Ich arbeite mit einer Farm von Solaris 10-Servern mit einigen inkonsistenten Verhaltensweisen hinsichtlich der Anzeige von Bannern/Motd.
Dieses Mal versuche ich, per SCP von einem Server zum anderen zu wechseln. Zwischen manchen Servern erhalte ich kein Banner, bei manchen schon.
Ich habe bereits versucht:
- Erstellen der .hushlogin-Datei
- scp -q
- scp -o LogLevel=Fehler
- PrintMotd nein in /etc/ssh/sshd_config
- LogLevel QUIET in /etc/ssh/ssh_config
Bei Verwendung von SSH werden mir bereits keine Banner mehr angezeigt, bei Verwendung von SCP ist das Banner jedoch auf manchen Servern weiterhin vorhanden und ich würde gern eine Möglichkeit finden, es abzuschalten.
Ich habe keine Administratorrechte, kann aber Änderungen an bestimmten Konfigurationen anfordern.
Beispiel einer SCP-Sitzung:
usera@server20$ scp a.sh server43:/tmp
###################################################################
# This system is for the use of authorized users only. #
# Individuals using this computer system without authority, or in #
# excess of their authority, are subject to having all of their #
# activities on this system monitored and recorded by system #
# personnel. #
# #
# Anyone using this system expressly consents to such monitoring #
# and is advised that if such monitoring reveals possible #
# evidence of criminal activity, system personnel may provide the #
# evidence of such monitoring to law enforcement officials. #
###################################################################
WARNING: Access to this computer system is limited to authorised users only.
Unauthorised users may be subject to prosecution under the Crimes
Act or State legislation.
a.sh 100% |***********************************************************************************************************| 602 00:00
usera@server20$
Beispiel einer SSH-Sitzung von einem Server in der Farm:
usera@server20$ ssh server43
LI002: usera is allowed 2 concurrent logins
Last login: Tue Jun 16 2015 17:30:05 from pts/2
server43:usera>
Beispiel einer SSH-Sitzung von außerhalb der Farm:
login as: usera
###################################################################
# This system is for the use of authorized users only. #
# Individuals using this computer system without authority, or in #
# excess of their authority, are subject to having all of their #
# activities on this system monitored and recorded by system #
# personnel. #
# #
# Anyone using this system expressly consents to such monitoring #
# and is advised that if such monitoring reveals possible #
# evidence of criminal activity, system personnel may provide the #
# evidence of such monitoring to law enforcement officials. #
###################################################################
WARNING: Access to this computer system is limited to authorised users only.
Unauthorised users may be subject to prosecution under the Crimes
Act or State legislation.
Using keyboard-interactive authentication.
Password:
LI002: usera is allowed 2 concurrent logins
Last login: Tue Jun 16 2015 18:40:41 from pts/1
server43:usera>
Antwort1
Sie haben angegeben, dass dieser SSH-Server neben Ihrem gewünschten sftp
Ansatz auch reguläre SSH-Shell-Sitzungen durchführt. Außerdem gilt die folgende Antwort für die älteste mögliche OpenSSH-Version: v4.0.0p1
(sofern nicht anders angegeben). Diese Antwort gilt für die neuesten Solaris 10 und 11, da diese OpenSSH v6.6p1,REV=2014.03.20 verwenden.
Meine Lösung bietet sowohl normales SSH als auch scp
/ sftp
.
Einstellungen
Match User sftp
Der Trick besteht darin , die SSH-Serverkonfiguration mit einigen Einstellungen zu verwenden :
Banner
PrintMotd
Banner
Banner
Einstellung ist der Dateiname, dessen Inhalt der angegebenen Datei an den Remote-Benutzer gesendet wird, bevor die Authentifizierung zugelassen wird. Wenn das Argument ist, none
wird kein Banner angezeigt. Standardmäßig wird kein Banner angezeigt.
Basierend auf dem OP hatten Sie dies wahrscheinlich Banner yes
irgendwo in Ihrer Datei, und das ist in Ordnung, da wir dieses Verhalten einschränken können, ohne diese Konfigurationszeile zu ändern (mehr dazu später).
PrintMotd
PrintMotd
gibt an, ob sshd(8)
gedruckt werden soll /etc/motd
, wenn sich ein Benutzer interaktiv anmeldet. (Auf einigen Systemen wird es auch von der Shell, /etc/profile oder einem gleichwertigen Programm gedruckt.) Der Standardwert ist yes
.
Wahrscheinlich war dies PrintMotd <anything>
in Ihrer sshd_config
Konfigurationsdatei nicht der Fall, daher wird standardmäßig immer die Nachricht des Tages angezeigt.
Einstellungsblock
Um Ihr Problem zu beheben, gehen wir davon aus, dass der Benutzername für diese SFTP/SCP-Aktivität lautet sftp
.
Der einzufügende und zu verwendende Einstellungsblock, um sicherzustellen, dass keinem sftp
Benutzer Banner und keine Nachricht des Tages (MotD) angezeigt werden, lautet:
Match User sftp
Banner none
PrintMotd no
Platzierung der Einstellungen
Unser obiger Einstellungsblock kann in einen der folgenden Dateinamen eingefügt werden:
/etc/ssh/sshd_config
(ältere Distributionen mit OpenSSH v7.3 oder früher und bis zumacOS
12 MontereyAusführung)/etc/ssh/sshd_config.d/900-custom-match-sftp.conf
(seit OpenSSH v7.3 nach dem Jahr 2016)
SELTEN: Obwohl es nicht sehr wahrscheinlich ist (es sei denn, der Systemadministrator ist komplex oder es handelt sich um eine Unternehmensumgebung), Match user sftp
müssen die oben genannten Einstellungsblöcke vor allen Match all
, Match canonical
, oder Match final
-Blöcken platziert und gelesen werden.
HINWEIS: Die Konfiguration des SSH-Servers mit mehreren Dateien wird /etc/ssh/sshd_config.d
in ASCII-Reihenfolge geladen. Bei der Konfiguration mit mehreren Dateien werden häufig 2- oder 3-stellige Zahlen als Startdateinamen verwendet, um die korrekte Lesereihenfolge sicherzustellen. Unser Einstellungsblock muss vor allen , , oder Match user
platziert werden , sodass unsere Zahl vor ihrem oder steht, vorausgesetzt, dass und von anderen / / Einstellungsblöcken übernommen werden .Match all
Match canonical
Match final
970-*
97-*
9[7-9]-*
9[7-9][0-9]-*
canonical
final
all
SSH-Server neu laden/neu starten
Laden/starten Sie anschließend den SSH-Server neu.
Beim nächsten scp
Anmeldeversuch sftp
werden keine Banner und keine Tagesmeldungen mehr angezeigt.
Antwort2
Haben Sie diese Option ausprobiert: -o LogLevel=quiet