- known_hostsから特定のhostのフィンガープリントを削除
- ssh-keygen -R "hostname"
- ssh-keyscanによるknown_hostsの更新 - へたれのへたれの為のへたれ記
- # ログイン用サーバーのリストの作成
- $vim server.txt
server1 server2 server3 ・・・
- #フィンガープリントの作成とknown_hostsへの書き込み
- $bash -c "ssh-keyscan -f servers.txt" >> ~/.ssh/known_hosts
- linux - How to enable SSH X11 forwarding through additional server? - Server Fault
I have hosts A,B and C. From host A I can access through ssh only B. From B I can access C. I want to be able to run X11 programs on C and forward display to A.
not exactly... if X11Forwarding is not enabled on server C, it won't work. it also won't work unless one sets AllowTcpForwarding yes and GatewayPorts yes on server B. this answer is not acceptable at all
- SSHのエージェントフォワーディングを「sudo」の後でも引き継ぐ - ngの日記
sudo SSH_AUTH_SOCK=$SSH_AUTH_SOCK rsync -av remotehost:/path/ /path/
- 仙石浩明の日記: ssh-agent を screen の中から使う方法
agent="$HOME/tmp/ssh-agent-$USER" if [ -S "$SSH_AUTH_SOCK" ]; then case $SSH_AUTH_SOCK in /tmp/*/agent.[0-9]*) ln -snf "$SSH_AUTH_SOCK" $agent && export SSH_AUTH_SOCK=$agent esac elif [ -S $agent ]; then export SSH_AUTH_SOCK=$agent else echo "no ssh-agent" fi
X11Forwarding with another user
- My Cup of Tea / X Forwarding and sudo
The reason for this is that:
X authentication is based on cookies — secret little pieces of random data that only you and the X server know… So, you need to let the other user in on what your cookie is (http://www.debian-administration.org/articles/494).
me@localbox:~$ ssh -X remotebox me@remotebox:~$ chmod 644 .Xauthority me@remotebox:~$ su - otheruser Password: otheruser@remotebox:~$ export DISPLAY=localhost:10.0 otheruser@remotebox:~$ export XAUTHORITY=/home/me/.Xauthority
- sudo する場合は「chmod 644 .Xauthority」は必要ない(rootからは必ず読めるため)
- sudo - how to use xauth to run graphical application via other user on linux - Server Fault
sudo apt-get install sux
disable certain users to login with ssh
- /etc/pam.d/sshd
@@ -15,7 +15,7 @@ # Uncomment and edit /etc/security/access.conf if you need to set complex # access limits that are hard to express in sshd_config. -# account required pam_access.so +account required pam_access.so # Standard Un*x authorization. @include common-account
- /etc/security/access.conf
-:USERNAME:ALL
avoid sshd brute force
- 管理者/sshd への攻撃を撃退 - takeuchi@ShigekawaLab
- DSAS開発者の部屋:ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする
- 対象はSSHdだが、ポートを変えるだけで他のサービスにも応用できそう
- コメント: Debianのopensslパッケージに欠陥発覚 - スラッシュドット・ジャパン
iptables というか Netfilter で tcp/22 への SYN はゆっくりしか受け取れない 設定をしていたので,総当たりするとなると何日もかかると思うんだよな・・
- sshブルートフォースアタックを防ぐiptablesを使ったblocksshd