Trabajo con una granja de servidores Solaris 10 con algunos comportamientos inconsistentes en términos de mostrar pancartas/motd.
Esta vez, estoy intentando hacer scp de un servidor a otro. Entre algunos servidores no aparece ningún banner y en otros sí.
Ya lo he probado:
- creando el archivo .hushlogin
- scp-q
- scp -o Nivel de registro=Error
- PrintMotd no en /etc/ssh/sshd_config
- LogLevel QUIET en /etc/ssh/ssh_config
Ya no recibo banners cuando uso ssh, pero el banner con scp aún persiste en algunos servidores y me gustaría encontrar una manera de desactivarlo.
No tengo derechos de administrador, pero puedo realizar solicitudes de cambios en configuraciones específicas.
muestra de sesión scp:
usera@server20$ scp a.sh server43:/tmp
###################################################################
# This system is for the use of authorized users only. #
# Individuals using this computer system without authority, or in #
# excess of their authority, are subject to having all of their #
# activities on this system monitored and recorded by system #
# personnel. #
# #
# Anyone using this system expressly consents to such monitoring #
# and is advised that if such monitoring reveals possible #
# evidence of criminal activity, system personnel may provide the #
# evidence of such monitoring to law enforcement officials. #
###################################################################
WARNING: Access to this computer system is limited to authorised users only.
Unauthorised users may be subject to prosecution under the Crimes
Act or State legislation.
a.sh 100% |***********************************************************************************************************| 602 00:00
usera@server20$
Ejemplo de sesión ssh de un servidor de la granja:
usera@server20$ ssh server43
LI002: usera is allowed 2 concurrent logins
Last login: Tue Jun 16 2015 17:30:05 from pts/2
server43:usera>
Ejemplo de sesión ssh desde fuera de la granja:
login as: usera
###################################################################
# This system is for the use of authorized users only. #
# Individuals using this computer system without authority, or in #
# excess of their authority, are subject to having all of their #
# activities on this system monitored and recorded by system #
# personnel. #
# #
# Anyone using this system expressly consents to such monitoring #
# and is advised that if such monitoring reveals possible #
# evidence of criminal activity, system personnel may provide the #
# evidence of such monitoring to law enforcement officials. #
###################################################################
WARNING: Access to this computer system is limited to authorised users only.
Unauthorised users may be subject to prosecution under the Crimes
Act or State legislation.
Using keyboard-interactive authentication.
Password:
LI002: usera is allowed 2 concurrent logins
Last login: Tue Jun 16 2015 18:40:41 from pts/1
server43:usera>
Respuesta1
Ha indicado que este servidor SSH también realiza sesiones regulares de shell SSH, así como el sftp
enfoque que desea. Además, la siguiente respuesta se aplica a la versión OpenSSH más antigua posible: v4.0.0p1
(salvo que se indique lo contrario). Esta respuesta se aplica a las últimas versiones de Solaris 10 y 11 porque usan OpenSSH v6.6p1, REV=2014.03.20
Mi solución ofrece tanto SSH normal como scp
/ sftp
.
Ajustes
El truco consiste en utilizar Match User sftp
en la configuración del servidor SSH con un par de configuraciones:
Banner
PrintMotd
Banner
Banner
La configuración es el nombre de archivo cuyo contenido del archivo especificado se envía al usuario remoto antes de que se permita la autenticación. Si el argumento es none
entonces no se muestra ningún banner. De forma predeterminada, no se muestra ningún banner.
Según el OP, probablemente lo tenía Banner yes
en algún lugar de su archivo, y eso está bien porque podemos restringir ese comportamiento sin modificar esa línea de configuración (más sobre esto más adelante).
PrintMotd
PrintMotd
especifica si sshd(8)
debe imprimirse /etc/motd
cuando un usuario inicia sesión de forma interactiva. (En algunos sistemas también lo imprime el shell, /etc/profile o equivalente). El valor predeterminado es yes
.
Probablemente no lo tenía PrintMotd <anything>
en su sshd_config
archivo de configuración, por lo que el valor predeterminado es mostrar siempre el Mensaje del día.
Bloque de configuración
Para solucionar su problema, supongamos que el nombre de usuario para esta actividad SFTP/SCP es sftp
.
El bloque de configuración que se debe pegar y usar para hacer que todos sftp
los usuarios NO vean ningún banner ni ningún mensaje del día (MotD) son:
Match User sftp
Banner none
PrintMotd no
Colocación de ajustes
Nuestro bloque de configuración anterior puede tener uno de los siguientes nombres de archivo:
/etc/ssh/sshd_config
(distros más antiguas que usan OpenSSH v7.3 o anterior, y hastamacOS
12 Monterreyversión)/etc/ssh/sshd_config.d/900-custom-match-sftp.conf
(desde OpenSSH v7.3 después del año 2016)
RARO: Aunque no es muy probable (a menos que el administrador del sistema sea complejo o sea un entorno corporativo), estos Match user sftp
bloques de configuración anteriores deben colocarse y leerse antes de cualquier bloque Match all
, Match canonical
o .Match final
NOTA: La configuración del servidor SSH de varios archivos se carga /etc/ssh/sshd_config.d
en orden ASCII. En el enfoque de configuración de múltiples archivos, es común usar un número de 2 o 3 dígitos como nombre de archivo inicial para garantizar su orden de lectura adecuado. Nuestro Match user
bloque de configuración debe colocarse antes de cualquiera , Match all
o Match canonical
, Match final
por lo que nuestro número estaría antes de su 970-*
o 97-*
suponiendo que 9[7-9]-*
y 9[7-9][0-9]-*
sean tomados por otros canonical
// bloques de configuración.final
all
Recargar/reiniciar el servidor SSH
Luego vuelva a cargar/reiniciar el servidor SSH.
El siguiente intento scp
de sftp
inicio de sesión ya no mostrará ningún banner o mensaje del día.
Respuesta2
¿Probaste esta opción: -o LogLevel=quiet?