совместно использованная ключевая аутентификация ssh просит пароль, если sshd не работает с-d опцией

TL; DR; SELinux

Я вернулся к использованию одной и той же учетной записи на обеих машинах. Что еще более важно, это означает, что я использую домашние каталоги, которые поддерживает SELinux. В журналах вы можете увидеть, что у пользователя "Интернет" нестандартный домашний каталог / var / www / (он предназначен для учетной записи управления веб-содержимым)

Затем я удалил ] ~ / .ssh / на сервере, он вернулся к клиенту и использовал ssh-copy-id . Это, по-видимому, воссоздало каталог ~ / .ssh / и файлы аутентификации SELinux-совместимым способом. Обратите внимание, что простого удаления и воссоздания каталога .ssh для "веб-пользователя" было недостаточно. Похоже, что когда я изменил домашний каталог пользователя "web", SELinux не был задействован должным образом ...

Я не У меня есть ответ, почему -d изменяет это поведение на стороне сервера, , но если кто-то еще наткнется на это, попробуйте удалить каталог ~ .ssh / , и позволяя сценарию ssh-copy-id делать эту работу за вас.

update Очевидно, потому что запуск его как sudo изменяет разрешения безопасности для процесса. Итак, хотя ps выглядит одинаково, я обнаружил, что ps -Z (который является аргументом с учетом контекста SELinux) не работает.

Единственное, что осталось на этот момент предназначен для меня, чтобы исследовать, как сделать пользователя с домашним каталогом / var / www одобренным SELinux способом, чтобы он уважал, что учетные записи authorized_keys файл

update Я использовал chcon -R --reference = / home / anregen / .ssh / var / www /. ssh . Это был трюк, позволяющий получить правильный контекст безопасности в перемещенном «домашнем» каталоге пользователя: web. Имейте в виду, что это временно, то есть вам следует не просто использовать chcon, а создать новую политику.