Сервер OpenSSH отказывается принимать аутентификацию ключа

13

Я попытался использовать аутентификацию с открытым ключом на моем новом сервере, и я столкнулся с этой проблемой.

$ ssh -v -i .ssh/server 192.168.1.100
OpenSSH_5.6p1, OpenSSL 0.9.8r 8 Feb 2011
debug1: Reading configuration data .ssh/config
debug1: Applying options for *
debug1: Reading configuration data /etc/ssh_config
debug1: Applying options for *
debug1: Connecting to 192.168.1.100 [192.168.1.100] port 22.
debug1: Connection established.
debug1: identity file .ssh/server type -1
debug1: identity file .ssh/server-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.8p1 Debian-1ubuntu3
debug1: match: OpenSSH_5.8p1 Debian-1ubuntu3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.6
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.1.100' is known and matches the RSA host key.
debug1: Found key in .ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: .ssh/server
debug1: read PEM private key done: type RSA
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: password

а затем я должен ввести свой пароль, чтобы войти в систему.

Но, если у меня уже есть один сеанс, подключенный к этому серверу (который связан с паролем), то в следующем соединении используется ключ auth, чтобы избежать ввода пароля.

Если SSH-соединение не установлено, я не могу подключиться без ввода пароля.

Это действительно странно для меня, я проверил MD5 /usr/sbin/sshdмежду новым сервером и другим нормальным сервером, это то же самое. Затем я просто скопировал /etc/ssh/sshd_configс другого обычного сервера на новый сервер и запустил service ssh restart. Проблема все еще существует.

Как я должен это исправить?

lxyu
источник

Ответы:

10

Убедитесь, что ваша .sshпапка и файлы внутри нее на клиентском компьютере доступны для чтения только владельцу ( chmod -R 600 .ssh) и что владелец подходит для папки и файлов ( chownпри необходимости используйте команду).

Также проверьте authorized_keysпапку и файл на сервере (возможно, в /root/.sshили в домашней папке пользователя, пытающегося войти в систему), чтобы убедиться, что их права доступа и владелец установлены одинаково.


Изменить: на основе дополнительных отзывов (и некоторых догадок!) - можете ли вы проверить /etc/ssh/sshd_configи установить, установлен ли следующий параметр, как показано ниже. Если нет, попробуйте отредактировать его.

AuthorizedKeysFile /home/%u/.ssh/authorized_keys

Обратите внимание, это предполагает, что вы не входите удаленно как пользователь root

Linker3000
источник
у меня .ssh - 700, а файлов в .ssh - 600, и я дважды проверил ~ / .ssh / authorized_keys на удаленной машине. Настройка аутентификации с открытым ключом - это первое, что я делаю после установки системы, поэтому вряд ли она испортится другими операциями. Кстати, проблема все еще ..
lxyu
Хорошо - я добавляю что-то к своему ответу, основываясь на этом.
Linker3000
есть строка "#AuthorizedKeysFile% h / .ssh / authorized_keys". Я попытался закомментировать это, но бесполезно .. кстати, тот же '/ usr / sbin / sshd' с тем же 'sshd_config', как они ведут себя по-разному?
Lxyu
Наконец, я переустановил Ubuntu, затем я установил openssh-сервер за одну минуту, и теперь он работает нормально ... Все еще не знаю, в чем дело. :(
lxyu
Иногда действительно трудно понять, в чем проблема. Я однажды ввел ошибку author_keys как auhorized_keys. Мне понадобилось около часа, чтобы устранить это. Вы видели неправильное написание? Это действительно сложно! :-)
Вскоре
4

Я исправил собственный случай этой ошибки, удалив id_rsa.pubиз .ssh.

Я скопировал id_rsaс другого компьютера и распространил его по нескольким фиктивным клиентам. Поэтому id_rsaи id_rsa.pubбыли фактически разные ключи, которые id_rsaвообще не позволяли использовать .

Нет сообщения об ошибке, чтобы четко указать это, хотя. Я понял это по сути случайно, пытаясь привести разные машины в одинаковое состояние.

ketarax
источник
3

Насколько я понимаю, наименьшее разрешение домашнего директора цели 750. Если мира немного 0, это не будет работать.

Например. для корневого каталога:

drwxr-x--- 3 root root 4096 Jul 20 11:57 root

Далее это /root/.ssh

drwx------  2 root root  4096 Jul 17 03:28 .ssh

потом /root/.ssh/authorized_keys

-rw------- 1 root root 1179 Jul 17 03:28 authorized_keys
Дэвид Ви
источник
3

В моем случае разрешения на домашний каталог были 775вместо 0755или ниже.

Полный путь к файлу Authorized_keys, т.е. /home/user/.ssh/должен быть 0755или ниже.

Адитья Адвани
источник
СПАСИБО Это только что прочитал о головной боли, которая у меня была в течение недели. Большинство людей упоминают только папку .ssh (700) и author_keys (600)
Джонатан Комар
2

После долгих волнений я получил решение проблемы:

Домашний каталог пользователя не должен иметь разрешения 777или доступного для записи. В этом случае проверка ключа SSH завершится неудачно, и вам придется ввести пароль для входа в систему.

user2357653
источник
1

Просто убедитесь, что учетная запись, к которой вы пытаетесь подключиться по ssh, является пользователем с паролем на удаленном сервере. Я только полчаса ударился головой о стену, прежде чем нашел ответ здесь: /programming//a/14421105/758174

Пьер Д
источник
1

Если у вас /etc/ssh/sshd_configесть следующая строка без комментариев, тогда ваша конфигурация SSH позволяет только фиксированному списку пользователей входить в систему через ssh, и вам необходимо добавить в этот список новые учетные записи:

AllowUsers root user1 user2 user3

Любые другие пользователи, кроме перечисленных выше, которые пытаются войти через SSH, получат следующие загадочные сообщения об ошибках:

Roaming not allowed by server
Тило
источник
0

Я обнаружил, что после изменения имени пользователя и группы (но не идентификаторов) в /etc/passwdи /etc/group, но, забыв изменить /etc/shadowсоответствующим образом, я получил то же сообщение «Нет роуминга разрешено».

Андрей
источник