在 sshd(8) 手册页中:
OpenSSH SSH 守护程序仅支持 SSH 协议 2。每个主机都有一个特定于主机的密钥,用于标识主机。每当客户端连接时,守护程序都会使用其公共主机密钥进行响应。客户端将主机密钥与自己的数据库进行比较,以验证它没有更改。前向保密是通过 Diffie-Hellman 密钥协议提供的。该密钥协议产生共享会话密钥。会话的其余部分使用对称密码进行加密。
(由我强调)
有人可以向我解释身份验证过程是如何工作的吗?我认为:
我对么?有人可以详细解释一下客户端将主机密钥与自己的数据库进行比较以验证它没有更改是什么意思吗?
我知道像 KDE 这样的一些身份验证程序KAuth可以polkit用作后端。而 polkit 的特别之处在于它可以将某些特定权限授予非特权进程。一个让我想起capabilities(7).
但是是否polkit利用了能力或其他基础设施?
谢谢。
如何设置策略以仅在公钥具有满足要求的密码时启用公钥身份验证?
目前人们用ssh-keygen. 我们希望强制创建和使用具有符合标准的密码的密钥。
谢谢。
我正在尝试提高整个 IT 基础架构的安全性,因此我开始使用智能卡进行登录。我已经设法使用私钥和 x.509 证书配置 PIV 智能卡并进行设置pam_pkcs#11,以便智能卡登录工作。如文档中所述,我添加了以下内容:
auth [success=2 default=ignore] pam_pkcs11.so
toetc/pam.d/common-auth和 since 比智能卡登录有效。但是现在,如果读取器和智能卡被移除,系统将退回到密码登录(在这种情况下是 gnome)。
所以我的目标是完全禁用密码登录,无论是否有图形界面。如果读卡器和智能卡没有连接,应该不能登录。
我读过的某处passwd -l $(whoami)将某个帐户的密码设置为非活动状态,但这对我来说感觉不对。
是否可以这样做pam,这样整个机器都禁用密码登录?
顺便说一句:现在我正在使用 ubuntu 19.10
我正在尝试通过 Ubuntu 16.04 中的 pamldap 设置 ssh 访问,并且在配置完所有内容后,我无法将 /etc/passwd 与 LDAP 服务器的信息同步。
ldapsearch 工作正常,因此绑定选项配置良好。
当我做
getent group
我可以看到所有 LDAP 服务器组,但是
getent passwd
只有本地用户信息。
通过调试 nslcd,我可以看到每当我尝试使用 ldap 用户登录(su 或 ssh)时,它都能在 LDAP 服务器中找到我的用户。
另外:
su ldap_user
返回:
用户没有密码条目
当我尝试 ssh 连接时,auth.log 写道:
Invalid user ldap_user from IP
input_userauth_request: invalid user ldap_user [preauth]
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=IP
pam_sss(sshd:auth): Request to sssd failed. Connection refused
pam_ldap(sshd:auth): Authentication failure; user=ldap_user
Failed password for invalid user ldap_user from IP port 55911 ssh2
nsswitch.conf文件有:
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat ldap
group: compat ldap
shadow: compat ldap
gshadow: files
hosts: files dns ldap
networks: files ldap
protocols: db files ldap
services: db files ldap
ethers: db files ldap
rpc: db files ldap
netgroup: nis ldap
sudoers: files
我尝试在控制台上以 root 身份并通过 ssh 登录时遇到“访问被拒绝”(是的,我知道应该禁用 root ssh 访问 - 我刚刚继承了这个框)。我可以作为对“ALL”具有 sudo 访问权限的非 root 用户登录,但是当sudo su -我得到:
su: cannot open session: Permission denied
如果我使用我认为正确的密码运行“su”,我会收到“身份验证失败”。
环顾互联网,我可以看到很多人们无法“su - non-root-user ”的情况,但在那里有效的补救措施似乎都不适用于这里。/etc、/etc/pam.d 上的权限是 0755,而 /etc/pam.d/* 上的权限都是 0644,除了更宽松的符号链接。/etc/passwd 中的 root 的 shell 是 /bin/bash(为我的非 root 用户工作)。没有 /etc/nologin
这是一个相当老的 Centos 主机。
除非必须,否则我宁愿不要让盒子离线来修复它。还有什么可以阻止 root 登录 / su / sudo su ?
更新 主机并不像我想象的那么旧 - 它的 Centos 7.4
我可以通过运行获得root权限
sudo -u root /bin/bash
(但更传统的方法仍然失败并出现相同的错误)。
在尝试运行“su”时,会出现以下日志条目(但 su 向标准输出报告错误并退出)
May 17 15:25:06 myhost su: pam_limits(su:session): Could not set limit for 'nofile': Operation not permitted
May 17 15:25:06 myhost su: pam_unix(su:session): session opened for user root by symcbean(uid=0)
我之前能够使用密码验证通过 SSH 连接到这个远程服务器。我想改变它,让它使用私钥/公钥对。我按照必要的步骤生成密钥对,编辑/etc/ssh/sshd_config文件以启用 RSA 和 Pubkey 身份验证,并禁用密码身份验证:
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no
问题是我(错误地)将authorized_keys文件移出~/.ssh/远程主机的文件夹。因此,在退出远程主机后,我无法通过 SSH 重新登录,因为它无法识别我的私钥,并显示以下消息:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
我现在是否被永久锁定在远程服务器之外?有没有办法authorized_keys在 SSH 命令本身中指定文件的位置?
我在 Keycloak 中有一个现有的用户数据库。
我想构建一台Linux机器,根据Keycloak中的用户数据库(用户名,密码)登录用户。
我怎样才能做到这一点?
一台计算机正在用于轮班工作,当前使用一个共享帐户并在启动时自动登录。某些 UI 应用程序在自动登录时启动,并且它们连续运行很重要。
我们如何在不注销的情况下安全地验证个人用户进入该系统(例如使用智能卡)?个人用户仅使用其凭据解锁和锁定屏幕,他们不拥有该帐户本身,并且该帐户永远不会注销。
建议的方法是将控制台连接到支持身份验证的 KVM。这将需要具有该开放控制台的系统的物理安全性,并信任 KVM。显然比我们现在所做的要好。是否有优雅的计算机内解决方案?似乎一个窗口管理器应该是可配置或可修改的来做这样的事情。也许有这方面的教程,我只是没有使用正确的搜索词?
我有 centos 7.6 并在上面安装了 squid 4.5。
sudo yum -y install squid
我关注了这个链接。
没有身份验证 squid 可以正常工作。这是添加部分
后的 squid.conf :Basic Authentication# Basic Authentication
#
# Recommended minimum configuration:
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8 # RFC 1918 local private network (LAN)
acl localnet src 100.64.0.0/10 # RFC 6598 shared address space (CGN)
acl localnet src 169.254.0.0/16 # RFC 3927 link-local (directly plugged) machines
acl localnet src 172.16.0.0/12 # RFC 1918 local private network (LAN)
acl localnet src 192.168.0.0/16 # RFC 1918 local private network (LAN)
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
# http_access deny CONNECT !SSL_ports
# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
# Basic Authentication
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
# allow all requests
acl all src 0.0.0.0/0
http_access allow all
# And finally deny all other access to this proxy
http_access deny all
# Squid normally listens to port 3128
http_port 3128
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
请看# Basic Authentication部分。
问题是:
/usr/lib64/squid/basic_ncsa_auth文件不存在。
那个文件在哪里?
我该如何解决这个问题?
yum info squid
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: mirror.softaculous.com
* epel: mirror.wiuwiu.de
* extras: mirror.alpix.eu
* updates: centosmirror.netcup.net
Installed Packages
Name : squid
Arch : x86_64
Epoch : 7
Version : 4.5
Release : 1.el7
Size : 10 M
Repo : installed
From repo : squid
Summary : The Squid proxy caching server
URL : http://www.squid-cache.org
License : GPLv2+ and (LGPLv2+ and MIT and BSD and Public Domain)
Description : Squid is a high-performance proxy caching server for Web clients,
: supporting FTP, gopher, and HTTP data objects. Unlike traditional
: caching software, Squid handles all requests in a single,
: non-blocking, I/O-driven process. Squid keeps meta data and especially
: hot objects cached in RAM, caches DNS lookups, supports non-blocking
: DNS lookups, and implements negative caching of failed requests.
:
: Squid consists of a main server program squid, a Domain Name System
: lookup program (dnsserver), a program for retrieving FTP data
: (ftpget), and some management and client tools.