SSH on Ricky

Articles

Wed, 10 Jun 2026 10:59:53 +0800

Linux 系统误将 chmod 权限改成了 000，如何恢复?

#include <sys/stat.h>

int main() {
 chmod("/usr/bin/chmod", 0755);
 return 0;
}

ubuntu@ubuntu:~$ which chmod
/usr/bin/chmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/chmod
lrwxrwxrwx 1 root root 8 Sep 27 2025 /usr/bin/chmod -> gnuchmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/gnuchmod
-rwxr-xr-x 1 root root 67K Jan 23 21:34 /usr/bin/gnuchmod
ubuntu@ubuntu:~$ sudo chmod 000 /usr/bin/chmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/chmod
lrwxrwxrwx 1 root root 8 Sep 27 2025 /usr/bin/chmod -> gnuchmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/gnuchmod
---------- 1 root root 67K Jan 23 21:34 /usr/bin/gnuchmod
ubuntu@ubuntu:~$ cat main.c
#include <sys/stat.h>

int main() {
 chmod("/usr/bin/chmod", 0755);
 return 0;
}

ubuntu@ubuntu:~$ gcc ./main.c
ubuntu@ubuntu:~$ sudo ./a.out
ubuntu@ubuntu:~$ ls -lh /usr/bin/chmod
lrwxrwxrwx 1 root root 8 Sep 27 2025 /usr/bin/chmod -> gnuchmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/gnuchmod
-rwxr-xr-x 1 root root 67K Jan 23 21:34 /usr/bin/gnuchmod

Laptops all have built-in security tokens these days

macOS

https://github.com/yubico/libfido2

Articles

Wed, 13 May 2026 11:15:33 +0800

Dirty Frag

git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

設定多個 GitHub 帳號的 SSH 金鑰

Tue, 11 Feb 2025 15:06:00 +0800

設定多個 GitHub 帳號的 SSH 金鑰

使用不同的 Host 值

Host github.com
 HostName github.com
 User git
 IdentityFile ~/.ssh/id_fry_ed25519

Host github-plnx
 HostName github.com
 User git
 IdentityFile ~/.ssh/id_fry_plnx_ed25519

# Instead of the actual URL
$ git clone git@github.com:planet-express/delivery_service.git

# Substitue in our custom Host value for the `github.com` part
$ git clone git@github-plnx:planet-express/delivery_service.git

自動替換 Host

[include]
 path = ~/.gitconfig_custom

# See custom `Host github-plnx` in ~/.ssh/config
[url "github-plnx:planet-express"]
 insteadOf = git@github.com:planet-express

Add SFTP user and share directory

Thu, 30 Nov 2023 17:22:00 +0800

dev_test_user, qa_test_user 同權限 dev_user, qa_user 同權限

1. 建立共享資料夾(SFTP 使用的資料夾)

sudo mkdir -p /home/{test,prod}/{exchange,upload}
sudo mkdir -p /home/{test,prod}/exchange/success
sudo mkdir -p /home/{test,prod}/upload/backup

2. 建立使用者群組

sudo groupadd share01-test
sudo groupadd share01-prod

3. 創建 qa_test_user 使用者並設定 qa_test_user 使用者的群組為 share01-test

sudo useradd -m -G share01-test qa_test_user

# 設定 dev_test_user 使用者的群組為 share01-test
sudo usermod -G share01-test dev_test_user

# 設定密碼
sudo passwd qa_test_user

4. 創建 qa_user 使用者並設定 qa_user 使用者的群組為 share01-prod

sudo useradd -m -G share01-prod qa_user

# 設定 dev_user 使用者的群組為 share01-prod
sudo usermod -G share01-prod dev_user

# 設定密碼
sudo passwd qa_user

5. 設定權限

# 設定 /home/test 資料夾(含下級資料夾)的使用者為 qa_test_user，群組為 share01-test
sudo chown -R qa_test_user:share01-test test/

# 設定 /home/prod 資料夾(含下級資料夾)的使用者為 qa_user，群組為 share01-prod
sudo chown -R qa_user:share01-prod prod/

# SFTP 登入資料夾權限要給 root
sudo chown root:root /home/test
sudo chown root:root /home/prod

6. 設定 /etc/ssh/sshd_config

/etc/ssh/sshd_config

使用終端機與 SSH 連線到遠端主機

Fri, 24 Nov 2023 22:22:00 +0800

使用終端機與 SSH 連線到遠端主機

1. 現代終端機

2. 在 macOS 開啟終端機

按 ⌘ + space 開啟 Spotlight
搜尋 terminal.app
按下 ↩

3. 使用 SSH 連線到遠端主機

確認私鑰檔案路徑。
在終端機輸入指令：ssh -i /path/to/private_key.pem ubuntu@ubuntu.host.com

Windows SSH setup

Tue, 03 Jan 2023 12:36:00 +0800

預設的 shell 是使用 cmd，照文件說，若需要修改，是要改 ansible_shell_type 變數，這應該是要在 inventory 主機裡加入主機變數：ansible_shell_type，變數內容可以是 cmd 或 powershell。
inventory 主機裡要加入 ansible_connection 主機變數，告知要使用 ssh 連線。(192.168.192.11 ansible_user=Administrator ansible_connection=ssh ansible_shell_type=cmd )
可能會需要在 ansible.cfg 裡加上 remote_tmp 設定，指定為 C:\TEMP
Playbook 裡可以使用 win_ 開頭的模組，或是使用 raw 模組

SSH 失敗錯誤：fatal: daemon() failed: No such device

Thu, 04 Mar 2021 18:48:39 +0800

SSH 失敗錯誤：fatal: daemon() failed: No such device

/var/log/secure

Oct 10 10:58:05 vps sshd[23799]: fatal: daemon() failed: No such device

# rm -vf /dev/null
removed `/dev/null`
-bash-3.2# mknod /dev/null c 1 3
Started SSH and the SSH started responding:

# service sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
-bash-3.2# service sshd status
openssh-daemon (pid 30608) is running…

Ansible Network 的新 LibSSH 連線外掛取代 Paramiko，並支援 FIPS 模式

Wed, 25 Nov 2020 21:09:50 +0800

Ansible Network 的新 LibSSH 連線外掛取代 Paramiko，並支援 FIPS 模式

切換 Ansible Playbook 使用 LibSSH

# 安裝 LibSSH
pip install ansible-pylibssh

在 Ansible Playbook 中使用 LibSSH

方法 1. 在專案的 ansible.cfg 檔案中設定 ssh_type 參數使用 libssh

[persistent_connection]
ssh_type = libssh

方法 2: 設定 ANSIBLE_NETWORK_CLI_SSH_TYPE 環境變數

$ export ANSIBLE_NETWORK_CLI_SSH_TYPE=libssh

方法 3: 在 play 等級的 playbook 中設定 ansible_network_cli_ssh_type 為 libssh

用來測試 libssh 設定的 Playbook

- hosts: "changeme"
 gather_facts: no
 connection: ansible.netcommon.network_cli
 vars:
 ansible_network_os: cisco.ios.ios
 ansible_user: "changeme"
 ansible_password: "changeme"
 ansible_network_cli_ssh_type: libssh
 tasks:
 - name: run show version command
 ansible.netcommon.cli_command:
 command: show version

 - name: run show version command
 ansible.netcommon.cli_command:
 command: show interfaces

SSH 证书登录教程

Wed, 08 Jul 2020 13:39:48 +0800

SSH 证书登录教程

证书登录的流程

SSH 证书登录之前，如果还没有证书，需要生成证书。具体方法是：

用户和服务器都将自己的公钥，发给 CA
CA 使用服务器公钥，生成服务器证书，发给服务器
CA 使用用户的公钥，生成用户证书，发给用户。

有了证书以后，用户就可以登录服务器了。整个过程都是 SSH 自动处理，用户无感知。

用户登录服务器时，SSH 自动将用户证书发给服务器。
服务器检查用户证书是否有效，以及是否由可信的 CA 颁发。
SSH 自动将服务器证书发给用户。
用户检查服务器证书是否有效，以及是否由信任的 CA 颁发。
双方建立连接，服务器允许用户登录。

生成 CA 的密钥

虽然 CA 可以用同一对密码签发用户证书和服务器证书，但是出于安全性和灵活性，最好用不同的密钥分别签发。所以，CA 至少需要两对密钥，一对是签发用户证书的密钥，假设叫做 user_ca，另一对是签发服务器证书的密钥，假设叫做 host_ca。

# 生成 CA 签发用户证书的密钥
# 会在~/.ssh目录生成一对密钥：user_ca（私钥）和user_ca.pub（公钥）
# 各个参数含义如下
# -t rsa：指定密钥算法 RSA。
# -b 4096：指定密钥的位数是4096位。安全性要求不高的场合，这个值可以小一点，但是不应小于1024。
# -f ~/.ssh/user_ca：指定生成密钥的位置和文件名。
# -C user_ca：指定密钥的识别字符串，相当于注释，可以随意设置。
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/user_ca -C user_ca


# 生成 CA 签发服务器证书的密钥
# 会在~/.ssh目录生成一对密钥：host_ca（私钥）和host_ca.pub（公钥）
# 现在，~/.ssh目录应该至少有四把密钥。
# - ~/.ssh/user_ca
# - ~/.ssh/user_ca.pub
# - ~/.ssh/host_ca
# - ~/.ssh/host_ca.pub
$ ssh-keygen -t rsa -b 4096 -f host_ca -C host_ca

服务器安装 CA 公钥

# 为了让服务器信任用户证书，必须将 CA 签发用户证书的公钥`user_ca.pub`，拷贝到服务器
$ scp ~/.ssh/user_ca.pub root@host.example.com:/etc/ssh/

然后，将下面一行添加到服务器配置文件 `/etc/ssh/sshd_config`

TrustedUserCAKeys /etc/ssh/user_ca.pub

上面的做法是将user_ca.pub加到/etc/ssh/sshd_config，这会产生全局效果，即服务器的所有账户都会信任user_ca签发的所有用户证书。

SSH on Ricky

Articles

Linux 系统误将 chmod 权限改成 了 000，如何恢复?

Laptops all have built-in security tokens these days

macOS

Articles

Dirty Frag

設定多個 GitHub 帳號的 SSH 金鑰

使用不同的 Host 值

自動替換 Host

Add SFTP user and share directory

Add SFTP user and share directory

1. 建立共享資料夾(SFTP 使用的資料夾)

2. 建立使用者群組

3. 創建 qa_test_user 使用者並設定 qa_test_user 使用者的群組為 share01-test

4. 創建 qa_user 使用者並設定 qa_user 使用者的群組為 share01-prod

5. 設定權限

6. 設定 /etc/ssh/sshd_config

使用終端機與 SSH 連線到遠端主機

使用終端機與 SSH 連線到遠端主機

1. 現代終端機

2. 在 macOS 開啟終端機

3. 使用 SSH 連線到遠端主機

Windows SSH setup

SSH 失敗錯誤：fatal: daemon() failed: No such device

Ansible Network 的新 LibSSH 連線外掛取代 Paramiko，並支援 FIPS 模式

切換 Ansible Playbook 使用 LibSSH

用來測試 libssh 設定的 Playbook

SSH 证书登录教程

证书登录的流程

生成 CA 的密钥

服务器安装 CA 公钥

然后，将下面一行添加到服务器配置文件 /etc/ssh/sshd_config

Linux 系统误将 chmod 权限改成了 000，如何恢复?

然后，将下面一行添加到服务器配置文件 `/etc/ssh/sshd_config`