Einstellungen

tag-icon tag-icon ssh solaris scp solaris-10
Einstellungen

Ich arbeite mit einer Farm von Solaris 10-Servern mit einigen inkonsistenten Verhaltensweisen hinsichtlich der Anzeige von Bannern/Motd.

Dieses Mal versuche ich, per SCP von einem Server zum anderen zu wechseln. Zwischen manchen Servern erhalte ich kein Banner, bei manchen schon.

Ich habe bereits versucht:

  • Erstellen der .hushlogin-Datei
  • scp -q
  • scp -o LogLevel=Fehler
  • PrintMotd nein in /etc/ssh/sshd_config
  • LogLevel QUIET in /etc/ssh/ssh_config

Bei Verwendung von SSH werden mir bereits keine Banner mehr angezeigt, bei Verwendung von SCP ist das Banner jedoch auf manchen Servern weiterhin vorhanden und ich würde gern eine Möglichkeit finden, es abzuschalten.

Ich habe keine Administratorrechte, kann aber Änderungen an bestimmten Konfigurationen anfordern.

Beispiel einer SCP-Sitzung:

usera@server20$ scp a.sh server43:/tmp
###################################################################
# This system is for the use of authorized users only.            #
# Individuals using this computer system without authority, or in #
# excess of their authority, are subject to having all of their   #
# activities on this system monitored and recorded by system      #
# personnel.                                                      #
#                                                                 #
# Anyone using this system expressly consents to such monitoring  #
# and is advised that if such monitoring reveals possible         #
# evidence of criminal activity, system personnel may provide the #
# evidence of such monitoring to law enforcement officials.       #
###################################################################

WARNING: Access to this computer system is limited to authorised users only.
Unauthorised users may be subject to prosecution under the Crimes
Act or State legislation.

a.sh                 100% |***********************************************************************************************************|   602       00:00
usera@server20$

Beispiel einer SSH-Sitzung von einem Server in der Farm:

usera@server20$  ssh server43
LI002: usera is allowed 2 concurrent logins
Last login: Tue Jun 16 2015 17:30:05 from pts/2
server43:usera>

Beispiel einer SSH-Sitzung von außerhalb der Farm:

login as: usera
###################################################################
# This system is for the use of authorized users only.            #
# Individuals using this computer system without authority, or in #
# excess of their authority, are subject to having all of their   #
# activities on this system monitored and recorded by system      #
# personnel.                                                      #
#                                                                 #
# Anyone using this system expressly consents to such monitoring  #
# and is advised that if such monitoring reveals possible         #
# evidence of criminal activity, system personnel may provide the #
# evidence of such monitoring to law enforcement officials.       #
###################################################################

WARNING: Access to this computer system is limited to authorised users only.
Unauthorised users may be subject to prosecution under the Crimes
Act or State legislation.

Using keyboard-interactive authentication.
Password:
LI002: usera is allowed 2 concurrent logins
Last login: Tue Jun 16 2015 18:40:41 from pts/1
server43:usera>

Antwort1

Sie haben angegeben, dass dieser SSH-Server neben Ihrem gewünschten sftpAnsatz auch reguläre SSH-Shell-Sitzungen durchführt. Außerdem gilt die folgende Antwort für die älteste mögliche OpenSSH-Version: v4.0.0p1(sofern nicht anders angegeben). Diese Antwort gilt für die neuesten Solaris 10 und 11, da diese OpenSSH v6.6p1,REV=2014.03.20 verwenden.

Meine Lösung bietet sowohl normales SSH als auch scp/ sftp.

Einstellungen

Match User sftpDer Trick besteht darin , die SSH-Serverkonfiguration mit einigen Einstellungen zu verwenden :

  • Banner
  • PrintMotd

Banner

BannerEinstellung ist der Dateiname, dessen Inhalt der angegebenen Datei an den Remote-Benutzer gesendet wird, bevor die Authentifizierung zugelassen wird. Wenn das Argument ist, nonewird kein Banner angezeigt. Standardmäßig wird kein Banner angezeigt.

Basierend auf dem OP hatten Sie dies wahrscheinlich Banner yesirgendwo in Ihrer Datei, und das ist in Ordnung, da wir dieses Verhalten einschränken können, ohne diese Konfigurationszeile zu ändern (mehr dazu später).

PrintMotd

PrintMotdgibt an, ob sshd(8)gedruckt werden soll /etc/motd, wenn sich ein Benutzer interaktiv anmeldet. (Auf einigen Systemen wird es auch von der Shell, /etc/profile oder einem gleichwertigen Programm gedruckt.) Der Standardwert ist yes.

Wahrscheinlich war dies PrintMotd <anything>in Ihrer sshd_configKonfigurationsdatei nicht der Fall, daher wird standardmäßig immer die Nachricht des Tages angezeigt.

Einstellungsblock

Um Ihr Problem zu beheben, gehen wir davon aus, dass der Benutzername für diese SFTP/SCP-Aktivität lautet sftp.

Der einzufügende und zu verwendende Einstellungsblock, um sicherzustellen, dass keinem sftpBenutzer Banner und keine Nachricht des Tages (MotD) angezeigt werden, lautet:

Match User sftp
    Banner none
    PrintMotd no

Platzierung der Einstellungen

Unser obiger Einstellungsblock kann in einen der folgenden Dateinamen eingefügt werden:

  • /etc/ssh/sshd_config(ältere Distributionen mit OpenSSH v7.3 oder früher und bis zumacOS 12 MontereyAusführung)
  • /etc/ssh/sshd_config.d/900-custom-match-sftp.conf(seit OpenSSH v7.3 nach dem Jahr 2016)

SELTEN: Obwohl es nicht sehr wahrscheinlich ist (es sei denn, der Systemadministrator ist komplex oder es handelt sich um eine Unternehmensumgebung), Match user sftpmüssen die oben genannten Einstellungsblöcke vor allen Match all, Match canonical, oder Match final-Blöcken platziert und gelesen werden.

HINWEIS: Die Konfiguration des SSH-Servers mit mehreren Dateien wird /etc/ssh/sshd_config.din ASCII-Reihenfolge geladen. Bei der Konfiguration mit mehreren Dateien werden häufig 2- oder 3-stellige Zahlen als Startdateinamen verwendet, um die korrekte Lesereihenfolge sicherzustellen. Unser Einstellungsblock muss vor allen , , oder Match userplatziert werden , sodass unsere Zahl vor ihrem oder steht, vorausgesetzt, dass und von anderen / / Einstellungsblöcken übernommen werden .Match allMatch canonicalMatch final970-*97-*9[7-9]-*9[7-9][0-9]-*canonicalfinalall

SSH-Server neu laden/neu starten

Laden/starten Sie anschließend den SSH-Server neu.

Beim nächsten scpAnmeldeversuch sftpwerden keine Banner und keine Tagesmeldungen mehr angezeigt.

Antwort2

Haben Sie diese Option ausprobiert: -o LogLevel=quiet

verwandte Informationen