wd and cc » ssh http://wdicc.com Happy every day... Wed, 01 Feb 2012 03:27:00 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 自动连接 ssh 并输入密码 http://wdicc.com/autossh-and-auto-enter-password/ http://wdicc.com/autossh-and-auto-enter-password/#comments Wed, 13 Oct 2010 09:11:27 +0000 wd http://wdicc.com/autossh-and-auto-enter-password/ xxxx 就行了,想 expect yyy 那就]]> 这年头不翻墙就看不到真像了,前几天整了个 ssh 代理,就研究了下自动登录。

ssh 自动登录首选就是使用 key 了,可对方不干,那就只能使用密码了。自动输入密码可以用 expect。查这个的时候发现了一个 expect-lite,发现也挺有意思的,他把写 expect 脚本简单化了,比如想 send xxx,那就用 >xxxx 就行了,想 expect yyy 那就 

spawn autossh -M 20000 -p SSH_PORT -N -D 7070 YOUR_NAME@YOUR_SERVER
set timeout 60
expect {
     assword: {
         stty -echo
         send "YOUR_PASS\r"
         stty echo
         #exp_continue
     }
    incorrect {
         send_user "invalid password or account\n"
         exit
     }
    timeout {
         send_user "connection to host timed out\n"
         exit
     }
    eof {
         send_user "connection to host failed\n"
         exit
     }
}
if {[fork]!=0} exit
disconnect

那里面那个 autossh 能自动给你重连,没仔细研究。那个 20000 后面的参数都是给 ssh 的,具体含意可以看 ssh 的 man。

最主要是最后那两行,能做到连接上之后主程序就退出了,不占用你的终端,而不影响 ssh 的连接。

]]> http://wdicc.com/autossh-and-auto-enter-password/feed/ 0 ssh 之穿越与反穿越 http://wdicc.com/ssh-proxy/ http://wdicc.com/ssh-proxy/#comments Thu, 21 Jan 2010 07:09:45 +0000 wd http://wdicc.com/ssh-proxy/ 有时候我们不得不和网管对着干,去想办法去穿越某些防火墙,访问到我们要访问的资源。例如下面的情况,A 和 C 之间是有个墙的,不通。可有个 B 能访问到 C,而 A 又能访问到 B ,那我们可以通过你 ssh 做代理穿越那个墙。

A -> | -> C
\-> B -> C

在A 上面执行下面的命令

ssh -f -N -g -L 8888:C_ip:80 B_ip
参数的含义:-f 放到后台
-N 不在对方机器请求 shell
-g 能使得别的机器能连接 A 的那个端口
-L 就是代理,具体看 man

这样,在 A 上面访问 8888 端口,就能访问到 C 的 80 端口了。

那如果是下面的网络情况,那怎么办?A 能访问到 C,但是 C 不能直接访问 A。

A -> C
C-> | -> A

在 A 上面执行下面的命令

ssh -f -N -R 9999:A_ip:80 C_ip
-R 是反向代理, -g 在这里好像不好用不知道为什么

从 C 上面访问自己的 9999 端口,就会访问到 A 的 80 端口。

]]> http://wdicc.com/ssh-proxy/feed/ 0 NB 的 ssh proxycommand http://wdicc.com/cow-ssh-proxycommand/ http://wdicc.com/cow-ssh-proxycommand/#comments Wed, 09 Dec 2009 03:32:37 +0000 wd http://wdicc.com/?p=643 gw server -> work server 一般公司的服务器的网络都会设置安全级别,防止出现安全问题。那个 gw 也叫跳板机。需要在 gw 机器上面有 nc 。 修改 .ssh/config 文件,加上 Host gw Hostname gw.abc.com Host work Hostname work.abc.com User wd ProxyCommand ssh gw nc -q 0 %h %p 2>/dev/null 这样直接 ssh work 就好了。 那个 -q 0 可能有些版本的 nc 不支持。去掉就好了。那个 %h 表示 [...]]]> 是从水木上面学来的。还参考了这个

如果你工作的环境是下面这样的,那 ssh 的 proxycommand 对你会很有用。

your pc -> gw server -> work server

一般公司的服务器的网络都会设置安全级别,防止出现安全问题。那个 gw 也叫跳板机。需要在 gw 机器上面有 nc 。

修改 .ssh/config 文件,加上
Host gw
Hostname gw.abc.com

Host work
Hostname work.abc.com
User wd
ProxyCommand ssh gw nc -q 0 %h %p 2>/dev/null

这样直接 ssh work 就好了。

那个 -q 0 可能有些版本的 nc 不支持。去掉就好了。那个 %h 表示 hostname,那个 %p 表示 port,可以直接写死。其它的 man ssh_config 吧。

]]> http://wdicc.com/cow-ssh-proxycommand/feed/ 3 使用公匙密匙来登录ssh http://wdicc.com/public-key-in-ssh/ http://wdicc.com/public-key-in-ssh/#comments Tue, 26 Sep 2006 03:19:35 +0000 wd http://blog.wdicc.com/wordpress/2006/09/26/249/ ssh一种更加安全的登录方式是使用rsa/dsa方式来做验证。密码口令很可能被猜出来,但是用dsa方式验证的ssh,除非他弄到你的私匙,否则肯定是安全的。

ssh-keygen命令可以用来生成rsa/dsa方式的公匙密匙。
ssh-keygen或者ssh-keygen -t rsa生成rsa方式的密匙。ssh-keygen -d 或者 ssh-keygen -t dsa生成dsa方式的密匙。具体rsa和dsa的区别看 这里

上面的命令会在~/.ssh文件夹中生成公匙(id_*sa.pub)和密匙(id_*sa),将pub文件中的内容copy到远程服务器你的home目录下面的.ssh目录中的authorized_keys[2]这个文件中,有没有最后的那个2要看你用的是ssh1还是ssh2方式,通常都有2。

然后就是远程服务器的这些文件需要有正确的权限,.ssh目录是700,authorized_keys2文件是644。

此后再登录服务器的时候应该就不需要输入密码了。

有一个小tip,就是给服务器的ip设置一个好记的形式,那么多的ip记住不容易阿,而且每次还得一个一个输入。具体方法就是修改hosts文件,添加类似下面的内容就可以了,相当于自己做了一个dns,呵呵。
#销售server
218.x.2.128 s128 xs xiaoshou
#db server
218.x.23.189 s189 db oracle
这样,以后访问s128或者s189就可以了,当然后面的xs、xiaoshou、db、oracle也都是别名,都可以用来访问。

还有一个tip,是关于term的。如果用的是urxvt,访问的远程服务器的时候可能会遇到“unknow terminal : rxvt-unicode” 类似的错误,如果出现了类似错误,会导致在服务器端vim和ls都没有颜色。解决方法是在.Xdefaults文件中添加URxvt.termName: xterm,或者.bash_profile里面自己设置一下TERM类型。

]]> http://wdicc.com/public-key-in-ssh/feed/ 0 使用ssh的rsa和dsa验证登陆linux http://wdicc.com/use-rsa-and-dsa/ http://wdicc.com/use-rsa-and-dsa/#comments Mon, 24 Apr 2006 16:49:17 +0000 wd http://blog.wdicc.com/?p=151 参考地址:http://www.5ilinux.com/ssh01.html

按照文档中的方法,使用SecureCRT生成公匙密匙,然后上传公匙,没问题。

用putty使用这个密匙的时候就出问题了,验证不了。

然后用putty生成公匙密匙,上传公匙,验证不了。

后来用openssh自带的ssh-keygen生成了公匙密匙,然后用putty的keygen转换了一下,用putty登陆就可以了。

]]> http://wdicc.com/use-rsa-and-dsa/feed/ 0 限制ssh访问的ip http://wdicc.com/limite-ssh-access-ip/ http://wdicc.com/limite-ssh-access-ip/#comments Mon, 24 Apr 2006 16:43:45 +0000 wd http://blog.wdicc.com/?p=150 ★ 需求

最近公司服务器上面某个用户的帐号密码被修改了好几次。查看了一下,确实有人用他的帐号从外网ip(国外的ip)登陆过,猜想可能是他自己的电脑中木马或者什么病毒了。用户自己没有安全意识是很头痛的一个问题,其实给他们新建帐号的时候使用的都是简单密码,但是似乎都没有人上服务器自己修改,但是你又不能要求你的用户如何如何(比如给自己电脑装防火墙、杀毒软件etc),因为那是人家自己的事情。那么我就想,有没有一个方法可以限制某个用户只能从某个ip(或者ip列表)登陆呢?下面是一些解决方法。

★ 解决方案

1) 通过修改/etc/ssh/sshd_config文件,让sshd只监听内网ip。这样只有内网ip才能登陆ssh。但是这样的话就不能远程维护服务器了,有点得不偿失得感觉。

2) 通过修改/etc/hosts.allow和/etc/hosts.deny来限制某个ip的登陆。这个方式其实和上面得类似,你也不知道hacker会从哪个ip登陆,所以你没办法deny他得ip,deny他得时候可能连你自己也deny了。

3) 可以通过/etc/ssh/sshd_config文件来实现。

    AllowUsers
            This keyword can be followed by a list of user name patterns,
            separated by spaces.  If specified, login is allowed only for us-
            er names that match one of the patterns.  Only user names are
            valid; a numerical user ID is not recognized.  By default, login
            is allowed for all users.  If the pattern takes the form US-
            ER@HOST then USER and HOST are separately checked, restricting
            logins to particular users from particular hosts.  The allow/deny
            directives are processed in the following order: DenyUsers,
            AllowUsers, DenyGroups, and finally AllowGroups.

PATTERNS
    A pattern consists of zero or more non-whitespace characters, `*’ (a
    wildcard that matches zero or more characters), or `?’ (a wildcard that
    matches exactly one character).  For example, to specify a set of decla-
    rations for any host in the “.co.uk” set of domains, the following pat-
    tern could be used:

          Host *.co.uk

    The following pattern would match any host in the 192.168.0.[0-9] network
    range:

          Host 192.168.0.?

    A pattern-list is a comma-separated list of patterns.  Patterns within
    pattern-lists may be negated by preceding them with an exclamation mark
    (`!’).  For example, to allow a key to be used from anywhere within an
    organisation except from the “dialup” pool, the following entry (in au-
    thorized_keys) could be used:

          from=”!*.dialup.example.com,*.example.com”

比如不允许test用户从192.168.0.x登陆,那么可以添加一行

denyusers test@192.168.0.

按照上面的PATTERNS说明,似乎可以加叹号来排除某个ip,但是尝试过没有成功,不知道什么原因了。

按照文档,deny是级别最高的,而设置了allow之后,就只能allow的用户访问了,所以如果想限制某个用户只能从某个ip段登陆,用这个似乎实现不了。

4) 使用ssh得RSA/DSA key。

参考地址:http://www.5ilinux.com/ssh01.html

用ssh-keygen命令生成一对公匙密匙,然后把密匙给用户,并且限制ssh只能通过RSA方式认证。这样会导致所有ssh用户都得用这种方式登陆了,会更加郁闷。

这种方式可以在用户得authorized_keys2文件中,加入from=”!192.168.1.158,*”来让用户只能通过158登陆。(这个没有做过验证)

PATTERNS
    A pattern consists of zero or more non-whitespace characters, `*’ (a
    wildcard that matches zero or more characters), or `?’ (a wildcard that
    matches exactly one character).  For example, to specify a set of decla-
    rations for any host in the “.co.uk” set of domains, the following pat-
    tern could be used:

          Host *.co.uk

    The following pattern would match any host in the 192.168.0.[0-9] network
    range:

          Host 192.168.0.?

    A pattern-list is a comma-separated list of patterns.  Patterns within
    pattern-lists may be negated by preceding them with an exclamation mark
    (`!’).  For example, to allow a key to be used from anywhere within an
    organisation except from the “dialup” pool, the following entry (in au-
    thorized_keys) could be used:

          from=”!*.dialup.example.com,*.example.com”

5) 用pam。

参考地址:http://www.linuxmine.com/1078.html

看看/etc/pam.d/login文件,有没有pam_access.so的设置。我的debian系统中,ssh相关的都在/etc/pam.d/ssh文件中设置。加入一行

account  required       pam_access.so

然后修改他的配置文件/etc/security/access.conf文件。加入一行

-:wd:192.168.1. EXCEPT 192.168.1.158

这样,wd用户从192.168.1.x(192.168.1.158除外)的登陆权限被去掉了。也就是说,wd这个用户就只能从158这个ip以及外网ip登陆了。

大功告成。 :)

]]> http://wdicc.com/limite-ssh-access-ip/feed/ 0