問題タブ [sshd]

cygwinプロンプト（管理者権限で開始）に入りssh-host-config、権限の分離、新しいローカルアカウントsshd、sshdをサービスとしてインストールすることに「はい」と答えました。デーモンの CYGWIN に値を入力しませんでした。別の名前を使用するために no と入力しました。はい。新しい特権ユーザー アカウントを作成します。

私services.mscはサービスを開始できません：

cygwin プロンプトで、net start sshd以下を生成します。

cygwin プロンプトで、cygrunsrv -S sshd以下を生成します。

私の /var/log/sshd.log には次のように書かれています:

この問題に関連するSOの質問と一般的なインターネットを検索しましたが、私の質問をユニークなものにしているのはsshd.logと関係があると思います。これを受け取った人を他に見つけることができません。

WindowsにHadoopをインストールするためにこれを行っています。すべてが行き詰まるため、この低速のコンピューターでは仮想マシンを実行できません。

X-Instance-IdentityJenkins SSHDの使い方がわかりずらいので、トップページを閲覧するとヘッダーにRSAキー(publickey?)が表示されています。

問題は、これを使用する方法が明確でないことです。

~/.ssh/id_rsa_jenkins最初にJenkins構成のSSHDポートを8822に設定した後、明白なことを試し、それを追加してから接続を試みました

(そして代わりに)

ただし、これらの接続試行の両方で、持っていないパスフレーズを求められます (ユーザー ログインを使用しようとすると失敗します)。

誰にもアイデアはありますか？

EC2 インスタンスへのパスワード ログインを許可したいと考えています。/etc/ssh/sshd_config でこれを制御するのはどの行で、何を設定する必要があるかはわかっています。具体的には：

ただし、保持しているマスター イメージにこれを設定した場合でも、それを新しいインスタンスに復元するたびに、行の値が「いいえ」にリセットされ続けます。つまり、新しいインスタンスを起動するたびに、このファイルを手動で変更する必要があります。これにより、インスタンスの自動化が完全自動化から一歩遠ざかりました。

マスター イメージから作成したすべてのインスタンスが sshd_config ファイルを好きなように残すには、マスター イメージに対して何をする必要がありますか?

これは、独自のソフトウェアやその他のソフトウェアで完全に構成された Fedora 16 イメージです。

Mac OS X で nc ユーティリティを使用しているときに、ちょっとした問題が発生しました。このユーティリティは、ポートが開いているかどうか、およびデーモンが実行されているバージョンを確認するための迅速で汚れたソリューションとしてよく使用します。

先日、新しいコンピューターのセットを展開しました。椅子を離れることなく、実行されている sshd のバージョンを確認したかったのです。

これは私が実行したコマンドと結果の出力です:

183 で最初のマシンを見つけ、デーモンのバージョンを返します。sshd が 184 で実行されているようには見えませんが、185 に達すると停止するだけなので、ctrl+c で強制終了する必要があります。

nc のマニュアル ページを理解しているので、「-w」スイッチを使用するとタイムアウトするはずですが、そうではありません。複数のマシンからの同じ問題。

これは単にマニュアルページを誤解しているだけですか? 応答がない場合、X 秒後に nc をタイムアウトにする他の方法はありますか? Mac OS X の組み込みツールを使用してこれを行う他の方法はありますか?

また、「-z」スイッチのみを使用して nc を実行してみましたが、同じ結果が得られました。マシンは本番環境に配置されているため、nmap などのサードパーティ アプリケーションをインストールすることはできません。

この質問に回答があった場合は申し訳ありませんが、検索しましたが、これに対する解決策が見つかりませんでした。

次のライブラリJSCH、Apacheのsshd、およびsshjを使用して、SSHでいくつかの問題に遭遇しました。exec channel私が実行したコマンドからの出力を読み込もうとすると、それらはすべてブロックされ、最終的にタイムアウトになります。問題は、これは OpenSSH 4.5 サーバーがインストールされている一部のルーターでのみ発生することです。クライアントは、可能性のある最新バージョンの OpenSSH をインストールした仮想ボックスで完全に動作します。

Apache MINA SSHD を使用すると、クライアントは次のようになります。

私は Eclipse でデバッグしており、WireShark を使用して、送信されたメッセージと受信されたメッセージを観察していますが、すべて問題ないようです。DH交換はうまくいきますが、authもうまくいきますが、仮想ボックス（動作する場所）でexecチャネルを開こうとすると、次のようになります：

.....
.....
受信 SSH_MSG_USERAUTH_SUCCESS
チャネル 101 で SSH_MSG_CHANNEL_OPEN を送信

サーバーから受け取る応答は次のようになります。

5b 00 00 00 65 00 00 00 00 00 00 00 00 00 00 80 00
5b は、SSH_MSG_CHANNEL_OPEN_CONFIRMATION
00 00 00 65 はクライアントが送信したチャネルです (もちろん 101)
00 00 00 00 は、サーバーが割り当てたチャネルです
00 00 00は初期ウィンドウ サイズです
。00 00 80 00 は最大パケット サイズです。

初期ウィンドウ サイズは 0 であるため、最初にSSH_MSG_CHANNEL_WINDOW_ADJUSTメッセージを受け取り、次に を受け取りますSSH_MSG_CHANNEL_SUCCESS。これは、要求 (コマンド) が正常に実行されたことを意味します。SSH_MSG_CHANNEL_REQUESTを含むexit-status 0とコマンドのSSH_MSG_CHANNEL_DATA結果を含む は、ls後で期待どおりに交換されます。

OpenSSH 4.5 を搭載したルーターでは、5b メッセージが少し異なって見えます。

5b 00 00 00 65 00 00 00 00 00 02 00 00 00 00 80 00

ご覧のとおり、初期ウィンドウが設定されているため、 を受け取る必要はありませんSSH_MSG_CHANNEL_WINDOW_ADJUST。私は を受け取りSSH_MSG_CHANNEL_SUCCESS、それだけで停止します。前の例に示すように、SSH_MSG_CHANNEL_REQUESTコマンドの終了ステータスを含むもの、または を受け取りません。SSH_MSG_CHANNEL_DATAWiresharkはそれを確認します。

なぜこうなった？SSH_MSG_CHANNEL_SUCCESSリクエストが成功したことを確認するを受け取ったのに、どうして結果を受け取れないのですか?

これは、私が使用するすべての異なるクライアント ライブラリで発生し、どういうわけかタイムアウトします。チャネルを開けば問題なく動作shellしますが、インタラクティブ セッションは使用したくありません。各行を読む必要があるページが多いコマンドについては、続行するために何かを押す必要があるかどうかなどを確認してください。

私はあきらめるべきですか？execたぶん、OpenSSH 4.5 はチャネルを許可していませんか? エラーが出ないのはなぜですか？

アイデアは、Windows ボックス (sshd) でサービスとして実行されている cygwin デーモンに接続するときに表示される CYGWIN 警告を取り除くことです。

問題のあるケース:

この警告により、実行されたリモート コマンドが「0」ステータス コードではなく警告を返す可能性があります。

この警告は、CYGWIN 環境変数に次の値を設定するように指示しています: "nodosfilewarning"

問題は、次のいずれかの場所に設定しても、リモート環境に入らないことです。

• Windows ユーザー環境変数
• Windows システム環境変数
• ~/.bashrc
• ~/.profile
• /etc/bashrc
• /etc/プロファイルなど

テストケース：

CYGWIN 環境変数には、設定した場所に関係なく、適切な値が含まれることはありません...

私はレガシープロトコルを持っています。認証のサポートもセッションのサポートもありません。クライアントからサーバーにクリアテキストで送信されるコマンドは何でも簡単に実行でき、サーバーは受け取ったものを喜んで実行します。オートキューから..

1 つの解決策は、tls を使用してレガシー サービスを再実装することです。これはうまくいくでしょうが、それは苦痛の世界になる可能性があり、もっと簡単なものを見つけたいと思っています. 私は ssh よりも tls を好む議論を知っています。この場合、簡単な勝利よりもわずかな改善である、より大きなリスクの高い再実装よりも簡単で大きな改善を好むという議論もあります。

私は考えています：

• /etc/passwd shell=/usr/bin/legacy-protocol-handler で「プロトコルユーザー」を作成します
• クライアントは ssh 経由で接続し、コマンドをシェルに書き込むことでコマンドを送信します
• sshd はプロトコル ハンドラー (ユーザー シェル) を実行し、コマンドを渡します。
• プロトコル ハンドラがコマンドを処理し、応答を返し、電話を切る
• sshd は応答をマーシャリングし、ネットワーク経由で送信します
• これにより、認証とトランスポートの暗号化が解決され、プロトコルハンドラーのコードをほとんど変更していません

この一般的な考え方は、上記よりもさらに簡単です。UNIX ユーザー システムは、シェルの代わりにカスタム プロトコル ハンドラを実行するためだけに使用されています。接続ごとにプロトコル ハンドラを実行します。例: ssh-listen --port 1224 --accept-only-this-user publickey.bin --execute /usr/bin/legacy-protocol-handler

質問：

• これは合理的な解決策ですか（意図したとおりにsshdを使用していないようです..）
• このアプローチの欠点は何ですか
• 同様の努力に対して立派なセキュリティを得るより良い方法はありますか
• sshd を通過する代わりに tls リスナーを使用できる同様のアプローチはありますか

他のサーバーのセットに接続を転送しているサーバーがあります。

ここでは、すべての着信接続を転送します。

my.tunnel.com:33199 から my.server2.com:52222 へ

と..

my.tunnel.com:33200 から my.server3.com:52222

.. それまで

my.tunnel.com:XXXXX から my.serverN.com:52222

トンネル my.tunnel.com を除く各サーバーで次のコマンドを実行して、これを開始しています。

うーん、これはうまくいきます！

しかし！

これらの各コマンドを起動する時点で、my.tunnel.com で、my.server2.com が my.tunnel.com をポート 33199 から正確に転送することを望んでいることを確認したいと思いますが、別のポートではありません! この時点で、このポート番号を取得したいと思います。

問題がまだ十分に明らかにされていない場合はお知らせください。

ありがとう！

/var/log/secure に次のエラーがあるため、SSH にログインできません (デバッグ ログによると):

rootに次の権限を設定しています

ls -lah は、こ​​れらのディレクトリに対して次の出力を提供します。

問題なく別のサーバーをセットアップしたので、使用しているキーが正しいことはわかっています。

私は実行しています: CentOS リリース 6.4 (最終版)

問題を引き起こしている可能性のある設定ミスがある場合に備えて、sshd 設定を追加しました。

どんなアイデアでも大歓迎です。