标签归档:ssh

SSH连接永远发起,卡在“服务:pledge:network”

使用ssh连接到我的一台服务器需要超过20秒的时间才能启动。

这与局域网或广域网条件无关,因为连接到本身需要相同的(ssh localhost)。 连接build立之后,与服务器进行交互是非常快的。

使用-v表示在说出“pledge:network”之后连接被卡住了。 此时,身份validation(这里使用密钥)已经完成,如下所示:

... debug1: Authentication succeeded (publickey). Authenticated to myserver.mydomain.com ([xx.xx.xx.xx]:22). debug1: channel 0: new [client-session] debug2: channel 0: send open debug1: Requesting no-more-sessions@openssh.com debug1: Entering interactive session. debug1: pledge: network 

(…在这里停留15到30秒…)

 debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0 debug2: callback start debug2: fd 3 setting TCP_NODELAY debug2: client_session2_setup: id 0 ... 

服务器是CentOS 7.2。 它已经发生在我以前与另一台服务器(是CentOS 7.2),nerver发现解决scheme,并在一段时间后消失的问题…

sshd_config是Ubuntu提供的默认configuration。

到目前为止我已经尝试过:

  • 在ssh命令中使用-o GSSAPIAuthentication = no
  • 使用密码而不是密钥
  • 在sshd_config中使用UsePrivilegeSeparation no而不是yes

测试回复正常速度

sftp服务限制用户登录读写家目录

sftp和ftp是两种协议是不同的,sftp是ssh内含的协议,只要sshd服务器启动了,它就可用,它本身不需要ftp服务器启动。

1.查看openssh软件版本,想sftp服务用户只能访问特定的文件目录,版本需要4.8以上

[root@localhost ftp]# rpm -qa | grep openssh
openssh-server-5.3p1-81.el6_3.x86_64
openssh-5.3p1-81.el6_3.x86_64
openssh-clients-5.3p1-81.el6_3.x86_64
2.新增用户,限制用户只能通过sftp访问

[root@localhost ftp]# useradd -m -d /opt/ftp/dave -s /sbin/nologin dave
3.限制用户通过sftp登录进来时只能进入主目录,修改/etc/ssh/sshd_config文件

[root@localhost ftp]# vim /etc/ssh/sshd_config
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match User dave
ChrootDirectory /opt/ftp/dave
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
重启ssh
systemctl restart sshd.service

4.测试访问

root@10.1.1.200:test# sftp -o Port=22 dave@10.1.6.175 Connecting to 10.1.6.175…
dave@10.1.6.175’s password:
Read from remote host 10.1.6.175: Connection reset by peer
Couldn’t read packet: Connection reset by peer
发现连接不上,查看日志

[root@localhost ftp]# tail /var/log/messages
Jan 6 11:41:41 localhost sshd[4907]: fatal: bad ownership or modes for chroot directory “/opt/ftp/dave” Jan 6 11:41:41 localhost sshd[4905]: pam_unix(sshd:session): session closed for user dave
解决方法:

目录权限设置上要遵循2点:

ChrootDirectory设置的目录权限及其所有的上级文件夹权限,属主和属组必须是root;
ChrootDirectory设置的目录权限及其所有的上级文件夹权限,只有属主能拥有写权限,权限最大设置只能是755。

如果不能遵循以上2点,即使是该目录仅属于某个用户,也可能会影响到所有的SFTP用户。

[root@localhost ftp]# ll
total 4 drwxr-xr-x 3 dave dave 4096 Jan 5 13:06 dave
[root@localhost ftp]# chown root:root dave
[root@localhost ftp]# chmod 755 dave
[root@localhost ftp]# ll total 4 drwxr-xr-x 3 root root 4096 Jan 5 13:06 dave
然后在测试通过

root@10.1.1.200:test# sftp -oPort=22 dave@10.1.6.175 Connecting to 10.1.6.175…
dave@10.1.6.175’s password:
sftp> ls
test
sftp> cd ..
sftp> ls
test
sftp> cd test
sftp> ls 1.txt
sftp> get 1.txt
Fetching /test/1.txt to 1.txt
/test/1.txt

可以看到已经限制用户在家目录,同时该用户也不能登录该机器。

ssh服务监听多个端口

修改sshd的配置文件 

默认位置:/etc/ssh/sshd_config

ss.jpg

注释掉 Port 这行
然后添加 ListenAddress 行
e.g:  ListenAddress 10.243.140.211:22
   ListenAddress 10.243.140.211:22
   ListenAddress 0.0.0.0:36000
这样ssh就监听了 两个端口,  port 22监听在10.243.140.211上, port 36000监听在本机所有IP0.0.0.0上 
然后重启sshd服务生效,命令 /etc/int.d/sshd restart   
重启后 注意iptables同样要开放端口,如果是云服务要同时主要云服务提供的防火墙是否放开访问。