit-pipeline svndiff1 absent-entries commit-revprops depth log-revprops partial-replay ) ) ) ^CConnection to 91.***.***.96 closed. blueprint:~ john$ 我有两个问题: 是这个吗? 有没有办法让john以某种方式login我的服务器? 在服务器上是否存在一个选项来返回给他一个不错的消息You do not have permission to login! […]

如何debugging零星的出站连接超时?

我无法通过SSH连接到远程主机。 我只是把问题的范围缩小到我的本地主机,因为其他客户端每次都进行名义(快速和稳定)的连接。 尝试从localhost通过SSH连接到remotehost.example.net将超过10次尝试中的任何一次(它在此挂起,然后超时): 515 chris@localhost ~ $ ssh -vvv remotehost-root OpenSSH_6.4, OpenSSL 1.0.1e 11 Feb 2013 debug1: Reading configuration data /home/chris/.ssh/config debug1: /home/chris/.ssh/config line 43: Applying options for remotehost-root debug1: Reading configuration data /etc/ssh/ssh_config debug2: ssh_connect: needpriv 0 debug1: Connecting to remotehost.example.net [123.123.123.123] port 12345. ^C localhost是一个最新的Arch系统: 517 chris@localhost ~ $ uname -a Linux localhost […]

在远程主机上运行Ansible ping失败,出现未知的SSH错误

我试图做一个Ansible ping ansible ansible all -m ping –ask-pass但是我得到SSH失败。 由于debugging日志是相当广泛的,我已经把下面的报价减less到了我认为问题发生的地方。 在日志之前,我可以连接到远程主机(一个无头RHEL5虚拟机),但实际执行“ping”时,会失败,出现下面的错误。 debug1: Entering interactive session. debug2: set_control_persist_exit_time: schedule exit in 60 seconds debug1: multiplexing control connection debug2: fd 4 setting O_NONBLOCK debug3: fd 5 is O_NONBLOCK debug3: fd 5 is O_NONBLOCK debug1: channel 1: new [mux-control] debug3: channel_post_mux_listener: new mux channel 1 fd 5 debug3: mux_master_read_cb: […]

不能强制ssh使用特定的密钥

我试图指定要使用的密钥,但由于某些原因,ssh仍使用不同的密钥,如下所示 $ cat ~/.ssh/config Host BitBucket HostName bitbucket.org IdentityFile ~/.ssh/id_rsa $ ssh -v git@bitbucket.org OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011 debug1: Reading configuration data /Users/gaurish/.ssh/config debug1: Reading configuration data /etc/ssh_config debug1: /etc/ssh_config line 20: Applying options for * debug1: Connecting to bitbucket.org [131.103.20.167] port 22. debug1: Connection established. debug1: identity file /Users/gaurish/.ssh/id_rsa type 1 debug1: […]

如何使AWS EC2 Ubuntu Server脱离“停止”状态?

我今天早上无法在EC2上的SSH或SFTP到我的Ubuntu的服务器。 应该指出的是,到目前为止,SSH和SFTP工作正常。 为了解决这个问题,我做了以下工作: login到AWS并去我的实例。 我的例子说,它正在运行,并通过了所有的检查。 我从AWS控制台重新启动实例,但SSH和SFTP仍然不可用。 我select“停止”,认为我可以停下来,然后再次启动实例。 此时实例进入“停止”状态,但从未进入“停止”状态。 我的EC2实例现在挂在“停止”状态。 现在已经挂了90多分钟了。 我如何让我的实例退出“停止”状态,这样,它停止?

openssh sftp chroot:两个访问级别

我想用OpenSSH的internal-sftp,chroot和Match指令来实现以下function: 属于sftpuser组的用户应该具有对/ srv / sftp / {username}的读写权限(或者类似的,某些技巧可以为chroot用户提供一个更好看的目录结构) 属于组sftpadmin的用户应具有对/ srv / sftp和子目录(即所有其他用户目录)的读写权限。 属于sftpadmin或sftpuser的所有用户都是sftp专用用户。 所以不用担心炮弹等 / srv / sftp需要由sftpadmin用户拥有,才能被chrooted到该文件夹​​。 / srv / sftp / {username}也需要由root拥有才能将sftpuser用户chroot到那个文件夹。 我应该如何最好地授予sftpadmin用户访问根拥有/ srv / sftp / {用户名}目录? 我可以在根权限之上使用ACL吗?

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.