關於SSH_USER_AUTH

by Devin Yang

建立於: 3年前 ( 更新: 3年前 )

在OpenSSH 7.6後,可以在sshd_config的設定檔中加入
ExposeAuhtInfo yes的參數,重啟sshd,然後再登入,
就會有環境變數$SSH_USER_AUTH
這能功寫入暫存檔在tmp中,檔案內含登入公鑰

如下圖:

dlaravel@654c1c7fca4b:~$ env|grep SSH
SSH_USER_AUTH=/tmp/sshauth.vWH6DS7R8VSTwrx
SSH_CONNECTION=192.168.88.244 52377 172.29.0.3 22
SSH_CLIENT=192.168.88.244 52377 22
SSH_TTY=/dev/pts/0

可以cat變數看看

cat $SSH_USER_AUTH
publickey ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIKdlWExfqzI8Yo2WxisQIGizaOx9hYKfnstSsyg6T+1

或許有人會問,弄這能做什麼,當一堆人登入遠端主機同一個帳號時,
對我來說,我能從暫存檔中,知道誰用那一把OpenSSH公鑰登入該主機。

dlaravel@7661c008b271:/tmp$ ls -lh sshauth.*
-rw------- 1 dlaravel dlaravel 91 12月 10 12:16 sshauth.qKAzxWvnbGmaT01
-rw------- 1 dlaravel dlaravel 91 12月 10 12:16 sshauth.Qvxh5tjKX6z0ZvW


示意圖,例如下方這兩個登入的到底是誰跟誰,有了暫存檔就看的出來囉。

dlaravel@7661c008b271:/tmp$ w
 12:27:49 up 44 days,  3:48,  2 users,  load average: 0.11, 0.07, 0.01
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
dlaravel pts/0    192.168.88.244   12:16    1.00s  0.01s  0.00s w
dlaravel pts/2    192.168.88.86    12:27    7.00s  0.00s  0.00s -bash

Tags: ssh security config

Devin Yang

文章內容無法一一說明,如果您有什麼不了解處,歡迎提問哦:)

Follow

No Comment

Post your comment

需要登入才可留言!

類似的文章


城堡
linux,security

ssh-agent及ssh-add認證代理員

在ssh的核心套件中的程式諸如,scp、ssh、ssh-add、ssh-agent、sshd及ssh-keygen 讓我們來談談ssh-agent及ssh-add使用情境吧。 在開始前先來看看這些指令用途的簡介:

城堡
sshd

如何在命令列重啟sysnology的sshd服務

在命令列重啟Synology Nas的sshd服務

城堡
config,ssl,certbot

Apache及Nginx的ACME驗證通殺

有人或許會好奇記這個做什麼,我大概說明一下我的情境,超老舊主機,沒Docker也沒法裝HAProxy或certbo,就只有apache及nginx。但我需要在該主機上自動申請及更新憑證,所以我透過NFS,讓該主機掛載另一台可以跑certbot程式主機上的資料夾,讓他生成的驗證檔直接產生在舊主機上/home/nginx/acme-challenge/.well-known/acme-challenge/目錄內,網頁就能夠順利驗證,並取得憑證啦。有一堆vhost時,可以全部吃同一個資料夾,而不是每個vhost網站都去建目錄。