sshd_config
检查配置。sshd_config
配置文件。vim /etc/ssh/sshd_config
#
进行注释。AllowUsers root testDenyUsers testDenyGroups testAllowGroups root
systemctl restart sshd.service
service sshd restart
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).sshd[10826]: Connection closed by xxx.xxx.xxx.xxx.Disconnected:No supported authentication methods available.
PasswordAuthentication
参数,禁用了密码验证登录导致。sshd_config
。PasswordAuthentication
参数,并重启 SSH 服务即可。sshd_config
配置文件。vim /etc/ssh/sshd_config
PasswordAuthentication no
修改为 PasswordAuthentication yes
。systemctl restart sshd.service
service sshd restart
/etc/hosts.allow
和 /etc/hosts.deny
文件设置访问策略,两个文件分别对应允许和阻止的策略。例如,可以在 hosts.allow
文件中设置信任主机规则,在 hosts.deny
文件中拒绝所有其他主机。以 hosts.deny
为例,阻止策略配置如下:in.sshd:ALL # 阻止全部ssh连接in.sshd:218.64.87.0/255.255.255.128 # 阻止218.64.87.0—-127的sshALL:ALL # 阻止所有TCP连接
sudo iptables -L --line-number
sshd_config
配置文件。vim /etc/ssh/sshd_config
MaxStartups
值是否需调整。sshd_config
配置文件中通过 MaxStartups
设置允许的最大连接数,如果短时间需建立较多连接,则需适当调整该值。service sshd restart
PermitRootLogin
配置所致。/usr/sbin/sestatus -v
enabled
即处于开启状态,disabled
即处于关闭状态。如下所示,则为开启状态:SELinux status: enabled
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
sshd_config
配置文件。vim /etc/ssh/sshd_config
PermitRootLogin no
修改为 PermitRootLogin yes
。sshd_config
中未配置该参数,则默认允许 root 用户登录。service sshd restart
sshd_config
。MaxAuthTries
参数配置,并重启 SSH 服务即可。sshd_config
配置文件。vim /etc/ssh/sshd_config
MaxAuthTries 5
sshd_config
配置文件。#
进行注释。MaxAuthTries <允许输入错误密码的次数>
service sshd restart
ll /usr/lib64/libcrypto.so.10
/usr/lib64/libcrypto.so.10
是 libcrypto.so.1.0.2k
库文件的软链接。lrwxrwxrwx 1 root root 19 Jan 19 2021 /usr/lib64/libcrypto.so.10 -> libcrypto.so.1.0.2k
libcrypto.so.1.0.2k
库文件信息。ll /usr/lib64/libcrypto.so.1.0.2k
-rwxr-xr-x 1 root root 2520768 Dec 17 2020 /usr/lib64/libcrypto.so.1.0.2k
libcrypto.so.1.0.2k
文件。find / -name libcrypto.so.1.0.2k
cp <步骤1获取的库文件绝对路径> /usr/lib64/libcrypto.so.1.0.2k
chmod 755 /usr/lib64/libcrypto.so.1.0.2k
chown root:root /usr/lib64/libcrypto.so.1.0.2k
ln -s /usr/lib64/libcrypto.so.1.0.2k /usr/lib64/libcrypto.so.10
service sshd start
libcrypto.so.1.0.2k
的库文件上传至目标服务器的 \\tmp
目录。\\tmp
目录为例,您可结合实际情况进行修改。cp /tmp/libcrypto.so.1.0.2k /usr/lib64/libcrypto.so.1.0.2k
chmod 755 /usr/lib64/libcrypto.so.1.0.2k
chown root:root /usr/lib64/libcrypto.so.1.0.2k
ln -s /usr/lib64/libcrypto.so.1.0.2k /usr/lib64/libcrypto.so.10
service sshd start
FAILED.fatal: Cannot bind any address.address family must be specified before ListenAddress.
AddressFamily
参数配置不当所致。AddressFamily
参数用于指定运行时使用的协议簇,若参数仅配置了 IPv6,而系统内未启用 IPv6 或 IPv6 配置无效,则可能导致该问题。sshd_config
检查配置。AddressFamily
参数,并重启 SSH 服务即可。sshd_config
配置文件。vim /etc/ssh/sshd_config
AddressFamily inet6
#
进行注释。 AddressFamily inet
AddressFamily
参数需在 ListenAddress
前配置才可生效。service
sshd restart
/etc/ssh/sshd_config: line 2: Bad configuration options:\\\\/etc/ssh/sshd_config: terminating, 1 bad configuration options
sshd_config
配置文件。/etc/ssh/sshd_config
配置文件。您可参考其他实例的正确配置文件进行修改。/etc/ssh/sshd_config
的库文件上传至目标服务器的 \\tmp
目录。\\tmp
目录为例,您可结合实际情况进行修改。cp /tmp/sshd_config /etc/ssh/sshd_config
chmod 600 /etc/ssh/sshd_config``` ```chown root:root /etc/ssh/sshd_config
service sshd start
rpm -e openssh-server
yum install openssh-server
service sshd start
sshd_config
。sshd_config
配置文件。vim /etc/ssh/sshd_config
UseDNS yes
#
进行注释。service
sshd restart
cd /etc/ssh/
chmod 600 ssh_host_*
chmod 644 *.pub
ll
命令,查看文件权限。返回如下结果,表明文件权限正常。total 156-rw-------. 1 root root 125811 Nov 23 2013 moduli-rw-r--r--. 1 root root 2047 Nov 23 2013 ssh_config-rw------- 1 root root 3639 May 16 11:43 sshd_config-rw------- 1 root root 668 May 20 23:31 ssh_host_dsa_key-rw-r--r-- 1 root root 590 May 20 23:31 ssh_host_dsa_key.pub-rw------- 1 root root 963 May 20 23:31 ssh_host_key-rw-r--r-- 1 root root 627 May 20 23:31 ssh_host_key.pub-rw------- 1 root root 1675 May 20 23:31 ssh_host_rsa_key-rw-r--r-- 1 root root 382 May 20 23:31 ssh_host_rsa_key.pub
ssh_host_*
文件。cd /etc/ssh/
ll
ssh_host_*
文件。total 156 -rw-------. 1 root root 125811 Nov 23 2013 moduli -rw-r--r--. 1 root root 2047 Nov 23 2013 ssh_config -rw------- 1 root root 3639 May 16 11:43 sshd_config -rw------- 1 root root 672 May 20 23:08 ssh_host_dsa_key -rw-r--r-- 1 root root 590 May 20 23:08 ssh_host_dsa_key.pub -rw------- 1 root root 963 May 20 23:08 ssh_host_key -rw-r--r-- 1 root root 627 May 20 23:08 ssh_host_key.pub -rw------- 1 root root 1675 May 20 23:08 ssh_host_rsa_key -rw-r--r-- 1 root root 382 May 20 23:08 ssh_host_rsa_key.pub
rm -rf ssh_host_*
sudo rm -r /etc/ssh/ssh*key
ll
命令,确认文件是否成功删除。返回结果如下所示,则说明已成功删除。total 132-rw-------. 1 root root 125811 Nov 23 2013 moduli-rw-r--r--. 1 root root 2047 Nov 23 2013 ssh_config-rw------- 1 root root 3639 May 16 11:43 sshd_config
service sshd restart
sudo dpkg-reconfigure openssh-server
ll
命令,确认是否成功生成 ssh_host_*
文件。返回结果如下,则说明已成功生成。total
156
-rw-------.
1
root root
125811
Nov
23
2013
moduli -rw-r--r--.
1
root root
2047
Nov
23
2013
ssh_config -rw-------
1
root root
3639
May
16
11
:43 sshd_config -rw-------
1
root root
668
May
20
23
:16 ssh_host_dsa_key -rw-r--r--
1
root root
590
May
20
23
:16 ssh_host_dsa_key.pub -rw-------
1
root root
963
May
20
23
:16 ssh_host_key -rw-r--r--
1
root root
627
May
20
23
:16 ssh_host_key.pub -rw-------
1
root root
1671
May
20
23
:16 ssh_host_rsa_key -rw-r--r--
1
root root
382
May
20
23
:16 ssh_host_rsa_key.pub
/var/empty/sshd
目录权限配置。 ll -d /var/empty/sshd/
drwx--x--x. 2 root root 4096 Aug 9 2019 /var/empty/sshd/
/var/empty/sshd
目录权限默认为711,默认为 root 属组的 root 用户。chown -R root:root /var/empty/sshd
chmod -R 711 /var/empty/sshd
systemctl restart sshd.service
/etc/securetty
文件权限配置。ll /etc/securetty
-rw-------. 1 root root 255 Aug 5 2020 /etc/securetty
/etc/securetty
文件权限默认为600,默认为 root 属组的 root 用户。chown root:root /etc/securetty
chmod 600 /etc/securetty
systemctl restart sshd.service
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!Someone could be eavesdropping on you right now (man-in-the-middle attack)!It is also possible that the RSA host key has just been changed.The fingerprint for the RSA key sent by the remote host isae:6e:68:4c:97:a6:91:81:11:38:8d:64:ff:92:13:50.Please contact your system administrator.Add correct host key in /root/.ssh/known_hosts to get rid of this message.Offending key in /root/.ssh/known_hosts:70RSA host key for x.x.x.x has changed and you have requested strict checking.Host key verification failed.
X.X.X.X (端口:XX)的主机密钥与本地主机密钥数据库中保存的不一致。主机密钥已更改或有人试图监听此连接。若无法确定,建议取消此连接。
known_hosts
文件。vi ~/.ssh/known_hosts
1.14.xxx.xxskowcenw96a/pxka32sa....dsaprgpck2wa22mvi332ueddw...
/etc/pam.d
目录中都有对应的同名配置文件。例如,login 命令的配置文件是 /etc/pam.d/login
,可以在相应配置文件中配置具体的策略。cat
命令,查看对应 pam 配置文件。说明如下:文件 | 功能说明 |
/etc/pam.d/login | 控制台(管理终端)对应配置文件 |
/etc/pam.d/sshd | SSH 登录对应配置文件 |
/etc/pam.d/system-auth | 系统全局配置文件 |
auth required pam_listfile.so
item
=
user
sense
=
allow
file
=
/etc/ssh/whitelist
onerr
=
fail
#
进行注释。# auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail
pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root".
cat
命令,查看对应 pam 配置文件。说明如下:文件 | 功能说明 |
/etc/pam.d/login | 控制台(管理终端)对应配置文件 |
/etc/pam.d/sshd | SSH 登录对应配置文件 |
/etc/pam.d/system-auth | 系统全局配置文件 |
auth required pam_succeed_if.so uid >= 1000
#
进行注释。请结合实际情况进行修改,建议修改前进行备份。auth required pam_succeed_if.so uid <= 1000 # 修改策略# auth required pam_succeed_if.so uid >= 1000 # 注释相关配置
cat /etc/pam.d/system-auth
cat /etc/pam.d/login
cat /etc/pam.d/sshd
#
注释配置。本文以注释配置为例,修改完成后,相关配置如下所示:#auth required pam_tally2.so deny=3 unlock_time=5#auth required pam_tally.so onerr=fail no_magic_root#auth requeired pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10
pam_tally2
模块,如果不支持则可以使用 pam_tally
模块。不同的 pam 版本,设置可能有所不同,具体使用方法请参照相关模块的使用规则。pam_tally2
与 pam_tally
模块都可以用于账户锁定策略控制。两者的区别是前者增加了自动解锁时间的功能。even_deny_root
指限制 root 用户。deny
指设置普通用户和 root 用户连续错误登录的最大次数。超过最大次数,则锁定该用户。unlock_time
指设定普通用户锁定后,指定时间后解锁,单位为秒。root_unlock_time
指设定 root 用户锁定后,指定时间后解锁,单位为秒。pam_tally2 -u root #查看root用户登录密码连续输入错误次数
pam_tally2 -u root -r #清除root用户密码连续输入错误次数
authconfig --disableldap --update #更新PAM安全认证记录
login: Module is unknown.login: PAM unable to dlopen(/lib/security/pam_limits.so): /lib/security/pam_limits.so: cannot open shared object file: No such file or directory.
/etc/pam.d
目录中都有对应的同名配置文件。例如,login 命令的配置文件是 /etc/pam.d/login
,可以在相应配置文件中配置具体的策略。如下表所示:文件 | 功能说明 |
/etc/pam.d/login | 控制台(管理终端)对应配置文件 |
/etc/pam.d/sshd | SSH 登录对应配置文件 |
/etc/pam.d/system-auth | 系统全局配置文件 |
cat [对应 pam 配置文件的绝对路径]
/lib/security/pam_limits.so
。session required pam_limits.so
/lib/security/pam_limits.so
路径是否错误。ll /lib/security/pam_limits.so
pam_limits.so
模块路径。64位系统的 Linux 实例中,正确路径应该为 /lib64/security
。 修改后配置信息应如下所示:session required /lib64/security/pam_limits.so
ps aux | grep udev-fall
kill -9 [病毒进程 ID]
chkconfig udev-fall off
for i in ` find / -name "udev-fall"`;do echo '' > $i && rm -rf $i;done
systemctl restart sshd.service
sshd.service: main process exited, code=exited, status=203/EXEC.init: ssh main process (1843) terminated with status 255.
echo $PATH
/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
export PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
find / -name sshd
/usr/sbin/sshd
service
sshd restart
-bash: fork: retry: Resource temporarily unavailable.pam_limits(sshd:session):could not sent limit for 'nofile':operaton not permitted.Permission denied.
X-nproc.conf
文件管理 Ulimit 系统环境限制,操作步骤以 CentOS 6进行区分。X-nproc.conf
文件在不同系统版本中前缀数字不同,在 CentOS 6中为 90-nproc.conf
,在 CentOS 7中为 20-nproc.conf
,请以实际情况环境为准。cat
/etc/security/limits.conf
limits.conf
文件,选择注释、修改或删除 noproc
或 nofile
参数限制的资源类型代码操作。
修改前建议执行以下命令,备份 limits.conf
文件。cp -af /etc/security/limits.conf /root/limits.conf_bak
cat
/etc/security/limits.d/20-nproc.conf
/etc/security/limits.d/20-nproc.conf
文件,建议修改前进行文件备份。cat /etc/passwd | grep test
test:x:1000:1000::/home/test:/sbin/nologin
/etc/passwd
文件。建议在修改前进行文件备份。vim /etc/passwd
/sbin/nologin
修改为 /bin/bash
。
本页内容是否解决了您的问题?