问题[ssh](server)

ssh -t我对这个选项的作用和原因感到困惑-t。我的理解是，如果我运行ssh -t program，ssh 将被强制分配一个伪 tty，它将键盘输入传递给program，并将program的输出传递给 stdout。

但看来我错了。例如，以下两个命令似乎功能相同，因为我可以使用其中任何一个与 rclone 进行交互操作，即使第一个命令强制它分配伪 tty，而第二个命令强制它不分配伪 tty：

1. ssh -t [email protected] rclone config
2. ssh -T [email protected] rclone config

那么它ssh -t实际上做什么呢？

更新：

为了进一步阐明这个问题，我编写了下面名为的 Python 脚本hello.py。

import sys, signal

def signal_handler(sig, frame):
    print('You pressed Ctrl+C!')
    sys.exit(0)

signal.signal(signal.SIGINT, signal_handler)

print(f"stdin is tty:{sys.stdin.isatty()}")
print(f"stdout is tty:{sys.stdout.isatty()}")

s = input("Enter what you want:")
print("Hello ", s)

在远程机器上，如果我以 方式调用它，我会得到以下输出：ssh -t [email protected] "python hello.py"

stdin is tty: true
stdout is tty: true
Enter what you want: cat
Hello cat

如果我将其作为 调用，则会得到以下内容：ssh -T [email protected] "python hello.py"

stdin is tty: false
stdout is tty: false
Enter what you want: cat
Hello cat

无论哪种情况，我都可以通过在键盘上输入“cat”来与程序进行交互。

我观察到的一个区别是，当我按下 CTRL-C 时，-t版本捕获 SIGINT，但-T版本没有。

我很好奇为什么即使 stdin/stdout 不是 tty，我仍然可以与它交互。此外，isatty()它实际上是一个标准 C 库函数。这里的 (伪) TTY 到底是什么意思？

我的目标是在从本地网络外部连接时实现 2FA（密码 + OTP）SSH 登录，而从本地网络（192.168.1.0/24）使用“仅密码”SSH 登录。

目前，我有第一位（密码+OTP）并使用以下配置：

我的/etc/ssh/sshd_config：

KbdInteractiveAuthentication yes
UsePAM yes

我的/etc/pam.d/sshd：

#@include common-auth
auth    required     pam_unix.so nullok_secure
auth    required     pam_oath.so usersfile=/etc/users.oath window=30 digits=6

如何从本地网络获取第二位（仅密码，无 OTP）？

提前致谢！

我正在尝试配置我的 Gen 1 Cloud Key (CK) 以允许无密码身份验证，这样我就可以运行 bash 脚本来下载自动备份文件。我能够“手动”通过 SSH 进入 CK，也可以使用用户名/密码通过 bash 脚本进入，但这会以明文形式存储凭据，而我（显然）不想这样做。

我有：

• 在我的本地机器（MBP Sequoia 15.1.1）上使用以下方式生成密钥ssh-keygen -t rsa：
• 将公钥复制到 CK~/.ssh/authorized_keys文件中，
• 修改/etc/ssh/sshd_config为包含以下（未注释的）行：RSAAuthentication yes，，PubkeyAuthentication yes和AuthorizedKeysFile .ssh/authorized_keys，
• 使用 重启 CK 上的 ssh sudo systemctl restart sshd，
• chmod 700 ~/.ssh使用和检查权限chmod 600 ~/.ssh/authorized_keys。

但还是没有惊喜。SSH 日志显示，

...
debug1: Next authentication method: publickey
debug1: get_agent_identities: bound agent to hostkey
debug1: get_agent_identities: ssh_fetch_identitylist: agent contains no identities
debug1: Will attempt key: /Users/Hank/.ssh/id_rsa RSA SHA256:KEY_VALUE_REDACTED
debug1: Will attempt key: /Users/Hank/.ssh/id_ecdsa 
debug1: Will attempt key: /Users/Hank/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /Users/Hank/.ssh/id_ed25519 
debug1: Will attempt key: /Users/Hank/.ssh/id_ed25519_sk 
debug1: Will attempt key: /Users/Hank/.ssh/id_xmss 
debug1: Will attempt key: /Users/Hank/.ssh/id_dsa 
debug1: Offering public key: /Users/Hank/.ssh/id_rsa RSA SHA256:KEY_VALUE_REDACTED
debug1: send_pubkey_test: no mutual signature algorithm
debug1: Trying private key: /Users/Hank/.ssh/id_ecdsa
debug1: Trying private key: /Users/Hank/.ssh/id_ecdsa_sk
debug1: Trying private key: /Users/Hank/.ssh/id_ed25519
debug1: Trying private key: /Users/Hank/.ssh/id_ed25519_sk
debug1: Trying private key: /Users/Hank/.ssh/id_xmss
debug1: Trying private key: /Users/Hank/.ssh/id_dsa
debug1: Next authentication method: password
[email protected]'s password: 
...

所以我还是会被提示输入密码。我相信问题的线索就在于这一行：

没有相互签名算法

这是否意味着两个设备上的 SSH 实例不兼容，因此无法使用基于密钥的身份验证？这似乎很简单，但有些地方不太对劲。

TLDR；Unifi 控制器软件支持基于 SSH 密钥的身份验证，但这仅适用于连接到 AP、交换机和路由器等网络设备。CK 是一个客户端，显然无法通过控制器软件实现我的目标。

围绕这种方法有相当多的讨论，但似乎没有什么能够解决这个特定的问题。

编辑：我确实发现了这一点，这让我相信我的 CK（诚然，它很古老）可能是问题的根源。在 CK 上升级 ssh，虽然理论上可行，但并不是一个最佳解决方案，因为我预计未来的固件升级会覆盖任何中间更改。

答案是使用 RSA 以外的其他东西吗？

EDIT2：解决方案-FTF，以下是在我的案例中起作用的修订命令：

• 生成密钥对：ssh-keygen -t ed25519
• 将公钥复制到服务器：ssh-copy-id -i ~/.ssh/id_ed25519.pub [email protected]
• 检查权限：chmod 700 ~/.ssh和chmod 600 ~/.ssh/authorized_keys
• 重新启动：（sudo systemctl restart sshd可能不需要）

在移动本地服务器之前，我需要进行约 1 TB 的临时备份，而我拥有的另一个存储位置是远程 HPC 集群，具有足够的存储配额，但文件数有上限，并且文件太多。在本地机器上创建 tar 文件太慢（写入速度？）。

那么我该如何将本地文件传输到远程 tar 文件呢？我原本打算在本地挂载远程文件系统（使用 sshfs？），然后使用类似（应该可以吧？）的方法。但是，不挂载的话能做到吗？也许可以使用、和 这样tar -cf /mnt/remote/backup.tar local_folder的魔法管道？sshscptar

如果我能让它工作，是否也可以像适当的备份解决方案一样使用更新的本地文件来更新远程档案？（这对于当前任务来说不是必需的。）

有时，由于各种原因，PyTTY 会与我的 CentOS 7 服务器上的 SSH 会话失去连接（PuTTY 有问题、SSH 服务器有问题、路由器已重新启动、连接断开、电缆拔出等）。这些被放弃的会话会给服务器带来负担并消耗资源。是否可以将 CentOS 7 SSH 服务器配置为在 24 小时后自动终止任何 SSH 会话，无论会话目的和状态如何？

为什么要不管会话目的和状态？因为在我看来，有时很难区分正常会话和放弃的会话。

自 2021 年以来，我一直在使用internal-sftp子系统方法，允许 SFTP 但禁止 SSH，没有任何问题。

我的 ssh_config 文件代码是：

ForceCommand internal-sftp
Subsystem  sftp   sftp-server.exe -d \%
ChrootDirectory \%

PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
AllowUsers sftpuser

与其他人一样，在 2024 年 10 月 Windows 更新后的周末，我无法通过 SSH 连接到服务器。

在服务器上，OpenSSH SSH 服务器无法启动，并且我收到 1067 错误。

按照建议，当我删除 \ssh 文件夹时，服务现在可以成功重新启动，但自动创建的新 ssh 文件夹具有默认的 ssh_config 文件代码：

Match Group administrators
       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

当我用上面的代码替换此代码时，internal-sftp我再次收到 1067 错误。

想知道是什么导致该代码与新的更新不兼容。

我正在尝试遵循本教程https://p11-glue.github.io/p11-glue/p11-kit/manual/remoting.html，但有很多地方让我感到困惑。

• pkcs11 服务器是哪一侧？

它说“在本地客户端上设置 PKCS#11 转发服务器”。所以我明白我的本地机器充当 p11 服务器的角色，直接与智能卡连接（在后面的设置中，我使用 softhsm 作为智能卡）。他们提到了P11_KIT_SERVER_ADDRESS，但命令是在“本地客户端”上执行的，这令人困惑。

• 哪一端是 pkcs11 客户端？

在会话“为 PKCS#11 套接字转发准备远程系统”中。“转发 PKCS#11 套接字”，他们找到用户运行时目录，但其中一个是通过“ssh”完成的。所以我认为是runtime directory在远程系统上。（他们还使用术语remote server或remote host）

如下所述，我描述了我在 2 个容器中执行的步骤，A - 作为我的本地机器，B - 作为远程主机。我使用 softhsm 来模拟智能卡。在本地机器 A 上：

$ p11tool --list-tokens
Token 0:
    URL: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust
    Label: System Trust
    Type: Trust module
    Flags: uPIN uninitialized
    Manufacturer: PKCS#11 Kit
    Model: p11-kit-trust
    Serial: 1
    Module: p11-kit-trust.so


Token 1:
    URL: pkcs11:model=SoftHSM%20v2;manufacturer=SoftHSM%20project;serial=d1472478b9829554;token=mimi
    Label: mimi
    Type: Generic token
    Flags: RNG, Requires login
    Manufacturer: SoftHSM project
    Model: SoftHSM v2
    Serial: d1472478b9829554
    Module: /usr/local/lib/softhsm/libsofthsm2.so

因此，机器 A 上有 2 个可用的令牌。我还需要在本地主机上创建运行时目录。否则，当我这样做时会显示错误p11-kit server --provider ...

export XDG_RUNTIME_DIR=/tmp/$(id -u)-today
mkdir -p $XDG_RUNTIME_DIR
chmod 700 $XDG_RUNTIME_DIR
p11-kit server --provider /usr/local/lib/softhsm/libsofthsm2.so "pkcs11:model=SoftHSM%20v2;manufacturer=SoftHSM%20project;serial=01165599c52ea1fe;token=mimi"
P11_KIT_SERVER_ADDRESS=unix:path=/tmp/0-today/p11-kit/pkcs11-73; export P11_KIT_SERVER_ADDRESS;
P11_KIT_SERVER_PID=74; export P11_KIT_SERVER_PID;

在远程主机-B（172.18.0.3）上：

root@1de661b77dbd:~# export XDG_RUNTIME_DIR=/tmp/$(id -u)-nginx
root@1de661b77dbd:~# mkdir -p $XDG_RUNTIME_DIR && chmod 700 $XDG_RUNTIME_DIR
root@1de661b77dbd:~# systemd-path user-runtime
/tmp/0-nginx
root@1de661b77dbd:~#  systemctl enable p11-kit-client.service
Failed to enable unit, unit p11-kit-client.service does not exist.
root@1de661b77dbd:~# systemctl list-unit-files | grep p11
p11-kit-client.service                 enabled  enabled
root@1de661b77dbd:~# mkdir /tmp/0-nginx/p11-kit 

我尝试使用 ssh 从 A 连接到机器 B， 但出现警告，因此我需要在 B 上创建，然后警告结束。在/从机器 Assh -R /tmp/0-nginx/p11-kit/pkcs11:${P11_KIT_SERVER_ADDRESS#*=} [email protected]/tmp/0-nginx/p11-kit

root@b1d0c05c4ec6:~# ssh -R /tmp/0-nginx/p11-kit/pkcs11:${P11_KIT_SERVER_ADDRESS#*=}  [email protected]
and then
root@1de661b77dbd:~# ls -l /tmp/0-nginx/p11-kit/pkcs11
srw------- 1 root root 0 Oct 17 10:56 /tmp/0-nginx/p11-kit/pkcs11
p11tool --provider /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-client.so --list-tokens
p11tool --provider /usr/local/lib/pkcs11/p11-kit-client.so --list-tokens

=> 远程机器上没有显示任何令牌p11-kit-client.so。

我是否在任何步骤中犯了错误？为什么使用 p11-kit-client.so 时远程计算机上没有显示任何令牌？

我使用 rsync 包装器脚本来同步或备份不同服务器上的各种目录。该脚本调用（显然），并在服务器上rsync进行一些配置。ln

command使用中的参数限制authorized_keys单个密钥的SSH 访问（如此处所rrsync建议）或在服务器上限制用户的访问是不可行的，因为我需要访问（读取或写入）许多不同位置的目录。使用包装器脚本进行评估（如此处所建议）将允许对和进行静态调用，但不能对我的本地脚本创建的所有不同参数进行静态调用。chroot$SSH_ORIGINAL_COMMANDrsynclnrsync

在这种情况下还有其他方法可以锁定访问吗？

openssh-server 升级后，无法从known_hosts文件中删除旧密钥，因为ssh-keygen出现以下情况：

$ ssh-keygen -R oldserver
/home/grin/.ssh/known_hosts:1: invalid line
/home/grin/.ssh/known_hosts:12: invalid line
/home/grin/.ssh/known_hosts:123: invalid line
Not replacing existing known_hosts file because of errors

我是否必须逐一删除这些行？

我正在使用ssh-keygen(OpenSSH v8.9) 在无头服务器上自动生成密钥。如果不需要密码，这很简单，但如果确实需要密码，则变得困难。ssh-keygen生成新密钥时，在 stdin 上需要 3 项内容：y，因为密钥文件已经存在，以及所需的密码，重复两次。

经过一些简化，我这样做如下：

$ printf -v input "y\npassword\npassword\n"
$ echo -n "$input"
y
password
password
$ echo -n "$input" | ssh-keygen -t ed25519 -a100 -f tmpkey

当我最初这样做时，我得到了这个输出：

Generating public/private ed25519 key pair.
tmpkey already exists.
Overwrite (y/n)? ssh_askpass: exec(/usr/bin/ssh-askpass): No such file or directory

密钥对已创建，但私钥未加密。因此，我ssh-askpass在装有 X 的测试系统上安装了ssh-keygen。现在运行时，我得到了一个 OpenSSH 身份验证弹出窗口，并且 stdin 现在被忽略了。显然，即使我想要，也无法在无头服务器上使用图形弹出窗口。

那么到底发生了什么？我可以说服ssh-keygen自动输入密码吗？如果不行，我是否可以用来openssl添加密码，甚至创建文件？我确实想从中获取 OpenSSH 格式的密钥 - 我已经使用 openssl 自动化了 PKCS#8。

编辑

我找到了(not )SSH_ASKPASS_REQUIRE的环境变量。如果我将其设置为“never”，它确实会停止弹出窗口，但现在只会读取 stdin 的第一行，并忽略接下来两行的密码。所以，它对我没有任何帮助。sshssh-keygenssh-askpassssh-keygen