介紹

為了讓 SSH 更安全，所以想為其加入一個 port ，不過在加入後，發現重新啟動 SSH 後，並沒有預期美好順利的事發生了。
找了很多 google ，原來是 SELinux 不讓其他 port 給 SSH 用，特此記錄。

加入 port

在 /etc/ssh/sshd_config 中加入

1
2
3

Port 7272

重新啟動 SSH

1

$ sudo systemctl restart sshd

發現 SSH 也沒有報錯，不過發現 7272 port 並沒有出現在服務的 port 列表中。

1
2
3
4
5
6
7
8
9
10
11
12

$ sudo journalctl -xe 
...
-- Unit UNIT has begun starting up.
May 03 09:29:33 ehschat.ddns.net sshd[35976]: error: Bind to port 7272 on 0.0.0.0 failed: Permission denied.
May 03 09:29:33 ehschat.ddns.net sshd[35976]: error: Bind to port 7272 on :: failed: Permission denied.
May 03 09:29:33 ehschat.ddns.net systemd[1]: Started OpenSSH server daemon.
-- Subject: Unit sshd.service has finished start-up
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
-- 
-- Unit sshd.service has finished starting up
...

google 了一下， SELinux 發威。
所以要告訴 SELinux 要用 7272 port 給 SSH .

1
2

$ sudo semanage port -a -t ssh_port_t -p tcp 7272
$ sudo systemctl restart sshd

結論

google 幫了我。

參考

Configure SSH to use a different Port

用 SSH 遠端執行 sudo 指令

no tty

用 SSH 來遠端執行這支 script 的時候，就會遇到「sudo: no tty present and no askpass program specified」的錯誤訊息哩 !

solution

1

$ ssh -t user@host.com "./test.sh"

如果需要用 SSH 指令來遠端執行含有 sudo 的指令時，可以試看看囉 !

基本用法

SSH 是一種安全加密傳輸協定，絕大部分的 Linux 伺服器都會提供 SSH 的連線服務，讓使用者或管理者遠端連線進來，透過 Linux 的 shell 來處理各種工作或系統管理。

在 Linux 系統上若要使用 SSH 連線至遠端的另外一台 Linux 伺服器，可以使用 ssh 這個指令，其語法為：

1

$ ssh 帳號@主機

舉例來說，如果要以 alpine 這個帳號登入 192.168.0.1 這台主機，就執行：

1

$ ssh alpine@192.168.0.1

攔截暴力入侵的 IP

Fail2Ban 是一套用 Python 寫成的系統安全工具，它會監察伺服器的紀錄檔，當出現多次登入錯誤後，便會觸發一些安全動作，例如將 IP 封鎖或用 Email 通知系統管理員等。Fail2Ban 相當具彈性，可以針對自己的需求設定不同的過濾規則，而 Fail2Ban 已經內建多個過濾規則，包含一些熱門伺服器軟體的過濾規則，支援 sshd, web server, ftp server, email server, dns server 等。

安裝

centos

1

$ sudo yum install -y fail2ban

設定

開啟 /etc/fail2ban/jail.conf 進行設定，主要的幾個設定為:

1
2
3
4

ignoreip = 127.0.0.1 ( 忽略的 ip )
bantime = 86400 ( 封鎖 ip 的時間, 以秒為單位, 這裡是 1 天 )
findtime = 600 ( 錯誤登入的時間 )
maxretry = 3 ( 在 findtime 時間內發生的錯誤發入次數 )

設定 SSHD 在 /etc/fail2ban/jail.conf

1
2
3
4
5
6

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=SSH, protocol=tcp]
logpath = /var/log/secure
maxretry = 3

啟動

1
2

$ sudo systemctl enable fail2ban
$ sudo systemctl start fail2ban

狀態

查看紀錄檔 /var/log/fail2ban.log，或者用 iptables 查看:

1

$ sudo iptables -nvL

內容

1. 關於 SSH 與安全
2. 什麼是 SSH
3. SSH 如何運作
4. 安全的使用 SSH
5. SSH 實踐
6. 總結

關於 SSH 與安全

SSH 比傳統的 TELNET 等方式提供了更安全的連線方式

SSH 是安全的遠端連線，但是我們真的有安全的使用 SSH 嗎？

SSH 是用來取代傳統 TELNET 遠端連線的工具，最主要目的就是要解決和遠端主機的安全問題。

本文希望提供一些 SSH 更安全使用的一些建議，希望可以讓大家可以更安心的使用現代的系統，沒有後顧之憂。

什麼是 SSH

Secure Shell wiki 對 SSH 有簡單的解釋。

1
2
3
4
5
6
7
8
9
10
11
12
13

Secure Shell（安全外殼協定，簡稱SSH）是一種加密的網路傳輸協定，可在不安全的網路中為網路服務提供安全的傳輸環境。

SSH通過在網路中建立安全隧道來實現SSH客戶端與伺服器之間的連接。

SSH最常見的用途是遠端登錄系統，人們通常利用SSH來傳輸命令行介面和遠端執行命令。

SSH使用頻率最高的場合是類Unix系統，但是Windows作業系統也能有限度地使用SSH。

2015年，微軟宣布將在未來的作業系統中提供原生SSH協定支援[3]，Windows 10 1803版本已提供OpenSSH工具。

在設計上，SSH是Telnet和非安全shell的替代品。Telnet和Berkeley rlogin、rsh、rexec等協定採用明文傳輸，使用不可靠的密碼，容易遭到監聽、嗅探和中間人攻擊。

SSH旨在保證非安全網路環境（例如網際網路）中資訊加密完整可靠。

概述

• SSH以非對稱加密實現身分驗證。
• 身分驗證有多種途徑，例如其中一種方法是使用自動生成的公鑰-私鑰對來簡單地加密網路連接，隨後使用密碼認證進行登錄；另一種方法是人工生成一對公鑰和私鑰，通過生成的金鑰進行認證，這樣就可以在不輸入密碼的情況下登錄。
• 任何人都可以自行生成金鑰。
• 公鑰需要放在待存取的電腦之中，而對應的私鑰需要由使用者自行保管。
• 認證過程基於生成出來的私鑰，但整個認證過程中私鑰本身不會傳輸到網路中。
• 因為SSH只驗證提供使用者是否擁有與公鑰相匹配的私鑰，只要接受公鑰而且金鑰匹配伺服器就會授予許可。
• 這樣的話，一旦接受了惡意攻擊者的公鑰，那麼系統也會把攻擊者視為合法使用者。

應用

• SSH的經典用途是登入到遠端電腦中執行命令。
• 除此之外，SSH也支援隧道協定、埠對映和X11連接。藉助SFTP或SCP協定，SSH還可以傳輸檔案。
• SSH使用客戶端-伺服器模型，標準埠為22。
• 檔案管理軟體（同步、複製、刪除等）。

國泰證券1元手續費比永豐貴了222元

前言

最近大家都在瘋定期定額存股，我在去年選擇了兩家國內知名的券商進行定期定額存股。
剛好就是國泰和永豐，沒有比較沒有傷害。

下面是我在上個月 1/26 日同一天，對 2330 定期定額在兩家的對帳單。
這是常態，其他天的我就不比較了，讓我們看看國泰和永豐有什麼差異吧。

國泰 1 股的價格是 631.8 我們買到了 15 股，成交金額是 9477 (就是氣氣)。
永豐 1 股的價格是收盤價 617 我們也買到了 15 股，成交金額是 9255。
這樣的差異足足差了 222 元，我們省了手續費嗎？

有圖有真相

• 國泰

• 永豐

期待

不知道國泰和永豐會有什麼說明，就讓我們看下去。

前言

本來寫好了這篇，但是在要 commit 前一秒，他消失了，所以重新來寫這篇，忘記寫了什麼。

一直想加一個留言板，不過過程有些許波折，現在終於有機會在這加上 disqus 的留言版功能。
之前看過有人用過 facebook, valine 及 disqus ，也曾經嘗試了幾次，都半途而廢。

現在終於有機會來在實作 Disqus, 是一個不錯的開始。

Disqus

1
2
3

wiki

Disqus（/dɪsˈkʌs/，與英語「discuss」同音）是一家使用社群網路形式，向網路社群提供網站留言服務的公司。該公司的平台提供不同的功能，例如與不同社群網路服務連結、社群網路、使用者個人檔案、垃圾宣傳及審核工具、數據分析、電子郵件通知和在行動裝置留言等。

看上去是一個不錯的系統，也有很多人採用，應該是不錯的選擇，現在加上去了，看之後有人使用的結果吧。

註冊

Disqus 上註冊一個帳號

第1步 在我的網頁安裝

第2步 為我的網頁開新留言版

第3步 設定留言的規則

第4步 設定發言功能的限制

第5步 短名 shortname 是留言版的識別，一定要記得

設定

編輯 themes/Next/_config.yml，找到 comments: 區塊修改為

1
2
3

comments:  # 評論
    enable: true  # 開啓評論
    type: disqus  # 指定使用的評論模塊

用來啟動 disqus 功能。

shortname 要設定正確

1
2
3
4
5

# Disqus
disqus:
  enable: true
  shortname: https-owenouyang-gitlab-io
  count: true

效果

看上去我也有留言版了，等以後再看有什麼人有興趣表達意見了。

CentOS / Redhat Linux Internet Connection Sharing

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

#!/bin/bash
# Created by nixCraft - www.cyberciti.biz
IPT="/sbin/iptables"
MOD="/sbin/modprobe"

# set wan interface such as eth1 or ppp0
SHARE_IF="eth1"

# clean old fw
echo "Clearing old firewall rules..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

# Get some kernel modules
echo "Loading kernel modules..."
$MOD ip_tables
$MOD iptable_filter
$MOD iptable_nat
$MOD ip_conntrack
$MOD ipt_MASQUERADE
$MOD ip_nat_ftp
$MOD ip_nat_irc
$MOD ip_conntrack_ftp
$MOD ip_conntrack_irc

# Clean old rules if any, rhel specific but above will take care of everything
# service iptables stop

# unlimited traffic via loopback device
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

echo "Setting ${SHARE_IF} as router interface..."
$IPT --table nat --append POSTROUTING --out-interface ${SHARE_IF} -j MASQUERADE

# Start other custom rules
#$IPT
# End other custom rules

echo "*** Instructions on TCP/IP On The Windows / Mac / Linux Masqueraded Client ***"
echo "1. Login to your other LAN desktop computers"
echo "2. Open network configuration GUI tool such. Under Windows XP - Click Start, click Control Panel, click Network and Internet Connections, and then click Network Connections"
echo "3. Set DNS (NS1 and NS2) to 208.67.222.222 and 208.67.220.220"
echo "4. Select the 'Gateway' tab in the TCP/IP properties dialog."
echo "5. Enter $(ifconfig ${SHARE_IF} | grep 'inet addr:'| grep -v '127.0.0.1' | cut -d: -f2 | awk '{ print $1}') as the default gateway."

install

1

$ sudo apt-get install software-properties-common

前言

以前一直在使用很多程式的集合，而且常常用到，一直想要把一些遠端連線工具整在一起。
現在有人在 windows 把這樣的東西做出來了，在一次不經意看到別人在使用。

他就是 MobaXterm 官網，這是一個很新的好用工具。
最近幾年才出現，可惜的是目前只有在 windows 上有。

我最喜歡的功能是他可以整合 Remote Desktop/VNC/SSH/SFTP/TELNET/FTP 在一個介面，
所有的連線只是其中一個 Tab. 當然他的功能不只是這樣簡單而已。

• 他有內含一個 X Server ，雖然我不曾試成功。
• 也內建了 Cygwin 的 bash ，而且是經過客製化的。
• 可以在建立連線前先建立 ssh 的 tunnel，而連線經過 tunnel。
• ssh 內建支援 http proxy 。 (用過之後我才知道原來 putty 預設也支援 http proxy).
• 是一個可攜的 (portable) ，可以放在 usb 裡帶著走。
• 支援 plugin，可以有很多客製化的能力。
• 有些小遊戲可以在無聊時打發時間，像是數獨，掃雷。
• 還有專業版可以選擇，不過我用家庭版就很驚艷了。