瀏覽模式: 普通 | 列表

用scponly來限制只能ssh傳檔案,但無法ssh登入 (更新)

作者:cross 日期:2012-01-19 14:00

scponly是什麼

scponly : Restricted shell for ssh based file services

我可以用在什麼地方

今天假如我開放讓某個人可以ssh,但目的只是要抓檔案,我就可以用scponly來限制這個使用者只能抓,而無法登入主機操作了

環境 : server

CentOS release 5.7 (Final)
2.6.18-274.el5 #1 SMP Fri Jul 22 04:49:12 EDT 2011 i686 i686 i386 GNU/Linux

怎麼安裝

[閱讀全文]

標籤: scponly ssh
類別: Linux | 引用: 0 | 評論: 0 | 閱讀: 86 | 列印 | 文件 | 轉發

如何在ssh登入主機遠端主機時不要有key的檢查

作者:cross 日期:2012-01-03 09:16

第一次登入的情況

[root@xx1 ~]# ssh 1.1.1.1
The authenticity of host '1.1.1.1 (1.1.1.1)' can't be established.
RSA key fingerprint is 5d:72:df:77:24:a9:80:e6:d1:23:68:4f:d9:42:6b:44.
Are you sure you want to continue connecting (yes/no)?
第二次登入,但已是不同key了的情況

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
e1:9b:5c:16:a6:cd:11:10:3a:cd:1b:a2:16:cd:e5:1c.

[閱讀全文]

標籤: ssh key login
類別: Linux | 引用: 0 | 評論: 0 | 閱讀: 176 | 列印 | 文件 | 轉發

設定ssh連線30分鐘後沒有動作就自動斷線

作者:cross 日期:2011-12-26 23:59

想讓ssh在無動作之後一段時間可以自動中斷連線,這樣子也可以顧及安全性

試過 /etc/ssh/sshd_config的 ClientAliveInterval 60、及 /etc/ssh/ssh_config 的 ServerAliveInterval 60,似乎都無法達到我的目的,

試著下列設定方式
echo "TMOUT=1800" >> /etc/bashrc
echo "readonly TMOUT" >> /etc/bashrc
echo "export TMOUT" >> /etc/bashrc

登出再登入測試即可達到目的

標籤: ssh session timeout
類別: Linux | 引用: 0 | 評論: 0 | 閱讀: 112 | 列印 | 文件 | 轉發

把 ssh public key 遠端複製過去 (另一種方式)

作者:cross 日期:2011-10-26 14:32

續 : http://ssorc.tw/rewrite.php/read-44.html

執行

ssh-copy-id -i ~/.ssh/id_dsa.pub  10.10.10.135

輸入密碼

21
root@10.10.10.135's password:
Now try logging into the machine, with "ssh '10.10.10.135'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

public key 就會附加在 ~/.ssh/authorized_keys 底下了
標籤: ssh public key key
類別: Linux | 引用: 0 | 評論: 0 | 閱讀: 230 | 列印 | 文件 | 轉發

ssh搭配pam_tally2讓使用者登入,幾次失敗就鎖定時間,過了才可再次登入

作者:cross 日期:2011-04-28 14:58

pam_tally2 是 linux 的pam中用來限制存取次數的一個模組

編輯 /etc/pam.d/sshd,在最前面加入

auth     required      pam_tally2.so deny=1 lock_time=60

我測試了

1. 使用 cross 登入
2. 使用 root 登入
3. 使用 cross 登入,切換 su -

以上三種情況,皆會因為1次密碼失敗後,鎖定60秒後才可再讓你使用正確的密碼登入

在 /var/log/secure裡可以看到它在倒數 (如果一直重試登入,它會顯示還有多久時間解鎖)

[閱讀全文]

類別: Secutiry | 引用: 0 | 評論: 2 | 閱讀: 771 | 列印 | 文件 | 轉發

SSH 幾項安全性設置

作者:cross 日期:2011-04-27 00:19


。/etc/nologin - 這個檔案存在的話,就表示只讓root可登入,其它人完全不行,直接拒絕掉

。只讓root及cross可登入,其它人不行
# 在 /etc/ssh/sshd_config 裡設定
AllowUsers root cross

# 重啟 sshd
service sshd restart

。五分鐘閒置就自動踢出

# 在 /etc/ssh/sshd_config 裡設定
ClientAliveInterval 300
ClientAliveCountMax 0

。不允許root登入

[閱讀全文]

類別: Secutiry | 引用: 0 | 評論: 0 | 閱讀: 1128 | 列印 | 文件 | 轉發

防ssh的暴力式攻擊-DenyHosts

作者:cross 日期:2011-04-17 23:45

1。DenyHosts 可以防ssh被攻擊
2。搭配tcpwrap 將來源ip擋住
3。根據 /var/log/secure裡的資訊來判斷是否要阻擋

安裝很簡單,不外乎就是yum 啦 , configure啦

設定的話,最好先給 /etc/hosts.allow 一個允許的來源

sshd: 10.1.1.xx

啟動的話就是

/etc/init.d/denyhosts start
chkconfig denyhosts on

而設定檔 /etc/denyhosts.conf

[閱讀全文]

類別: Secutiry | 引用: 0 | 評論: 0 | 閱讀: 486 | 列印 | 文件 | 轉發