Perguntas[ssh](unix)

Fiquei um pouco surpreso pelo fato de um usuário ainda poder ter acesso ssh a uma máquina Linux (Ubuntu 18.04.6 LTS) cuja conta expirou.

Configurei a data de expiração da conta com chage:

sudo chage -l xxxx
Last password change                    : Oct 10, 2024
Password expires                    : never
Password inactive                   : never
Account expires                     : Nov 05, 2024
Minimum number of days between password change      : 0
Maximum number of days between password change      : 99999
Number of days of warning before password expires   : 7

A conta expirou em 2024-11-05, mas o usuário ainda pode acessar ela por SSH.

Existe alguma configuração no servidor sshd ou PAM para impor a expiração da conta?

Até onde sei, o sshd tem UsePAM yesum PAM que deve impedir o login, mas a única coisa que ele faz é imprimir um Your account has expired; please contact your system administratorno banner ssh.

Eu recebo a mesma coisa se eu fizer sudo su xxxx, eu recebo um Your account has expired; please contact your system administratormas recebo o prompt do shell de qualquer maneira.

No momento, tenho dois controles remotos nos meus repositórios git, um apontando para git quando estou em casa e um apontando para git-ext quando estou fora. Quero simplificar isso. A configuração ssh abaixo funciona com git e git-ext (observe que a declaração match está comentada). Se eu descomentei o bloco match, pelo que posso dizer, não há nenhuma mudança no comportamento do bloco git. Quando estou em casa, funciona, quando estou fora, não.

Não importa se eu uso exec ou !exec. Aparentemente nada muda. Não tenho certeza do que está acontecendo, mas eu diria que o exec não está realmente em execução. Qualquer ajuda seria apreciada.

Isso está sendo executado no Windows WSL2, Debian 11, OpenSSH_8.4p1. Embora eu tenha tentado no meu laptop Linux executando Debian 12 também, com os mesmos resultados.

host git
  hostname 192.168.1.10
  user git
  identityfile ~/.ssh/id_rsa_git

#match host git !exec "/usr/bin/ping -c1 192.168.1.1"
#  proxyjump  bastion

host example.com
  hostname example.com
  user user
  identityfile ~/.ssh/id_rsa_cloud

host bastion
  hostname 192.168.1.5
  user jump
  identityfile ~/.ssh/id_rsa_bastion
  proxyjump  example.com

host git-ext
  hostname 192.168.1.10
  user git
  identityfile ~/.ssh/id_rsa_git
  proxyjump  bastion

Tenho um servidor dropbear-initramfs em execução no meu ambiente nitramfs , no entanto, não consigo fazê-lo exibir banner. O conteúdo a seguir /etc/dropbear/initramfs/dropbear.conffunciona perfeitamente:

...
DROPBEAR_OPTIONS="-I 60 -p 22 -j -k -s -c cryptroot-unlock"
...

Especificar banner-file, no entanto, faz com que o dropbear não inicie, mesmo que os arquivos /etc/banner& /etc/dropbear/initramfs/bannerestejam presentes e preenchidos (eu até tentei ativar o bit +x )

...
DROPBEAR_OPTIONS="-I 60 -p 22 -j -k -s -b /etc/banner -c cryptroot-unlock"
...

Atualizar o initramfs com update-initramfs -ue verificar lsinitramfs /initrd.img | grep bannernão mostra nenhum arquivo banner presente. A reinicialização faz com que o dropbear não inicie e a porta permaneça fechada. Já verifiquei que essa alteração singular é responsável pelo dropbear (não) iniciar.

Estou executando o Debian 12 com dropbear-initramfs/stable, agora 2022.83-1+deb12u2 . Na minha instalação anterior do Arch, simplesmente incluir -b /etc/bannerDROPBEAR_OPTIONS era suficiente para preencher o initrd com o arquivo banner. Há algo que estou esquecendo?

Recentemente, testei o Hashicorp Vault e o achei muito útil.

Estou tentando configurar certificados SSH assinados para efetuar login em meus hosts/servidores remotos, conforme este guia:

https://developer.hashicorp.com/vault/docs/secrets/ssh/signed-ssh-certificates

Enviei o arquivo .pem público do Vault para o host de destino no qual desejo fazer login e apontei para ele em /etc/ssh/sshd_config usando TrustedUserCAKeys /etc/ssh/trusted-user-ca-keys.pem

Gerei um par de chaves públicas privadas no meu cliente. Obtive a chave pública assinada pelo Vault no meu servidor Vault usando esse guia e enviei de volta para o cliente.

Eu consigo fazer ssh no host de destino sem problemas com senha ou chave privada ssh. O que eu não consigo fazer funcionar é ssh com a chave pública assinada e também forçá-lo a usar somente esse método.

Aqui estão os comandos que tentei adicionar ao arquivo de configurações do host (Debian) /etc/ssh/sshd_config: usePAM no PasswordAuthentication no ChallengeResponseAuthentication no PubKeyAuthentication no

Aqui está o comando ssh que estou usando: ssh -v -o “IdentityOnly yes” -o CertificateFile=“/path/to/signedcert.pub” -i “/path/to/privatekey” user@IP

As saídas -v indicam que ele tenta as várias opções, mas, no final das contas, o certificado assinado não funciona e ele retorna para a autenticação de senha (o que também não está claro para mim, pois pensei que meus comandos em sshd_config seriam suficientes para desabilitar isso...). Estou executando sudo systemctl restart sshd ao fazer essas alterações no host de destino.

Qualquer conselho ou sugestão seria muito apreciado, pois estou me sentindo um tanto bloqueado, mas provavelmente estou esquecendo de algo óbvio...

Obrigado pela ajuda!

Quero enviar algumas variáveis ​​de ambiente por ssh. Eu alterei o sshd_config no servidor, adicionando um arquivo em /etc/ssh/sshd_config.d contendo:

# NB This DOES NOT conflict with PermitUserEnvironment=No
AcceptEnv NOTIF* LANG LC_*

e reiniciei o sshd. Ao executar ssh -o SendEnv=NOTIF* localhost printenvas variáveis ​​não foram definidas no final remoto.

Já havia uma entrada em /etc/ssh/sshd_config contendo AcceptEnv LANG LC_*. Comentar isso + reiniciar não teve impacto no comportamento.

$ export NOTIFY_WHAT="SERVICE"
$ export NOTIFY_SHORTDATETIME="CRIT"
$ export NOTIFY_HOSTNAME="web.example.com"
$ export NOTIFY_HOSTOUTPUT="host is up"
$ export NOTIFY_HOSTSTATE="OK"
$ export NOTIFY_NOTIFICATIONTYPE="PROBLEM"
$ export NOTIFY_SERVICEDESC="cmk-test"
$ export NOTIFY_SERVICEOUTPUT="oh no its broken!"
$ export NOTIFY_SERVICESTATE="CRIT"

$ ssh -o SendEnv=NOTIF* localhost printenv
SHELL=/bin/bash
LANGUAGE=en_US.UTF-8
SSH_AUTH_SOCK=/tmp/ssh-XXXXIxNz4o/agent.8579
PWD=/home/symcbean
LOGNAME=symcbean
MOTD_SHOWN=pam
HOME=/home/symcbean
LANG=C.UTF-8
SSH_CONNECTION=127.0.0.1 35340 127.0.0.1 22
USER=symcbean
SHLVL=0
SSH_CLIENT=127.0.0.1 35340 22
LC_ALL=C
PATH=/usr/local/bin:/usr/bin:/bin:/usr/games
_=/usr/bin/printenv

Então não está funcionando, mas estranhamente, um LANG modificado é enviado:

$ export LANG=en_GB.UTF-8
$ ssh -o SendEnv=NOTIF* localhost printenv
SHELL=/bin/bash
LANGUAGE=en_US.UTF-8
SSH_AUTH_SOCK=/tmp/ssh-XXXXIxNz4o/agent.8579
PWD=/home/symcbean
LOGNAME=symcbean
MOTD_SHOWN=pam
HOME=/home/symcbean
LANG=en_GB.UTF-8
SSH_CONNECTION=127.0.0.1 35340 127.0.0.1 22
USER=symcbean
SHLVL=0
SSH_CLIENT=127.0.0.1 35340 22
LC_ALL=C
PATH=/usr/local/bin:/usr/bin:/bin:/usr/games
_=/usr/bin/printenv

(embora eu esteja conectando usando localhost, o cliente e o servidor são executados em contêineres WSL separados. O cliente é 1:8.9p1-3ubuntu0.7, o servidor é openssh-server 1:9.2p1-2+deb12u3).

Só para não haver ambiguidade:

$ ssh -o SendEnv=NOTIF* localhost 'find /etc/ssh -type f -exec grep -H AcceptEnv {} \;'
grep: /etc/ssh/ssh_host_ed25519_key: Permission denied
grep: /etc/ssh/ssh_host_rsa_key: Permission denied
grep: /etc/ssh/ssh_host_ecdsa_key: Permission denied
/et`c/ssh/sshd_config.d/allowcheckmk:AcceptEnv NOTIF* LANG LC_*
/etc/ssh/sshd_config:# AcceptEnv LANG LC_*

ATUALIZAÇÃO Com isso, -vvposso ver que o cliente parece estar enviando os dados - eles não estão sendo aceitos/estão sendo descartados no terminal remoto...

debug1: Sending environment.
debug1: channel 2: setting env NOTIFY_SERVICESTATE = "CRIT"
debug2: channel 2: request env confirm 0
debug1: channel 2: setting env NOTIFY_HOSTSTATE = "OK"
debug2: channel 2: request env confirm 0
debug1: channel 2: setting env NOTIFY_WHAT = "SERVICE"
debug2: channel 2: request env confirm 0
...

Como reiniciar o daemon/serviço SSH no Synology NAS com DSM 7.2?

Já tentei comandos demais para lembrar de todos, por exemplo:

# synoservicectl --restart sshd

Mas nenhum funcionou. Alguém pode me dizer qual comando usar na versão mais recente do DSM (7.2)?

Obrigado.

Estou tentando fazer ssh para uma caixa Linux com nome de usuário contendo "/". Ex: tes/t

Mas os caracteres depois de "/" são truncados e o usuário é visto como "tes" durante o ssh. O ssh falha com esse usuário, pois ele é inválido.

Até mesmo o log de auditoria na máquina mostra o usuário como "tes".

NOTA: configurei o usuário como "tes/t" com permissões válidas e o mesmo é visto no banco de dados também. Estou usando o ubuntu22.04

Alguma ideia de onde essas sessões encontram a versão truncada?

sh Log: sshd[310956]: info Falha na senha para tes de 10.120.64.33 porta 56498 ssh2

audit.log: 15:09:17.305Z [tes]: Login_Negado - - aparentemente_via=Remoto ip=10.120.64.33 auth=PAM In

Gostaria de executar este comando

ssh -R 2200:localhost:80 user@"myddns.net"

em cada inicialização do meu sistema fedora (observe que o comando em si está funcionando em um shell).

Pensei em usar systemd em vez de crond.

Criei o arquivo /etc/systemd/user/myssh.service :

[Unit]
Description=Ssh remote for myssh
Wants=network-online.target
After=network-online.target

[Service]
Type=simple
#User=
#Group=
ExecStart=/usr/bin/ssh -R 2200:localhost:80 user@"myddns.net"
Restart=on-failure
StandardOutput=file:%h/log_file

[Install]
WantedBy=default.target

Eu habilitei e iniciei, mas o comando não funcionou:

systemctl --user enable myssh.service
systemctl --user start myssh.service

aqui está um log:

➜  ~ journalctl --user -u myssh     
août 28 12:33:06 lausanne systemd[1419]: Started myssh.service - ssh remote for Lausanne.

Pode ser porque ssh -R é um comando interativo e não é adequado para systemd (ou crond). Ainda poderia ser feito dessa forma?

por exemplo: https://www.freebsd.org/security/advisories/FreeBSD-SA-24:08.openssh.asc

A pergunta : como posso criar um arquivo openssh.asc a partir do meu arquivo TXT simples? E como posso verificar isso? Sempre precisa ter no máximo 78 caracteres por linha?

Eu tenho um Raspberry Pi com Gentoo que uso para reproduzir áudio. A ideia é fazer login através do ssh e reproduzir o áudio na linha de comando. Mas quando eu faço login nele sem ter feito login fisicamente primeiro e uso a placa de som, recebo alsamixer:

ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/confmisc.c:855:(parse_card) cannot find card '0'
ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/conf.c:5204:(_snd_config_evaluate) function snd_func_card_inum returned error: File or directory not found
ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/confmisc.c:422:(snd_func_concat) error evaluating strings
ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/conf.c:5204:(_snd_config_evaluate) function snd_func_concat returned error: File or directory not found
ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/confmisc.c:1342:(snd_func_refer) error evaluating name
ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/conf.c:5204:(_snd_config_evaluate) function snd_func_refer returned error: File or directory not found
ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/conf.c:5727:(snd_config_expand) Evaluate error: File or directory not foundccc
ALSA lib /var/tmp/portage/media-libs/alsa-lib-1.2.11/work/alsa-lib-1.2.11/src/control/control.c:1570:(snd_ctl_open_noupdate) Invalid CTL default
Error when opening mixer: File or directory not found

De modo mais geral, não consigo reproduzir áudio neste momento. Se eu primeiro fizer login fisicamente e ligar alsamixer, depois usar alsamixerpor meio de ssh, ele funcionará e também poderei reproduzir áudio. Então, acho que de alguma forma posso ativar a placa de som através do meu login físico de uma forma que não posso apenas usá-la através do ssh, e uma vez ativada, posso usá-la através do ssh também. Como posso ativar minha placa de som sem precisar fazer login fisicamente?

Editar: parece que o ssh não atribui um lugar às minhas sessões.