web-dev-qa-db-ja.com

SSH許可は拒否されました(公開鍵)が、root sshは機能します

Digital Ocean ubuntu 12.04サーバー上のchefで作成したユーザーアカウントのsshアクセスをセットアップしようとしています。液滴が作成されると、Macのsshキーを自動的にコピーするオプションをDigital Oceanで設定しました。

問題なくrootとしてsshできますが、他のユーザーは認証に失敗します。これは一般的な問題のようで、他の回答のいくつかを確認し、次のコマンドを使用して詳細情報を取得しました。

ssh -vvv -i id_rsa user@serverIP

そのコマンドを使用したrootユーザー(成功)のログは次のとおりです。

デバッグ

1: Offering RSA public key: /Users/evan/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug2: input_userauth_pk_ok: fp snip!
debug3: sign_and_send_pubkey: snip!
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).

失敗したユーザー:

デバッグ

1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/evan/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey
debug1: Trying private key: /Users/evan/.ssh/id_dsa
debug3: no such identity: /Users/evan/.ssh/id_dsa: No such file or directory
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.

これは公開鍵が間違っていることを意味します。しかし、rootユーザーとしてログインしてhome/otheraccount/.ssh/authorized_keysにアクセスすると、sshキーがそこにあることがわかります。エラーがあるのではないかと思ったので、cp .ssh/authorized_keys ~/home/otheraccout/.ssh/authorized_keysをしましたが、助けにはなりませんでした。他にどこを見ればいいのかわかりません。

私のetc/ssh/sshd_conig

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_Host_rsa_key
HostKey /etc/ssh/ssh_Host_dsa_key
HostKey /etc/ssh/ssh_Host_ecdsa_key
#Privilege Separation is turned on for security
"sshd_config" 88L, 2508C
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need Host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# GS

SAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60

AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM no
Banner /etc/ssh_banner

編集:

drwx------ 2 deploy deploy 4096 Apr 20 06:00 .ssh
-rw------- 1 deploy deploy 820 Apr 20 05:35 authorized_keys

編集2:

コメントで示唆されているように:/var/log/authlog

Apr 21 04:59:30 localhost sshd[586]: User deploy not allowed because account is locked
Apr 21 04:59:30 localhost sshd[586]: input_userauth_request: invalid user deploy [preauth]

Sudo usermod --expiredate -1 deployを実行しようとしましたが、no changesが返されました

15
user2936314
  • SSHログインはさまざまな理由(ディレクトリ/ファイルの不正なアクセス許可、不正なキーなど)で失敗する可能性があり、接続クライアントはPermission deniedまたはNo more authentication methods to tryまたは何らかの一般的なエラーを受け取ります。

  • ログイン失敗の正確な理由は、syslog構成に応じてssh log /var/log/auth.logまたは/var/log/secureで確認できます。

16
clement

CentOS7の新規インストールでも同じ問題があります。

1。ホームディレクトリのパーミッションと〜/ .sshおよび〜/ .ssh/authorized_keysパーミッションを確認します(@clementが言うように)

chmod o-w ~/; chmod 700 ~/.ssh; chmod 600 ~/.ssh/authorized_keys

2。 check/ etc/ssh /sshd_configsettings && service sshd restart(各編集後)有用:「LogLevel VERBOSEを試す」 sshd_configで。

大丈夫だったことをすべて確認した後、パスワードプロンプトが表示されました。

-vvvログを使用してsshクライアントを実行します。

debug3: send_pubkey_test 
debug2: we sent a publickey packet, wait for reply

サーバー(/ var/log/secure)ログ:

Failed publickey for * from * port * ssh2: RSA *

sshサーバーは、セキュリティ上のリスクがあるため、クライアントにエラー情報を送信しません。

別のポート「sshd -p 5555 -d」でsshdを実行した場合。キーが機能しました。パスワードなしでログインできます。 WTF?

SAD : selinuxを無効にし(/ etc/selinux/configでSELINUX = disabledを設定)、再起動します。パスワードなしのログインは正常に機能しました。

my現在作業中のsshd_config設定:

[root@hp-bl-05 ~]# grep -vE "^#|^$" /etc/ssh/sshd_config  
HostKey /etc/ssh/ssh_Host_rsa_key
HostKey /etc/ssh/ssh_Host_dsa_key
SyslogFacility AUTHPRIV
LogLevel VERBOSE
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile  .ssh/authorized_keys
HostbasedAuthentication yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication no
GSSAPICleanupCredentials no
UsePAM yes
X11Forwarding yes
UseDNS no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
Subsystem   sftp    /usr/libexec/openssh/sftp-server

そのため、selinuxで小さなものを変更して、パスワードなしのsshログインを機能させることができることを知っておくといいでしょう。誰でも答えを改善できますか?

ここにも同じ:---(https://superuser.com/questions/352368/ssh-still-asks-for-password-after-setting-up-key-based-authentication/1072999#1072999

3
gaoithe