问题[ssh](unix)

在 FreeBSD 上，我尝试使用以下规则通过端口 22 上的 pf 阻止通过 ssh 进行的暴力破解尝试：

table <bruteforce> persist
pass log inet proto tcp from any to any port 22 flags S/SA keep state \
    (max-src-conn 3, max-src-conn-rate 3/60, \
    overload <bruteforce> flush global)
block in quick from <bruteforce>

我已经使用 上传了配置doas pfctl -f /etc/pf.conf并使用 启用了 pf doas pfctl -e。我正尝试从与配置防火墙的服务器不同的 PC 执行 SSH 暴力攻击（使用 SSH）。但是，当我doas pfctl -t bruteforce -T show在服务器上运行该命令时，没有得到任何结果。暴力攻击正在使用以下命令运行： hydra -l test -P word.txt 192.168.178.82 ssh

使用命令doas tcpdump -i em0 port 22我可以看到请求。

文件/etc/pf.conf配置如下：

set block-policy return

scrub in all fragment reassemble no-df max-mss 1440

nat on em0 from 10.0.0.0/24 to any -> (em0)

set skip on lo0

block in all
block out all

block in quick inet6 all
block out quick inet6 all

pass in quick proto tcp from 192.168.178.0/24 to any port 22 keep state

pass in quick proto tcp to any port 443 keep state
pass out quick proto tcp to any port 443 keep state

pass in quick proto tcp from 127.0.0.1 to 127.0.0.1 port 8080 keep state

pass out quick proto udp from any to any port 53
pass in quick proto udp from any to any port 53

pass out quick on epair1a
pass in quick on epair1a from em0 to any
pass in quick on em0 from 10.0.0.0/24 to any

pass in quick on lo0
pass out quick on lo0


table <bruteforce> persist
pass log inet proto tcp from any to any port 22 flags S/SA keep state \
    (max-src-conn 3, max-src-conn-rate 3/60, \
    overload <bruteforce> flush global)
block in quick from <bruteforce>

和文件 /etc/rc.conf：

#System
clear_tmp_enable="YES"
syslogd_flags="-ss"
hostname="test"
keymap="it.kbd"
sshd_enable="YES"
moused_nondefault_enable="NO"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="NO"
zfs_enable="YES"
auditd_enable="YES"

#Network
ipv6_enable="NO"
ipv6_network_interfaces="none"
ipv6_activate_all_interfaces="NO"
ipv6_gateway_enable="NO"
ifconfig_em0="DHCP"

#Level 2 ISO/OSI: ipfw
firewall_enable="YES"

#Level 3 ISO/OSI: pf
firewall_enable="YES"
firewall_type="client"
firewall_script="/etc/ipfw.rules"
firewall_logging="YES"
firewall_logif="YES"

# Jails
cbsd_workdir="/home/user/jails"
cbsdd_enable="YES"

文件 /etc/sysctl.conf：

security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.see_jail_proc=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=1
vfs.zfs.min_auto_ashift=12

#Network
net.inet6.ip6.enable=0
net.inet6.ip6.forwarding="0"
net.inet.ip.fw.verbose_limit=5

#Hardening
kern.securelevel="1"
hw.kbd.keymap_restrict_change="4"    # disallow keymap changes for non-privileged users
kern.ipc.shm_use_phys="1"            # lock shared memory into RAM and prevent it from being paged out to swap (default 0, disabled)
kern.msgbuf_show_timestamp="1"       # display timestamp in msgbuf (default 0)
kern.randompid="1"                # calculate PIDs by the modulus of the integer given, choose a random int (default 0)
net.inet.icmp.drop_redirect="1"      # no redirected ICMP packets (default 0)
net.inet.ip.check_interface="1"      # verify packet arrives on correct interface (default 0)
net.inet.ip.portrange.first="1024"   # use ports 1024 to portrange.last for outgoing connections (default 10000)
net.inet.ip.portrange.randomcps="999" # use random port allocation if less than this many ports per second are allocated (default 10)
net.inet.ip.random_id="1"            # assign a random IP id to each packet leaving the system (default 0)
net.inet.ip.redirect="0"             # do not send IP redirects (default 1)
net.inet.tcp.always_keepalive="0"    # disable tcp keep alive detection for dead peers, keepalive can be spoofed (default 1)
net.inet.tcp.blackhole="2"           # drop tcp packets destined for closed ports (default 0)
net.inet.tcp.drop_synfin="1"         # SYN/FIN packets get dropped on initial connection (default 0)
net.inet.tcp.ecn.enable="0"          # Explicit Congestion Notification disabled unless proper active queue manageme
net.inet.tcp.fast_finwait2_recycle="1" # recycle FIN/WAIT states quickly, helps against DoS, but may cause false RST
net.inet.tcp.finwait2_timeout="5000" # TCP FIN_WAIT_2 timeout waiting for client FIN packet before state close (default 60000, 60 sec)
net.inet.tcp.icmp_may_rst="0"        # icmp may not send RST to avoid spoofed icmp/udp floods (default 1)
net.inet.tcp.keepinit="5000"         # establish connection in five(5) seconds or abort attempt (default 75000, 75 secs)
net.inet.tcp.msl="2500"              # Maximum Segment Lifetime, time the connection spends in TIME_WAIT state (default 30000, 2*MSL = 60 sec)
net.inet.tcp.nolocaltimewait="1"     # remove TIME_WAIT states for the loopback interface (default 0)
net.inet.tcp.path_mtu_discovery="0"  # disable MTU discovery since many hosts drop ICMP type 3 packets (default 1)
net.inet.tcp.rexmit_slop="70"        # reduce the TCP retransmit timer, min+slop=100ms (default 200ms)
net.inet.udp.blackhole="1"           # drop udp packets destined for closed sockets (default 0)
security.bsd.hardlink_check_gid="1"  # unprivileged processes may not create hard links to files owned by other groups (default 0)
security.bsd.hardlink_check_uid="1"  # unprivileged processes may not create hard links to files owned by other users (default 0)
security.bsd.see_other_gids="0"      # groups only see their own processes. root can see all (default 1)
security.bsd.see_other_uids="0"      # users only see their own processes. root can see all (default 1)
security.bsd.stack_guard_page="1"    # stack smashing protection (SSP), ProPolice, defence against buffer overflows
security.bsd.unprivileged_proc_debug="0" # unprivileged processes may not use process debugging (default 1)
security.bsd.unprivileged_read_msgbuf="0" # unprivileged processes may not read the kernel message buffer (default 1)

你能帮助我理解为什么我无法通过暴力破解来阻止请求，因此看到它们被阻止了吗doas pfctl -t bruteforce -T show？

提前致谢。

我想使用本地终端的命令来备份 openwrt，这很简单，但我的问题在于，当我尝试将备份恢复到本地电脑时，就会出现问题。这是我目前所拥有的，第一部分没问题：

#!/bin/bash

ssh [email protected] sysupgrade --create-backup /tmp/main_backup.tar.gz 

使用该命令，我创建了我的路由器的备份，并且我想将该备份 scp 到我的本地电脑。

当我从 Linux RHEL 8 连接到远程 macOS Sonoma 时ssh -J user@portal user@mac，连接后我运行vim somefile，在退出 Vim 后，我在“页面”的左上角以及 shell 提示符下得到了一些多余的字符：

[>4;m

^{注意：我无法正确捕获这些字节，我不知道该怎么做}

这不是我第一次遇到这个问题，使用不同的本地/远程操作系统组合（Solaris/FreeBSD/AIX/Linux/macOS），但以前我只需要terminfo在远程 NIX 上安装软件包即可解决这个问题。

不过，在 macOS Sonoma 上，RHEL 8 使用的 terminfoxterm-256color已经在 中/usr/share/terminfo/78/xterm-256color，更改TERM为xterm没有帮助。

对于如何修复该问题您有什么想法吗？

过去，每当我尝试ssh连接到服务器而不指定密码时ssh，我都会尝试所有密钥ssh-agent，如果密钥太多，我的 IP 地址可能会因连接失败次数过多而被禁止。

行为似乎已经改变，即使列表中有一个有效键，ssh-agent我也必须将其包含在命令中，例如ssh -i ~/.ssh/alternate-key user@host。

这是由于某些配置设置的改变或可执行文件本身行为的改变造成的ssh。

我对用户仍然可以通过 ssh 访问其帐户已过期的 Linux 机器（Ubuntu 18.04.6 LTS）这一事实感到有些惊讶。

我使用以下命令设置帐户到期日期chage：

sudo chage -l xxxx
Last password change                    : Oct 10, 2024
Password expires                    : never
Password inactive                   : never
Account expires                     : Nov 05, 2024
Minimum number of days between password change      : 0
Maximum number of days between password change      : 99999
Number of days of warning before password expires   : 7

该帐户于 2024-11-05 到期，但用户仍然可以通过 ssh 访问该帐户。

sshd 服务器或 PAM 中是否有任何配置来强制帐户过期？

据我所知，sshdUsePAM yes和 PAM 应该可以阻止登录，但它唯一做的就是 Your account has expired; please contact your system administrator在 ssh 横幅中打印。

如果我这样做，我会得到相同的结果sudo su xxxx，我确实得到了一个Your account has expired; please contact your system administrator，但无论如何我都会得到 shell 提示符。

目前，我的 git 存储库上有两个远程服务器，一个在我在家时指向 git，另一个在我外出时指向 git-ext。我想简化这一点。下面的 ssh 配置适用于 git 和 git-ext（请注意，match 语句已被注释掉）。如果我取消注释 match 块，据我所知，git 块的行为没有变化。当我在家时，它可以工作，当我外出时，它就不起作用了。

无论我使用 exec 还是 !exec，都没有关系。似乎没有任何变化。我不确定发生了什么，但我不得不说 exec 实际上没有运行。任何帮助都将不胜感激。

这是从 Windows WSL2、Debian 11、OpenSSH_8.4p1 运行的，虽然我也在运行 Debian 12 的 Linux 笔记本电脑上尝试过，结果相同。

host git
  hostname 192.168.1.10
  user git
  identityfile ~/.ssh/id_rsa_git

#match host git !exec "/usr/bin/ping -c1 192.168.1.1"
#  proxyjump  bastion

host example.com
  hostname example.com
  user user
  identityfile ~/.ssh/id_rsa_cloud

host bastion
  hostname 192.168.1.5
  user jump
  identityfile ~/.ssh/id_rsa_bastion
  proxyjump  example.com

host git-ext
  hostname 192.168.1.10
  user git
  identityfile ~/.ssh/id_rsa_git
  proxyjump  bastion

我的nitramfs环境中有一个正在运行的dropbear-initramfs服务器，但我无法让它显示横幅。以下内容工作正常：/etc/dropbear/initramfs/dropbear.conf

...
DROPBEAR_OPTIONS="-I 60 -p 22 -j -k -s -c cryptroot-unlock"
...

但是，指定 banner-file 会导致 dropbear 无法启动，即使/etc/banner&/etc/dropbear/initramfs/banner文件存在且已填充（我甚至尝试打开+x位）

...
DROPBEAR_OPTIONS="-I 60 -p 22 -j -k -s -b /etc/banner -c cryptroot-unlock"
...

使用 更新 initramfsupdate-initramfs -u并检查lsinitramfs /initrd.img | grep banner显示没有横幅文件。重新启动导致 dropbear 无法启动，端口保持关闭状态。我已经验证了这一单一更改是导致 dropbear 无法启动的原因。

我正在运行带有dropbear-initramfs/stable 的Debian 12 ，现在版本是 2022.83-1+deb12u2 。在我之前的 Arch 安装中，只需将其包含在DROPBEAR_OPTIONS中就足以用横幅文件填充 initrd。我是否遗漏了什么？-b /etc/banner

我最近一直在尝试 Hashicorp Vault，发现它非常有用。

我正在尝试设置签名的 ssh 证书以登录到我的远程主机/服务器，按照本指南操作：

https://developer.hashicorp.com/vault/docs/secrets/ssh/signed-ssh-certificates

我将 Vault 的公共 .pem 文件发送到我想要登录的目标主机，并使用 TrustedUserCAKeys /etc/ssh/trusted-user-ca-keys.pem 在 /etc/ssh/sshd_config 中指向它

我在客户端上生成了一对公私钥。我按照该指南在我的 Vault 服务器上获取了由 Vault 签名的公钥，并将其发送回客户端。

我能够使用密码或私钥 ssh 顺利进入目标主机。我无法使用签名的公钥进行 ssh，也无法强制它仅使用该方法。

以下是我尝试添加到主机（Debian）/etc/ssh/sshd_config 设置文件的命令：usePAM no PasswordAuthentication no ChallengeResponseAuthentication no PubKeyAuthentication no

这是我正在使用的 ssh 命令：ssh -v -o “IdentityOnly yes” -o CertificationFile=“/path/to/signedcert.pub” -i “/path/to/privatekey” user@IP

-v 输出表明它尝试了各种选项，但最终签名的证书不起作用，它又回到了密码验证（这对我来说也不清楚，因为我认为 sshd_config 中的命令足以禁用它……）。我在目标主机上进行这些更改时运行了 sudo systemctl restart sshd。

任何建议或意见都将不胜感激，因为我感觉很困惑，但可能忽略了一些显而易见的东西……

感谢您的帮助！

我想通过 ssh 发送一些环境变量。我修改了服务器上的 sshd_config，在 /etc/ssh/sshd_config.d 中添加了一个文件，其中包含：

# NB This DOES NOT conflict with PermitUserEnvironment=No
AcceptEnv NOTIF* LANG LC_*

并重新启动 sshd。运行ssh -o SendEnv=NOTIF* localhost printenv变量未在远程端设置。

/etc/ssh/sshd_config 中已有一个包含 的条目AcceptEnv LANG LC_*。注释掉 + 重新启动对行为没有影响。

$ export NOTIFY_WHAT="SERVICE"
$ export NOTIFY_SHORTDATETIME="CRIT"
$ export NOTIFY_HOSTNAME="web.example.com"
$ export NOTIFY_HOSTOUTPUT="host is up"
$ export NOTIFY_HOSTSTATE="OK"
$ export NOTIFY_NOTIFICATIONTYPE="PROBLEM"
$ export NOTIFY_SERVICEDESC="cmk-test"
$ export NOTIFY_SERVICEOUTPUT="oh no its broken!"
$ export NOTIFY_SERVICESTATE="CRIT"

$ ssh -o SendEnv=NOTIF* localhost printenv
SHELL=/bin/bash
LANGUAGE=en_US.UTF-8
SSH_AUTH_SOCK=/tmp/ssh-XXXXIxNz4o/agent.8579
PWD=/home/symcbean
LOGNAME=symcbean
MOTD_SHOWN=pam
HOME=/home/symcbean
LANG=C.UTF-8
SSH_CONNECTION=127.0.0.1 35340 127.0.0.1 22
USER=symcbean
SHLVL=0
SSH_CLIENT=127.0.0.1 35340 22
LC_ALL=C
PATH=/usr/local/bin:/usr/bin:/bin:/usr/games
_=/usr/bin/printenv

因此它不起作用，但奇怪的是，发送了一个修改后的 LANG：

$ export LANG=en_GB.UTF-8
$ ssh -o SendEnv=NOTIF* localhost printenv
SHELL=/bin/bash
LANGUAGE=en_US.UTF-8
SSH_AUTH_SOCK=/tmp/ssh-XXXXIxNz4o/agent.8579
PWD=/home/symcbean
LOGNAME=symcbean
MOTD_SHOWN=pam
HOME=/home/symcbean
LANG=en_GB.UTF-8
SSH_CONNECTION=127.0.0.1 35340 127.0.0.1 22
USER=symcbean
SHLVL=0
SSH_CLIENT=127.0.0.1 35340 22
LC_ALL=C
PATH=/usr/local/bin:/usr/bin:/bin:/usr/games
_=/usr/bin/printenv

（虽然我使用本地主机连接，但客户端和服务器在单独的 WSL 容器上运行。客户端是 1:8.9p1-3ubuntu0.7，服务器是 openssh-server 1:9.2p1-2+deb12u3）。

为了不引起歧义：

$ ssh -o SendEnv=NOTIF* localhost 'find /etc/ssh -type f -exec grep -H AcceptEnv {} \;'
grep: /etc/ssh/ssh_host_ed25519_key: Permission denied
grep: /etc/ssh/ssh_host_rsa_key: Permission denied
grep: /etc/ssh/ssh_host_ecdsa_key: Permission denied
/et`c/ssh/sshd_config.d/allowcheckmk:AcceptEnv NOTIF* LANG LC_*
/etc/ssh/sshd_config:# AcceptEnv LANG LC_*

更新 我-vv可以看到客户端似乎正在发送数据 - 它没有被接受/在远程端被丢弃......

debug1: Sending environment.
debug1: channel 2: setting env NOTIFY_SERVICESTATE = "CRIT"
debug2: channel 2: request env confirm 0
debug1: channel 2: setting env NOTIFY_HOSTSTATE = "OK"
debug2: channel 2: request env confirm 0
debug1: channel 2: setting env NOTIFY_WHAT = "SERVICE"
debug2: channel 2: request env confirm 0
...

如何使用 DSM 7.2 重新启动 Synology NAS 上的 SSH 守护程序/服务？

我已经尝试了太多命令而无法记住它们，例如：

# synoservicectl --restart sshd

但都不起作用。有人能告诉我在最新版本的 DSM (7.2) 上使用什么命令吗？

谢谢。