Ich habe versucht, die Authentifizierung mit öffentlichem Schlüssel auf meinem neuen Server zu verwenden, und bin auf dieses Problem gestoßen.
$ ssh -v -i .ssh/server 192.168.1.100
OpenSSH_5.6p1, OpenSSL 0.9.8r 8 Feb 2011
debug1: Reading configuration data .ssh/config
debug1: Applying options for *
debug1: Reading configuration data /etc/ssh_config
debug1: Applying options for *
debug1: Connecting to 192.168.1.100 [192.168.1.100] port 22.
debug1: Connection established.
debug1: identity file .ssh/server type -1
debug1: identity file .ssh/server-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.8p1 Debian-1ubuntu3
debug1: match: OpenSSH_5.8p1 Debian-1ubuntu3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.6
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.1.100' is known and matches the RSA host key.
debug1: Found key in .ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: .ssh/server
debug1: read PEM private key done: type RSA
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: password
und dann muss ich mein Passwort eingeben, um angemeldet zu werden.
Wenn ich jedoch bereits eine Sitzung mit diesem Server verbunden habe (der über ein Kennwort verbunden ist), verwendet die folgende Verbindung die Schlüsselauthentifizierung, um eine Kennworteingabe zu vermeiden.
Wenn noch keine SSH-Verbindung besteht, kann ich keine Verbindung ohne eingegebenes Kennwort herstellen.
Das ist wirklich komisch für mich, ich habe das MD5 /usr/sbin/sshd
zwischen dem neuen Server und dem anderen normalen Server überprüft , es ist das gleiche. Dann habe ich einfach den /etc/ssh/sshd_config
vom anderen normalen Server auf den neuen Server kopiert und lief service ssh restart
. Das Problem besteht immer noch.
Wie soll ich das beheben?
Ich habe meinen eigenen Fehler
id_rsa.pub
behoben, indem ich aus .ssh entfernt habe.Ich hatte
id_rsa
von einem anderen Computer kopiert und es auf mehrere Dummy-Clients verteilt. Daher gabid_rsa
undid_rsa.pub
gab es eigentlich verschiedene Schlüssel, die die Verwendungid_rsa
insgesamt verhinderten.Keine Fehlermeldung, die dies jedoch deutlich anzeigt. Ich habe es im Wesentlichen durch Zufall herausgefunden und versucht, die verschiedenen Maschinen in einen identischen Zustand zu versetzen.
quelle
Meines Erachtens ist die geringste Erlaubnis des Heimdirektors des Ziels
750
. Wenn das nicht der Fall ist0
, wird es nicht funktionieren.Z.B. Für das Stammverzeichnis:
Der nächste ist
/root/.ssh
Dann
/root/.ssh/authorized_keys
quelle
In meinem Fall waren die Berechtigungen für das Basisverzeichnis
775
anstelle von0755
oder niedriger.Der gesamte Pfad zur Datei authorized_keys, dh
/home/user/.ssh/
muss kleiner0755
oder gleich sein.quelle
Nachdem ich mich sehr bemüht hatte, bekam ich die Lösung des Problems:
Das Home-Verzeichnis des Benutzers sollte keine Berechtigung haben
777
oder von der Welt beschreibbar sein. In diesem Fall schlägt die SSH-Schlüsselüberprüfung fehl und Sie müssen ein Kennwort für die Anmeldung eingeben.quelle
Stellen Sie einfach sicher, dass das Konto, mit dem Sie versuchen, zu ssh zu werden, ein Benutzer mit einem Kennwort auf dem Remote-Server ist. Ich habe gerade eine halbe Stunde lang meinen Kopf gegen die Wand geschlagen, bevor ich diese Antwort hier gefunden habe: /programming//a/14421105/758174
quelle
Wenn in Ihrer
/etc/ssh/sshd_config
SSH-Konfiguration die folgende Zeile nicht kommentiert ist, kann nur eine feste Benutzerliste in das System aufgenommen werden, und Sie müssen der Liste neue Konten hinzufügen:Alle anderen Benutzer als die oben aufgeführten, die versuchen, sich über SSH anzumelden, erhalten diese kryptischen Fehlermeldungen:
quelle
Ich habe herausgefunden, dass ich nach dem Ändern meines Benutzer- und Gruppennamens (aber nicht der IDs) in
/etc/passwd
und/etc/group
, ohne dies zu ändern/etc/shadow
, dieselbe Meldung "Kein Roaming erlaubt" erhalten habe.quelle