Не может позволить пользователям регистрировать на пути SSH (Bash, OpenSSH, CentOS 6.5)
Я выполняю машину CentOS 6.5 удаленно через SSH. Я использую ключи RSA и отключил аутентификацию по паролю. Проблема, которую я имею, состоит в том, что каждый раз, когда я добавляю нового пользователя и хочу, чтобы он зарегистрировал на пути SSH, они запрещены доступа.
Сначала это походило на простую проблему. Тезисы - то, что я уже попробовал:
- Проверенный ключ паба на очевидные ошибки
- Обеспеченный правильные полномочия на authorized_keys и ~/.ssh
- Удостоверенный они находятся в списке AllowUsers в ssh_config
- Проверенные полномочия брандмауэра
- Удостоверенный их закрытый ключ используется
- Перезапущенный SSHD
Вот то, что я начался sshd_config:
PermitRootLogin no
AllowUsers keving moman muser
И это - то, что мой журнал говорит мне:
Login attempted when not in AllowUsers list:
muser : 3 Time(s)
root : 127 Time(s)
Почему SSH не позволяет вход в систему, в то время как список AllowUsers, очевидно, перечисляет muser? Есть ли другое место, где это могло быть установлено?
ОБНОВЛЕНИЕ: Я делал попытку входа в систему той учетной записи на моей машине после добавления моего ключа паба к authorized_keys файлу пользователя с подробным флагом -v. Это результаты (с поддельным IP и ключом хоста сервера из соображений безопасности):
$ ssh -v mattm@111.111.111.111
OpenSSH_6.6.1, OpenSSL 1.0.1i 6 Aug 2014
debug1: Reading configuration data /c/Users/[user]/.ssh/config
debug1: Connecting to 111.111.111.111 [111.111.111.111] port 22.
debug1: Connection established.
debug1: identity file /c/Users/[user]/.ssh/id_rsa type 1
debug1: identity file /c/Users/[user]/.ssh/id_rsa-cert type -1
debug1: identity file /c/Users/[user]/.ssh/id_dsa type -1
debug1: identity file /c/Users/[user]/.ssh/id_dsa-cert type -1
debug1: identity file /c/Users/[user]/.ssh/id_ecdsa type -1
debug1: identity file /c/Users/[user]/.ssh/id_ecdsa-cert type -1
debug1: identity file /c/Users/[user]/.ssh/id_ed25519 type -1
debug1: identity file /c/Users/[user]/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.6.1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH_5* compat 0x0c000000
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<3072<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA [censored]
debug1: Host '111.111.111.111' is known and matches the RSA host key.
debug1: Found key in /c/Users/[user]/.ssh/known_hosts:4
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /c/Users/[user]/.ssh/id_rsa
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic
debug1: Trying private key: /c/Users/[user]/.ssh/id_dsa
debug1: Trying private key: /c/Users/[user]/.ssh/id_ecdsa
debug1: Trying private key: /c/Users/[user]/.ssh/id_ed25519
debug1: No more authentication methods to try.
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
Как предлагает @toppledwagon в комментариях к моему вопросу, я проверил / var / log / security и, конечно же, была запись о недопустимых разрешениях на Дерево ~ / .ssh / authorized_keys , включая домашний каталог.
После внесения этих изменений я смог войти в учетную запись пользователя через ssh с ключами RSA:
$ chmod g-w /home/your_user
$ chmod 700 /home/your_user/.ssh
$ chmod 600 /home/your_user/.ssh/authorized_keys
Ссылка: http: // www.daveperrett.com/articles/2010/09/14/ssh-authentication-refused/
После настройки этих разрешений я смог войти в систему. Интересно отметить, что у меня был .ssh dir и файл authorized_keys уже установлены на 700 и 600 соответственно. По какой-то причине домашний каталог не был установлен должным образом.
Спасибо всем, кто помогал в комментариях.
- В
/ etc / ssh / sshd_configдобавьте группа вашего пользователя вAllowGroups. - Restart sshd
service sshd restart