D'une manière ou d'une autre, mon SSH ne veut jamais me demander un mot de passe.
J'ai donc installé un VPS sur un serveur quelconque quelque part dans le monde et je veux me connecter avec ssh.
Je peux configurer une clé, mais quand je fais ceci:
ssh -l some-user IP
Je reçois l'erreur:
Received disconnect from ##.##.##.##: 2: Too many authentication failures for some-user
Quand je regarde les détails, je peux voir que le mot de passe est l'une des options:
debug1: Offering RSA public key: some-user@computer
debug1: Authentications that can continue: publickey,password
Pourtant, SSH ne me demande jamais le mot de passe. Il essaie 5 fois avec ce que je soupçonne être la méthode publickey puis échoue. Pourquoi ssh n'essaierait-il pas avec le mot de passe?!
Juste au cas où, mon fichier ssh_config a:
PasswordAuthentication yes
Journal complet
ssh -v -l root ##.##.##.##
OpenSSH_6.1p1 Debian-4, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /home/someuser/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to ##.##.##.## [##.##.##.##] port 22.
debug1: Connection established.
debug1: identity file /home/someuser/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/someuser/.ssh/id_rsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_dsa type -1
debug1: identity file /home/someuser/.ssh/id_dsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.2p2 Ubuntu-6
debug1: match: OpenSSH_6.2p2 Ubuntu-6 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1p1 Debian-4
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server Host key: ECDSA XX:XX:...:XX:XX
debug1: Host '##.##.##.##' is known and matches the ECDSA Host key.
debug1: Found key in /home/someuser/.ssh/known_hosts:38
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/someuser/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering DSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
Received disconnect from ##.##.##.##: 2: Too many authentication failures for root
Essayez de vous connecter avec l’authentification de clé publique désactivée, en utilisant
ssh -o PubkeyAuthentication=no root@newserver
Très probablement, votre fichier .ssh/config
contient plus d'une ligne identityfile
.
Même si vous avez identityfile
dans la configuration Host
, il est appliqué globalement. Cela signifie que ssh
essaie chaque fichier d'identité (clé publique i.e) sur chaque hôte, avant qu'il ne demande l'invite du mot de passe du serveur.
Vous pouvez résoudre ce problème en
identityfile
sauf une, ouPubkeyAuthentication no
à .ssh/config
, ou-o PubkeyAuthentication=no
.De man 5 ssh_config
:
PubkeyAuthentication
Specifies whether to try public key authentication. The argument to this
keyword must be “yes” or “no”. The default is “yes”. This option applies
to protocol version 2 only.
IdentityFile
...
It is possible to have multiple identity files specified in configuration
files; all these identities will be tried in sequence. Multiple
IdentityFile directives will add to the list of identities tried (this
behaviour differs from that of other configuration directives).
Quelques instructions générales avec les clés publiques:
Il y a quelques exceptions à cela, mais pas trop.
Votre ssh local ne devrait pas vous demander un mot de passe, le serveur ssh à l’autre extrémité devrait le faire. Il est probable que le serveur est configuré pour ne pas accepter l'authentification par mot de passe. Le mien ne vous demanderait pas de mot de passe non plus.