Version 12 (modified by mitty, 13 years ago) (diff) |
---|
- known_hostsから特定のhostのフィンガープリントを削除
- ssh-keygen -R "hostname"
- ssh-keyscanによるknown_hostsの更新 - へたれのへたれの為のへたれ記
- # ログイン用サーバーのリストの作成
- $vim server.txt
server1 server2 server3 ・・・
- #フィンガープリントの作成とknown_hostsへの書き込み
- $bash -c "ssh-keyscan -f servers.txt" >> ~/.ssh/known_hosts
X11Forwarding with another user
- My Cup of Tea / X Forwarding and sudo
The reason for this is that:
X authentication is based on cookies — secret little pieces of random data that only you and the X server know… So, you need to let the other user in on what your cookie is (http://www.debian-administration.org/articles/494).
me@localbox:~$ ssh -X remotebox me@remotebox:~$ chmod 644 .Xauthority me@remotebox:~$ su - otheruser Password: otheruser@remotebox:~$ export DISPLAY=localhost:10.0 otheruser@remotebox:~$ export XAUTHORITY=/home/me/.Xauthority
- sudo する場合は「chmod 644 .Xauthority」は必要ない(rootからは必ず読めるため)
disable certain users to login with ssh
- /etc/pam.d/sshd
@@ -15,7 +15,7 @@ # Uncomment and edit /etc/security/access.conf if you need to set complex # access limits that are hard to express in sshd_config. -# account required pam_access.so +account required pam_access.so # Standard Un*x authorization. @include common-account
- /etc/security/access.conf
-:USERNAME:ALL
avoid sshd brute force
- 管理者/sshd への攻撃を撃退 - takeuchi@ShigekawaLab
- DSAS開発者の部屋:ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする
- 対象はSSHdだが、ポートを変えるだけで他のサービスにも応用できそう
- コメント: Debianのopensslパッケージに欠陥発覚 - スラッシュドット・ジャパン
iptables というか Netfilter で tcp/22 への SYN はゆっくりしか受け取れない 設定をしていたので,総当たりするとなると何日もかかると思うんだよな・・
- sshブルートフォースアタックを防ぐiptablesを使ったblocksshd