關於SSH_USER_AUTH

by Devin Yang

建立於: 2年前 ( 更新: 2年前 )

在OpenSSH 7.6後,可以在sshd_config的設定檔中加入
ExposeAuhtInfo yes的參數,重啟sshd,然後再登入,
就會有環境變數$SSH_USER_AUTH
這能功寫入暫存檔在tmp中,檔案內含登入公鑰

如下圖:

dlaravel@654c1c7fca4b:~$ env|grep SSH
SSH_USER_AUTH=/tmp/sshauth.vWH6DS7R8VSTwrx
SSH_CONNECTION=192.168.88.244 52377 172.29.0.3 22
SSH_CLIENT=192.168.88.244 52377 22
SSH_TTY=/dev/pts/0

可以cat變數看看

cat $SSH_USER_AUTH
publickey ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIKdlWExfqzI8Yo2WxisQIGizaOx9hYKfnstSsyg6T+1

或許有人會問,弄這能做什麼,當一堆人登入遠端主機同一個帳號時,
對我來說,我能從暫存檔中,知道誰用那一把OpenSSH公鑰登入該主機。

dlaravel@7661c008b271:/tmp$ ls -lh sshauth.*
-rw------- 1 dlaravel dlaravel 91 12月 10 12:16 sshauth.qKAzxWvnbGmaT01
-rw------- 1 dlaravel dlaravel 91 12月 10 12:16 sshauth.Qvxh5tjKX6z0ZvW


示意圖,例如下方這兩個登入的到底是誰跟誰,有了暫存檔就看的出來囉。

dlaravel@7661c008b271:/tmp$ w
 12:27:49 up 44 days,  3:48,  2 users,  load average: 0.11, 0.07, 0.01
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
dlaravel pts/0    192.168.88.244   12:16    1.00s  0.01s  0.00s w
dlaravel pts/2    192.168.88.86    12:27    7.00s  0.00s  0.00s -bash

Tags: ssh security config

Devin Yang

文章內容無法一一說明,如果您有什麼不了解處,歡迎提問哦:)

Follow

No Comment

Post your comment

需要登入才可留言!

類似的文章


城堡
security,config

樹莓派fail2ban安裝筆記

我主機基本上都設定了遠端日誌,全部往Synology NAS上的日誌中心送。其中有一台當Router對外的樹莓派,會有一堆sshd驗證嘗試登,基本上我只允許公鑰驗證,所以用密碼也別想暴力破解呀,但一堆的驗證失敗的Log看了還真討厭。

城堡
config,ssl,certbot

Apache及Nginx的ACME驗證通殺

有人或許會好奇記這個做什麼,我大概說明一下我的情境,超老舊主機,沒Docker也沒法裝HAProxy或certbo,就只有apache及nginx。但我需要在該主機上自動申請及更新憑證,所以我透過NFS,讓該主機掛載另一台可以跑certbot程式主機上的資料夾,讓他生成的驗證檔直接產生在舊主機上/home/nginx/acme-challenge/.well-known/acme-challenge/目錄內,網頁就能夠順利驗證,並取得憑證啦。有一堆vhost時,可以全部吃同一個資料夾,而不是每個vhost網站都去建目錄。

城堡
config,vim

Vim在Ubuntu上的中文環境

如果Vim設定是中文環境,但Ubuntu安裝時未設定為zh_TW.UTF-8,那要如何安裝這個環境?