by Devin Yang

建立于: 2年前 ( 更新: 2年前 )

在OpenSSH 7.6后,可以在sshd_config的设置档中添加
ExposeAuhtInfo yes的参数,重启sshd,然后再登录,
就会有环境变量$SSH_USER_AUTH
这能功写暂存档在tmp中,文件内含登录公钥

如下图:

dlaravel@654c1c7fca4b:~$ env|grep SSH
SSH_USER_AUTH=/tmp/sshauth.vWH6DS7R8VSTwrx
SSH_CONNECTION=192.168.88.244 52377 172.29.0.3 22
SSH_CLIENT=192.168.88.244 52377 22
SSH_TTY=/dev/pts/0

可以cat变量看看

cat $SSH_USER_AUTH
publickey ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIKdlWExfqzI8Yo2WxisQIGizaOx9hYKfnstSsyg6T+1

或许有人会问,弄这能做什么,当一堆人登录远程主机同一个帐号时,
对我来说,我能从暂存档中,知道谁用那一把OpenSSH公钥登录该主机。

dlaravel@7661c008b271:/tmp$ ls -lh sshauth.*
-rw------- 1 dlaravel dlaravel 91 12月 10 12:16 sshauth.qKAzxWvnbGmaT01
-rw------- 1 dlaravel dlaravel 91 12月 10 12:16 sshauth.Qvxh5tjKX6z0ZvW


示意图,例如下方这两个登录的到底是谁跟谁,有了暂存档就看的出来罗。

dlaravel@7661c008b271:/tmp$ w
 12:27:49 up 44 days,  3:48,  2 users,  load average: 0.11, 0.07, 0.01
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
dlaravel pts/0    192.168.88.244   12:16    1.00s  0.01s  0.00s w
dlaravel pts/2    192.168.88.86    12:27    7.00s  0.00s  0.00s -bash

Tags: ssh security config

Devin Yang

文章内容无法一一说明,如果您有什么不了解处,欢印提问哦:)

No Comment

Post your comment

需要登入才可留言!

类似文章


docker,goaccess,config

phpenv实战GoAccess即实网站解析(docker版)

在开始前我先说一下,GoAcess也能产出静态数据只要您有log,因为我觉的即时感觉比较炫,所以本文将专注在GoAccess即时显示的部分进行介绍。虽然Google Analytics(GA)很好用,但试试另一种GA感觉也很不错,例如您想了解网站使用者用什么浏览器访网站。

config

3C Tech Center转移至GCP了

我受不了Bulehost的龟速,已将DNS拉回由networksolutions直接管理啦, 调整DNS设置TTL到两小时,或许会再转换到其他地方.. 以下是Bulehost我个人无法接受的几点。 一、主机应该在美国,速度太慢。 二、无http/2。 三、mysql的时区无法调整。 所以决定移到Google Cloud Platform...

config,ssl,certbot

Apache及Nginx的ACME验证通杀

有人或许会好奇记这个做什么,我大概说明一下我的情境,超老旧主机,没Docker也没法装HAProxy或certbo,就只有apache及nginx。但我需要在该主机上自动申请及更新证书,所以我透过NFS,让该主机挂载另一台可以跑certbot进程主机上的数据夹,让他生成的验证档直接生成在旧主机上/home/nginx/acme-challenge/.well-known/acme-challenge/目录内,网页就能够顺利验证,并取得证书啦。有一堆vhost时,可以全部吃同一个数据夹,而不是每个vhost网站都去建目录。