WoJ's questions

我目前使用 ssh 密钥连接到我的服务器（Ubuntu 18.04）。我想允许（在特定的、有限的范围内）使用密码登录的能力。

每当我尝试时，我的密码都会失败。下面是我设置密码的会话，然后尝试使用它：

~ # id
uid=0(root) gid=0(root) groups=0(root)

~ # passwd
Enter new UNIX password: <helloworld>
Retype new UNIX password: <helloworld>
passwd: password updated successfully

~ # ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no [email protected]
The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:AlFtwpK4EhhaMXP5aT6fuQM9u9RYPq/o/sLJXfz++jM.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '127.0.0.1' (ECDSA) to the list of known hosts.
[email protected]'s password: <helloworld>
Permission denied, please try again.

如果这很明显，我很抱歉，我不知道为什么服务器接受新密码，然后接受基于密码的登录以最终拒绝凭据。

编辑：sshd_config我未能添加的文件

~ # cat /etc/ssh/sshd_config | grep -v ^#  | grep -v ^$                                                                                                                  root@srv
Port 22
PasswordAuthentication no
ChallengeResponseAuthentication no
GSSAPIAuthentication no
UsePAM yes
PrintMotd no
UseDNS no
AcceptEnv LANG LC_*
Subsystem       sftp    /usr/lib/openssh/sftp-server
Match Address 192.168.10.0/24,192.168.20.0/24,127.0.0.0/8
    PasswordAuthentication yes

我试图查看在“午夜之前”（昨天的最后一刻）到之后在我的系统上记录的内容。

~ # journalctl --since "2019-09-09 23:59" --until "2019-09-10 00:10"                                                                                                     
-- Logs begin at Mon 2019-08-05 09:48:15 CEST, end at Tue 2019-09-10 17:04:00 CEST. --

~ # 

输出为空，我被告知从一个月前到现在有可用的日志。为什么不显示？

裸机journalctl显示大量日志（从 8 月开始，现在结束）

~ # journalctl | tail -5
Sep 10 17:10:53 srv synapse[1111]: 2019-09-10 17:10:53,792 synapse.access.http.8008 (...)
Sep 10 17:11:00 srv caddy[1111]: (...)
Sep 10 17:11:02 srv mqtt[1111]: 1568128262: New (...)
Sep 10 17:11:02 srv mqtt[1111]: 1568128262: New(...)
Sep 10 17:11:02 srv mqtt[1111]: 1568128262: Client (...)

~ # journalctl | head -5                                                                                                                                                 root@srv
-- Logs begin at Mon 2019-08-05 09:48:15 CEST, end at Tue 2019-09-10 17:13:23 CEST. --
Aug 05 09:48:15 srv systemd[15247]: Stopped target Default.
Aug 05 09:48:15 srv systemd[15247]: Stopped target Basic System.
Aug 05 09:48:15 srv systemd[15247]: Stopped target Paths.
Aug 05 09:48:15 srv systemd[15247]: Stopped target Timers.

编辑1：该时间范围内有事件：

~ # less /var/log/syslog.1
(...)
Sep 10 00:07:41 srv systemd[1]: Started Session 109446 of user root.
(...)

编辑2：有趣的是，在另一个时间范围内，我得到了事件，但不是从那个时间范围：

~ # journalctl --since "2019-09-09 18:00" --until "2019-09-10 19:00"
-- Logs begin at Mon 2019-08-05 09:48:15 CEST, end at Tue 2019-09-10 19:21:44 CEST. --
Sep 10 15:51:26 srv systemd[468]: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Sep 10 15:51:26 srv audit[468]: USER_START pid=468 uid=0 auid=0 ses=146446 msg='op=PAM:session_open acct="root" exe="/lib/systemd/systemd" hostname=? addr=? t
Sep 10 15:51:26 srv systemd[468]: Reached target Paths.

我有几个容器（systemd-nspawn基于），我想知道我应该设置时间（通过systemd-timesyncd）还是由主机维护？

我有一个主机，192.168.0.0/24其 IP 为192.168.0.13. 其 DHCP 提供的网关是192.168.0.254.

配置是通过完成的，systemd-networkd并且至少在版本之前存在以下问题240（我今天使用的版本 - 请参阅我关于更多版本的答案）。

我需要这台主机10.0.0.0/8访问可通过192.168.0.10网关访问的网络 - 这可以通过添加静态路由来完成：

# ip r add 10.0.0.0/8 via 192.168.0.10

它工作正常（流量通过）。

我现在想通过在我的当前定义systemd-networkd中添加一个来将此条目添加到我的配置中[Route]

[Match]
Name=eth0

[Network]
DHCP=yes

# the entry below is added to ensure a static route

[Route]
Gateway=192.168.0.10
Destination=10.0.0.0/8

这没用：

• 没有添加静态路由
• 日志中有一条错误消息提到无法访问的网络

Jan 17 11:29:32 rpi-dmz systemd[1]: Stopping Network Service...
Jan 17 11:29:32 rpi-dmz systemd[1]: Stopped Network Service.
Jan 17 11:29:32 rpi-dmz systemd[1]: Starting Network Service...
Jan 17 11:29:33 rpi-dmz systemd-networkd[14584]: wlan0: Gained IPv6LL
Jan 17 11:29:33 rpi-dmz systemd-networkd[14584]: eth0: Gained IPv6LL
Jan 17 11:29:33 rpi-dmz systemd-networkd[14584]: Enumeration completed
Jan 17 11:29:33 rpi-dmz systemd[1]: Started Network Service.
Jan 17 11:29:33 rpi-dmz systemd-networkd[14584]: eth0: Could not set route: Network is unreachable
Jan 17 11:29:33 rpi-dmz systemd-networkd[14584]: eth0: DHCPv4 address 192.168.0.13/24 via 192.168.0.254

如何通过正确添加该路线systemd-networkd？

考虑以下拓扑：

我将 ICMP（ping）数据包从 发送host B到10.0.1.1。他们到达了目标，而目标的答案是reply。连接工作正常。

运行时，开host A

• tcpdump -i eth1 icmp: 我没有看到任何数据包
• tcpdump -i eth2 icmp: 看到包了

有没有办法检查打算接口的数据包是否eth1确实到达了该接口？

我依稀记得有一天读到内核正在处理eth2级别（这是数据包到达的第一个接口）的回复，因此可以解释为什么监控eth1不会产生任何结果。

至于为什么我需要检查这样的特定情况：我有数据包到达主机接口（第一个接口）但似乎没有到达预期接口（实际应用程序没有启动）的情况）。这样的测试将确保防火墙/转发正常并且问题出在其他地方（在应用程序的配置中，应用程序中的错误等）

我想设置一个计时器，它将停止服务，执行脚本并重新启动服务。

一种可能性是使用

Type=oneshot
ExecStartPre=/bin/systemctl stop myservice
ExecStart=/usr/local/bin/myscript.sh
ExecStartPost=/bin/systemctl start myservice

另一个是myscript.sh处理整个事情，包括systemctl.

不过，我发现在服务声明中使用它很尴尬，因为systemctl可能有 systemd 内置机制与服务交互。有没有更简洁的方法来执行这些操作？

是否有记录的方法可以从作为服务本身运行的程序的代码中检查它是否已启动systemd（而不是从交互式登录会话中、从 cron 等启动）？

我当前的解决方案是在.service单元 ( Environment=...) 中定义一个环境变量，并检查它在我的代码中是否存在。但可能有一些直接可用的东西。