问题标签 [openssh]

我不是网络安全方面的专家，所以如果这个问题不是很聪明，请原谅:)。我正在使用 ssh 自动登录某些机器。我目前正在避免使用StrictHostKeyChecking no.
我天真地理解有人可以冒充服务器，如果是这种情况，我冒着丢失密码的风险。但是，如果我只使用基于公钥/私钥的身份验证（ using PasswordAuthentication no），入侵者还会造成伤害吗？

所以基本上，有ssh -o "StrictHostKeyChecking no" -o "PasswordAuthentication no"：

1) 入侵者可以破译我的私钥吗？

2) 是否存在其他安全威胁？

问候，

J.P

我是一个尝试 SSH 的新手。场景是我有 2 台机器 - Windows 7 PC（桌面）和 VMWare 机器（Windows 7）。Cygwin 安装在两者上。我正在尝试将 VMWare 机器连接到桌面。我已经在桌面服务器上安装了 OpenSSH 服务器。我使用 netstat 验证它正在运行。我修改了 Windows 防火墙，将入站规则添加到允许端口 22 的连接。

我的问题是我无法从 VMWare 机器连接。

我究竟做错了什么？我有哪些配置选项？任何链接或答案都会有所帮助。

谢谢你。

西马

我们在 Windows Server 2003 Enterprise 上使用 Git + OpenSSH 设置了 Hudson，并且它工作了一段时间。然后突然，它开始在克隆期间一直挂在 12%，我们怀疑文件可能太大了。（它在所有其他机器上仍然可以正常工作，Windows Server 2003 标准，Windows 7 企业版），只有这台服务器。

所以我们切换到了 Putty 而不是 OpenSSH，它在 gitBash 和 gitExtensions 上工作，但在 Hudson 上仍然失败。因为我已经读到对于 plink 正确加载 ssh 密钥存在一些问题，所以我将 GIT_SSH 设置为一个脚本，该脚本将使用密钥加载 putty 并且可以从 gitBASH 正常工作，但它仍然无法使用 Hudson。

这是使用 PUTTY 失败的输出：

我们对我们的 SSH 协议并不严格，只要它有效，如果有人能告诉我为什么使用 openSSH 会失败，或者为什么 Hudson 使用 putty 和任何解决方案失败，我将非常感激！

如果网络速度低于 1kb/s 那么为什么 SFTP 连接失败的频率更高。

如果我提高网络速度，则没有 sftp 连接失败。

如何在没有提示输入密码的情况下使用 rsync 从 php 脚本中同步本地和远程文件夹？

我已经设置了一个公钥来为我的用户自动登录远程服务器。

所以这从cli运行没有任何问题：

但是，当我尝试从 PHP 脚本（在我本地服务器的网页上）运行相同的脚本时：

这是我收到的：

并且没有文件从本地上传到远程服务器。

在网上搜索我发现了这个线索：

“您可以在此处使用 BAsh 和 Expect shell 代码的组合，但它不是很安全，因为这会自动进行 root 登录。为nobodyor apache（执行 Apache 的任何用户）生成密钥。或者，安装 phpSuExec 、Suhosin 或 suPHP，以便脚本以调用它们的用户身份运行。”

好吧，我不知道如何为作为“apache”运行的 PHP“自动化 root 登录”。也许让脚本以实际用户身份运行是一个更好的主意，我不知道......谢谢！

更新： - 因为这工作正常：

返回一个家庭目录，我可以肯定，自动登录没有问题。它主要是从 PHP 脚本运行 rsync 的东西。

• 为了以防万一，我在本地和远程文件夹上也有 chmod -R 0777 。但我还没明白。

更新：

所有问题都与“在命令行上运行时，ssh 使用 $HOME/.ssh/ 上的密钥文件，但在 PHP 下，它使用 Apache 的用户运行，因此它可能没有 $HOME；更不用说 $ HOME/.ssh/id_dsa。所以，要么你明确告诉它要使用哪个密钥文件，要么手动创建该目录及其内容。

虽然我无法获得 rsync，但这就是我将文件从本地传输到远程的方式：

本地文件需求：0644 远程文件夹需求：0775

我想如果解决方案不是使用相同的用户 bash 运行 php ......

@Yzmir Ramirez 给出了这个建议：“我认为您不想“将密钥复制到 apache 可以访问它的地方”——这是违反安全规定的。最好将脚本更改为以安全用户身份运行，然后设置 .用于服务器之间无密码登录的 ssh 密钥。

这是我必须投入更多时间的事情。如果有人知道如何做到这一点，请，这将是很大的帮助。

问题是：某些 SFTP 连接在客户环境中失败但是如果我使用相同的服务器进行测试，则使用示例代码没有连接失败。可能在客户环境中一次启动多个并行 sftp 连接。

我想知道 MaxStartups 是什么意思 10:30:60

在上面我只知道 10 ，这意味着允许的最大未经身份验证的 ssh 连接。意味着同时 12 个 sssh 连接请求来 2 个请求失败和 10 个成功。

30 和 60 的意思是什么？

我正在为 SSH 编写一个 PAM 模块来强制执行一层身份验证。为此，我需要 PAM 模块中的 close_session() 和 pam_sm_setcred() 函数中的终端 ID，而 OpenSSH 将其硬编码为“ssh”。我对 OpenSSh 代码做了一些更改，因此它可以正确设置终端 ID。这些变化是：

在 session.c 的 session_pty_req(Session *s) 函数中添加 do_pam_set_tty() 并在 monitor_wrap.c 的 mm_pty_allocate() 函数中添加 do_pam_set_tty()

它适用于 root 并且我在 pam_sm_cred() 和 pam_sm_close_session() 函数中获得了适当的 tty。

但是使用相同的代码，当我尝试通过非 root 帐户进行 ssh 时，我在 pam_sm_close_session() 中获得了 tty，但在 pam_sm_cred() 中没有。我不确定为什么 ssh 对于 root 和非 root 帐户的行为不同。

是否有任何东西会触发 root 和非 root 帐户的 SSH 行为，或者任何人都可以建议我这里有什么问题。我不知道我该如何继续，如果有人能给我一些指示，那就太好了。

我不能从客户端“A”通过 ssh 到服务器“B”（但我可以从同一子网中的许多其他 ssh 客户端而不是“A”——都是 *nux 机器）

serverA>ssh -v -p 端口用户@serverB

我已经在客户端 A 上检查了以下这些点 - 因为服务器 A 看起来很重要 - ：

• user_A/.ssh 目录权限：700（见 man ssh）
• user_A/.ssh/known_hosts 权限：644（见 man ssh）
• user_A/.ssh/known_hosts：不内容 serverB 托管公钥
• otherusers/.ssh/known_hosts：不内容 serverB 托管公钥

我试过了 ：

• 删除服务器 A 上的 known_hosts：仍然存在相同的错误
• 清空服务器 A 上的 known_hosts：同样的错误
• 检查主机密钥名称是否与 ssh 服务器配置匹配：ok (HostKey /etc/ssh/ssh_host_rsa_key)
• 重新生成服务器 B 主机密钥（ssh-keygen -t dsa/rsa -f /etc/ssh/ssh_host_dsa/rsa_key）：同样的错误
• serverB 上的 ssh -p PORT me@localhost：它也像其他 ssh 客户端一样工作

所以我现在真的很累！ssh 专家欢迎回家。

提前谢谢

直到今天，我一直可以使用bzr pull server:path/to/trunk，但是今天我得到一个错误：

目前尚不清楚为什么会发生此错误，但这是从~/.bzr.log

关于如何解决这个问题的任何想法？

我安装了基于 sshd 服务的 freeNX（远程 GUI 访问）。这意味着应该为所有可以访问 freeNX 的用户分配一个启用 ssh 的帐户。

但我不希望部分/所有这些用户通过任何 ssh 客户端直接访问 sshd 服务。

我能做些什么？