Perguntas[ssh](computer)

Como posso impor uma política de frase-senha nas frases-senha que são utilizadas para criptografar a chave privada SSH?
Gostei de utilizar o pam_pwqualitymódulo PAM para impor a complexidade da senha da conta de usuário, mas não acho que posso utilizá-lo com frases-senha de chave SSH.

Tenho terabytes de dados em um host remoto que estou transferindo.

Atualmente estou usando rsync -az. Recentemente comprei um grande disco rígido externo [USB-C, Toshiba]; mas ele parece mais lento que meu SSD interno.

Durante a transferência, como configuro uma cópia multifásica, do host remoto para o SSD interno e para o SSD externo, de modo que somente os arquivos que não existem no SSD interno nem no SSD externo sejam transferidos do host remoto?

Para sua informação: não se limitando a isso rsync, o host remoto é Linux x86_64 e o host local é um Apple Macbook Pro com M3 Pro executando macOS 15.2.

Estou trabalhando com um servidor web Ubuntu e frequentemente preciso carregar arquivos na pasta Apache. Normalmente eu uso um cliente SFTP como Filezilla ou Mobaterm através de uma sessão SSH. Toda vez eu preciso executar o comando chown e chmod para restaurar a propriedade e as permissões para arquivos e pastas porque o Apache não tem permissão para ler os arquivos do meu usuário.

Existe alguma maneira de forçar a criação de um arquivo a ter permissão e propriedade específicas ou todos na minha situação executarem chown/chmod após cada upload?

Perdoe-me se eu tiver errado a terminologia. Eu usei o PuTTy por anos para fazer ssh em várias caixas e, em seguida, usei o neovim para editar arquivos. Normalmente, quando eu saio do neovim, o que estava visível na tela antes de entrar ainda está lá. Com o Terminal do Windows, recebo uma tela em branco.

Na maioria dos aspectos, o Windows Terminal parece muito melhor que o PuTTy, mas, por mais que eu procure, não consigo encontrar uma configuração ou solução para isso. Muitas pessoas juram que o WT é uma ótima alternativa ao PuTTy.

Quero obter a chave de host de um servidor SFTP.

Mas, eu tenho um proxy autenticado entre mim e o servidor SFTP. Eu tenho os seguintes detalhes sobre o proxy: proxy_host, proxy_port, proxy_usere proxy_password.

Como faço para usar ssh-keyscan/ sshpassar pelo proxy autenticado?

Tenho o openssh-client e o netcat instalados na minha VM Oracle Linux 8.

Não quero usar ferramentas como proxytunnel ou corkscrew.

Coisas que eu tentei:

1. Mudando After=network.targetpara After=network-online.targetviasystemctl edit --full sshd.service
2. Criando arquivo /etc/systemd/system/sshd.service.d/network-online.confcom conteúdo de

[Unit]
After=network-online.target

3. Mudando After=network.targetpara After=network-online.targete adicionando Wants=network-online.targetviasystemctl edit --full sshd.service

Cada vez que o sshd.service falha ao se vincular ao seu endereço IP, há uma diferença na terceira tentativa, onde ao tentar fazer o ssh para o Raspberry Pi, em vez da usual "conexão recusada", ele retorna "kex_exchange_identification: leitura: Conexão redefinida pelo peer".

Meu objetivo aqui é que meu Raspberry Pi inicie o sshd.service com sucesso na inicialização.

Estou usando um Raspberry Pi 1 B+ com Raspberry Pi 12 Bookworm e NetworkManager.

@grawity Eu preferiria que ele fosse vinculado a um endereço individual e nunca tive problemas com isso antes. Aqui está a saída desse comando:

$ sudo systemctl list-dependencies --after network-online.target
network-online.target
● ├─networking.service
● ├─NetworkManager-wait-online.service
× ├─systemd-networkd-wait-online.service
● └─network.target
●   ├─ifupdown-pre.service
●   ├─networking.service
●   ├─NetworkManager.service
●   ├─systemd-networkd.service
●   ├─wpa_supplicant.service
●   └─network-pre.target
●     └─ufw.service

@Jaromanda XI preciso ser capaz de configurar sshd_config para autenticação de chave, não entendo por que raspi-config deve ser evitado ao habilitar ssh, mas tentarei reinstalar com ele habilitado no imager e editarei minha postagem mais tarde

Tenho um Jump Server e um Target Server aos quais gostaria de me conectar como este

myPc > JumpServer > TargetServer

no primeiro passo eu posso fazer ssh-keygen para pular a autenticação de senha, no entanto quando no passo 2, devido a questões de segurança, ssh-keygen não foi instalado e eu não posso fazer nada sobre isso. Então eu estava pensando em passar a senha em um único comando no meu PC. O que eu tentei até agora:

sshpass -p myPassword ssh -At username@JumpServer ssh -A username@targetServer

ssh -J username@JumpServer username@targetServer

Mas nenhuma funciona, algum conselho?

Tenho alguns arquivos compactados que quero transferir para um servidor remoto e extrair diretamente na unidade de destino.

É semelhante a este comando

dd if=/dev/sda bs=5M conv=fsync status=progress | gzip -c -9 | ssh user@DestinationIP 'gzip -d | dd of=/dev/sda bs=5M'

A partir desta pergunta sobre falha do servidor .

No meu caso o arquivo já está compactado então gzip -9não será necessário adicioná-lo à fonte.

Seria mais ou menos assim:

load-some-file /drive/image.tar.gz | ssh user@DestinationIP 'gzip -d | dd of=/dev/sda bs=5M'

Qual comando deveria load-some-fileser?

Um comando como esse será catsuficiente ou ddele será suficiente?

A saída de pode ddser enviada sshdiretamente para o comando?

Estou conectado a um VPS e preciso rotear um aplicativo específico por meio de uma VPN. No entanto, quando habilito minha VPN via WireGuard, minha conexão SSH com o VPS cai. Por padrão, minha VPN roteia todo o tráfego por si mesma, mas eu quero que apenas determinados aplicativos usem a VPN. Meu objetivo é configurar o WireGuard para que apenas aplicativos explicitamente vinculados à interface de rede da VPN ( se-got-wg-001) usem a VPN, enquanto outros continuarão usando a interface padrão ( eth0).

Abaixo está minha configuração atual do WireGuard:

[Interface]
PrivateKey = REDACTED
Address = 10.66.127.142/32,fc00:bbbb:bbbb:bb01::3:7f8d/128
DNS = REDACTED

[Peer]
PublicKey = REDACTED
AllowedIPs = 0.0.0.0/0,::0/0
Endpoint = REDACTED

Quero que essas alterações persistam após uma reinicialização. Quais modificações devo fazer para garantir que meu sistema use eth0como interface padrão, mesmo quando a VPN estiver habilitada?

Encontrei algumas postagens relacionadas que podem ajudar, mas ainda não tenho certeza sobre os passos que preciso seguir:

• Cliente Wireguard com duas interfaces - Use uma interface para Wireguard
• https://www.reddit.com/r/WireGuard/comments/npf4bp/new_to_wireguard_tips_for_routing_only_certain/
• https://serverfault.com/questions/1075973/wireguard-how-to-only-tunnel-some-of-the-traffic
• https://www.reddit.com/r/WireGuard/comments/vytuv5/is_it_possible_to_setup_wireguard_so_it_only/

Aqui estão algumas informações sobre meu sistema:

root@vmixxx /e/wireguard# neofetch
            .-/+oossssoo+/-.               [email protected] 
        `:+ssssssssssssssssss+:`           --------------------------------- 
      -+ssssssssssssssssssyyssss+-         OS: Ubuntu 24.04.1 LTS x86_64 
    .ossssssssssssssssssdMMMNysssso.       Host: KVM/QEMU (Standard PC (i440FX + PIIX, 1996) pc-i440fx-7.2) 
   /ssssssssssshdmmNNmmyNMMMMhssssss/      Kernel: 6.8.1-1009-realtime 
  +ssssssssshmydMMMMMMMNddddyssssssss+     Uptime: 2 hours, 45 mins 
 /sssssssshNMMMyhhyyyyhmNMMMNhssssssss/    Packages: 1813 (dpkg), 4 (snap) 
.ssssssssdMMMNhsssssssssshNMMMdssssssss.   Shell: fish 3.7.0 
+sssshhhyNMMNyssssssssssssyNMMMysssssss+   Resolution: 800x600 
ossyNMMMNyMMhsssssssssssssshmmmhssssssso   CPU: AMD EPYC 7282 (4) @ 2.794GHz 
ossyNMMMNyMMhsssssssssssssshmmmhssssssso   GPU: 00:02.0 Vendor 1234 Device 1111 
+sssshhhyNMMNyssssssssssssyNMMMysssssss+   Memory: 2630MiB / 5925MiB 
.ssssssssdMMMNhsssssssssshNMMMdssssssss.
 /sssssssshNMMMyhhyyyyhdNMMMNhssssssss/                            
  +sssssssssdmydMMMMMMMMddddyssssssss+                             
   /ssssssssssshdmNNNNmyNMMMMhssssss/
    .ossssssssssssssssssdMMMNysssso.
      -+sssssssssssssssssyyyssss+-
        `:+ssssssssssssssssss+:`
            .-/+oossssoo+/-.

Estou tentando retransmitir conexões SSH da porta 122/tcp para outro servidor na porta 22/tcp com base no FQDN.

Aqui está minha configuração HAProxy:

frontend my_ssh_frontend
    bind *:122
    mode tcp
    option tcplog
    acl my_ssh_acl hdr(host) myHostname.myDomain.com
    use_backend my_ssh_backend if my_ssh_acl

backend my_ssh_backend
    mode tcp
    server myserver1 x2.y2.z2.t2:22 check

Mas é como se a condição ACL nunca fosse verdadeira e, portanto, o tráfego não fosse roteado para o backend.

Aqui está a ssh -vvvsaída:

 ssh.exe -p 122 -l admin-media myHostname.myDomain.com -vvv 2>&1 | egrep.exe -vw "identity file|Failed to open"
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
debug2: resolving "myHostname.myDomain.com" port 122
debug2: ssh_connect_direct
debug1: Connecting to myHostname.myDomain.com [x1.y1.z1.t1] port 122.
debug1: Connection established.
debug1: Local version string SSH-2.0-OpenSSH_for_Windows_8.1
kex_exchange_identification: Connection closed by remote host

Como posso fazer isso com o HAProxy?