L'authentification par clé SSH échoue

Cela résoudra généralement la plupart des problèmes d'autorisation de clé autorisée par SSH côté serveur , en supposant que quelqu'un n'ait pas apporté de modifications supplémentaires aux autorisations.

Sudo chown yourusername:yourusername /home/yourusername/ -R
Sudo chmod o-rwx /home/yourusername/ -R

Si votre administrateur a créé le répertoire .ssh/ou le fichier .ssh/registered_keys en tant que root (ce qui est généralement le cas), le fichier appartenant à un autre utilisateur (même si root!) N'est pas autorisé.

Userify (disclaimer: co-fondateur) procède automatiquement de la même façon. https://github.com/userify/shim/blob/master/shim.py#L285

J'ai eu exactement le même problème sur deux serveurs: un Linux sous Debian et un NAS (Synology DS715)

il s'est avéré que dans les deux cas, les autorisations du répertoire de base sur le serveur étaient erronées

l'auth.log sur le serveur était très utile

Authentication refused: bad ownership or modes for directory /home/cyril

sur Linux, il y avait le bit write/group sur (drwxrwxr - x), donc je devais supprimer au moins le groupe write on (chmod g-w ~ /), puis cela fonctionnait

sur le Synology, pour une raison quelconque, il y avait un peu collant

drwx--x--x+ 4 toto users 4096 Jan 6 12:11 /var/services/homes/toto

Je devais le changer avec

chmod -t ~/

et je pouvais alors me connecter sans mot de passe

Il semble que les autorisations sur votre dossier .ssh ne soient pas copiées + collées correctement. Pourriez-vous s'il vous plaît l'ajouter à nouveau?

Si le mode strict est activé, nous devons nous assurer que .ssh dispose des autorisations appropriées suivantes:

• .ssh/ devrait avoir des permanentes 0700/rwx------
• .ssh/*.pub les fichiers doivent être 644/rw-r--r--
• .ssh/* (autres fichiers au format .ssh) 0600/rw-------

Comment les choses se présentent-elles pour vous?

Juste au cas où quelqu'un tomberait sur cette réponse - aucune des recommandations ne fonctionnait dans mon scénario. En fin de compte, le problème était que j'avais créé un compte sans mot de passe. Une fois que j'ai défini le mot de passe à l'aide de usermod -p "my password" username, puis que j'ai déverrouillé de force le compte usermod -U username, tout était peachy.

Lors de l'utilisation de CentOS 7, et je suis convaincu que cela s'applique également aux autres systèmes d'exploitation Linux utilisant sshd. Avec un accès root, vous pouvez déterminer plus en détail pourquoi l’authentification peut échouer. Pour faire ça:

1. Activer la journalisation pour sshd: vi /etc/ssh/sshd_config
2. Sous enregistrement décommenter:

SyslogFacility AUTH LogLevel INFO

1. Remplacez LogLevel INFO par LogLevel DEBUG.
2. Sauvegarder et quitter
3. Redémarrez sshd systemctl restart sshd
4. Regarder le fichier de messages tail -l /var/log/messages
5. En utilisant un autre terminal, essayez de vous connecter avec ssh
6. Essayez de vous connecter avec ssh
7. Consultez le journal d'authentification pour la cause exacte

Par exemple, je rencontrais certains des problèmes mentionnés ci-dessus.

Authentication refused: bad ownership or modes for file /home/user/.ssh/authorized_keys

En utilisant ces étapes, j'ai pu confirmer que le problème était les autorisations sur le fichier allowed_keys. En fixant chmod à 644 sur le fichier de clés autorisées de mon utilisateur, le problème a été résolu.

J'ai eu un problème similaire , où la connexion SSH essaie la clé ~/.ssh/id_rsa avant de s'arrêter de façon inattendue sur:

debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password

Dans mon cas, c'était dû à un ancien fichier de clé publique qui traînait dans le répertoire .ssh:

[gitlab-runner@validation-k8s-1 ~]$ ll .ssh/id_rsa*
total 16
-rw------- 1 gitlab-runner gitlab-runner 1675 Sep 18 18:02 id_rsa      --> new private key
-rw-r--r--. 1 gitlab-runner gitlab-runner  423 Jun 12 13:51 id_rsa.pub --> old public key

Déplacer/supprimer le id_rsa.pub du répertoire .ssh a résolu le problème.

D'après ce que j'ai compris: lorsqu'une clé publique est présente côté client, SSH 1st valide la clé privée en conséquence. Si cela échoue, il n'essaiera pas d'utiliser la clé privée pour se connecter à distance.

J'ai envoyé un courrier électronique à la liste de diffusion openssh: https://lists.mindrot.org/pipermail/openssh-unix-dev/2016-avril/035048.html .

Également rencontré ce problème. setroubleshoot ne semble pas fonctionner dans mon environnement, il n'y a donc pas d'enregistrement de journal de ce type dans/var/log/messages. Désactiver SELinux n’était pas une option pour moi, alors j’ai

restorecon -Rv ~/.ssh

Après cela, la connexion par clé rsa a bien fonctionné.

Juste au cas où cela sauverait aussi quelqu'un. J'essayais de copier une clé de ma machine Ubuntu 18.04 sur 2 serveurs CentOS 7. J'ai utilisé ssh-copy-id pour les transférer. On travaillait, on ne travaillait pas. J'ai donc passé en revue toutes les autorisations de débogage sans rien trouver. Alors finalement, j'ai récupéré le fichier /etc/ssh/sshd_config sur les deux serveurs et je les ai parcourus ligne par ligne. Finalement, je l’ai trouvé, probablement quelque chose que quelqu'un a modifié bien avant que je ne commence à travailler.

Une lecture: AuthorizedKeysFile .ssh/authorized_keys

Et une autre lecture: AuthorizedKeysFile ~/.ssh/authorized_keys, qui était sur le serveur qui n’acceptait pas mes clés. Évidemment, en regardant entre les deux fichiers et en notant le commentaire qui indique que les modèles de recherche par défaut n'incluent pas le ~/ en tête, je l'ai supprimé et redémarré sshd. Problème résolu.

Nous avons rencontré ce problème. Les autorisations et la propriété des fichiers .ssh étaient toutes correctes. Dans/var/log/messages, nous avons trouvé:

Mar 29 15:45:36 centos70 setroubleshoot: SELinux is preventing /usr/sbin/sshd from read access on the file authorized_keys. For complete SELinux messages run: sealert -l 05963b94-f318-4615-806c-b6c3a9066c82

SO, la solution pour développeur vm où nous ne nous soucions pas de la sécurité est de désactiver selinux. Éditez/etc/sysconfig/selinux et modifiez SELINUX = disabled et redémarrez.

Un journal des erreurs côté client se terminant comme ceci:

Enter passphrase for key '/root/.ssh/id_rsa':
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
[email protected]'s password:

peut être provoqué par une restriction (à distance) côté serveur sur racine connexion lorsque le fichier de configuration sshd contient:

PermitRootLogin: no

La suggestion de JonCav d'activer la journalisation s'est avérée utile pour résoudre ce problème. Alors que le débogage côté client était remarquablement inutile, placez le texte suivant dans le fichier sshd du serveur sshd_config:

SyslogFacility AUTH
LogLevel DEBUG

fini par produire des messages de journal utiles:

Jul 19 19:16:38 500265-web1 sshd[21188]: Found matching RSA key: ...
Jul 19 19:16:38 500265-web1 sshd[21188]: ROOT LOGIN REFUSED FROM ...
Jul 19 19:16:38 500265-web1 sshd[21188]: Failed publickey for root from ... port ... ssh2
Jul 19 19:16:38 500265-web1 sshd[21189]: ROOT LOGIN REFUSED FROM ...

Dans le cas où seule la connexion racine échouait et si l'utilisation de la seule authentification basée sur une clé était autorisée par votre stratégie de sécurité, une modification du fichier sshd_config peut vous aider:

 PermitRootLogin without-password

Votre kilométrage peut varier, bien que cela aide souvent, une autre configuration peut encore interférer selon un commentaire trouvé dans certains fichiers sshd_config:

# Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".

Même si vous ne pouvez pas modifier facilement la configuration du serveur distant pour déboguer de cette manière, il est possible de vérifier dans une certaine mesure la configuration côté client en utilisant les mêmes fichiers d’identité sur ssh dans un compte non root du même compte. serveur distant.

Je peux voir pourquoi la sécurité peut déranger les gens. Je viens d'avoir à nouveau le problème ssh won't use my key. Je l'ai résolu en me connectant au serveur distant et en exécutant

/usr/sbin/sshd -sDp 23456

puis de mon bureau, (en essayant de ssh au serveur)

ssh -vvvv server -p 23456

J'ai reçu Authentication refused: bad ownership or modes for directory / sur le serveur

Un nouvel administrateur système avait gâché la permission et la propriété, que j'ai corrigées avec:

chmod 0755 / ; chown root:root /

(J'ai l'habitude d'avoir besoin de chmod 0600 ~/.ssh/* ; chmod 0644 ~/.ssh/*.pub, mais sshd vérifie/trouve les autorisations root en est une nouvelle pour moi.) Je vais maintenant rechercher un rootkit, puis effacer et réinstaller de toute façon.

Dans mon cas, le problème concernait l'exécutif de Shell incorrect.

journalctl -f
....
Feb 25 11:45:54 59a02b89e0f6 sshd[]: User user not allowed because Shell /usr/bin/env /bin/bash does not exist
....

Fichier/etc/passwd modifié pour cet utilisateur

vi /etc/passwd 
....
user:x:1000:1000::/home/user:/bin/bash
....

La raison dans mon cas était une option personnalisée AuthorizedKeysFile dans le fichier /etc/ssh/sshd_config. Il était défini sur le répertoire personnel d'un autre utilisateur (/home/webmaster/.ssh/authorized_keys), de sorte que l'utilisateur que je tentais de me connecter n'avait pas accès à ce fichier/répertoire.

Après l'avoir changé et redémarré ssh-server (service ssh restart), tout est revenu à la normale. Je peux maintenant me connecter avec ma clé privée.