Essayer de SSH sur un ordinateur distant mais toujours demander un mot de passe


18

Tentative de connexion SSH à un ordinateur distant mais demande toujours un mot de passe.

J'ai un certain nombre d'ordinateurs exécutant SElinux et un seul d'entre eux me donne du mal à utiliser ssh sans mot de passe.

J'ai fait un ssh-copy-id et je peux voir ma clé dans le .ssh / authorized_keys.

Je chmod 700 .ssh et chmod 600 tous les fichiers dans ./ssh/*

Si je fais un ssh -v c'est ma sortie:

OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to wcmisdlin05 [10.52.208.224] port 22.
debug1: Connection established.
debug1: identity file /home/jsmith/.ssh/identity type -1
debug1: identity file /home/jsmith/.ssh/id_rsa type 1
debug1: identity file /home/jsmith/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'wcmisdlin05' is known and matches the RSA host key.
debug1: Found key in /home/jsmith/.ssh/known_hosts:9
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_501' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_501' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Next authentication method: publickey
debug1: Offering public key: /home/jsmith/.ssh/id_rsa
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Trying private key: /home/jsmith/.ssh/identity
debug1: Trying private key: /home/jsmith/.ssh/id_dsa
debug1: Next authentication method: password

Quelqu'un peut-il me dire pourquoi cela ne fonctionne pas sur cet ordinateur distant?


5
Regardez dans /var/log/secure(s'il s'agit d'autorisations) et /var/log/messages(s'il s'agit de SELinux.) Sinon, c'est un décalage entre ce ~/.ssh/authorized_keysqui est contenu et ce qui est envoyé par le client SSH.
Aaron Copley

Réponses:


17

J'ai souvent rencontré un bogue similaire sur les machines CentOS 6 impliquant ssh-copy-idet SELinux.

Lorsque ssh-copy-idcrée les fichiers de clés autorisés, il le crée avec les autorisations appropriées, mais avec la mauvaise étiquette SELinux. Le correctif consiste à restaurer les étiquettes à leurs valeurs par défaut de stratégie à l'aide de cette commande:

restorecon -R ~/.ssh


1
Bonne réponse. Mais pour un débutant SELinux, il serait également intéressant de savoir comment inspecter la liste et inspecter les autorisations.
zrajm

14

Ces choses sont toujours beaucoup plus faciles à déboguer côté serveur, si cela est possible. Si vous pouvez démarrer un sshd sur un autre port en mode débogage, il vous dira immédiatement pourquoi la clé est rejetée (ma supposition est que votre répertoire personnel est accessible en écriture de groupe). Vous pouvez, par exemple, démarrer un sshd en mode débogage sur le port 2222 avec /usr/sbin/sshd -d -p 2222, puis vous connecter avec ssh -p 2222 user@remotehost.


4
Merci beaucoup pour votre supposition sauvage (le répertoire personnel est accessible en écriture de groupe). C'était exactement mon cas.
Sergei Kurenkov du

@skwllsp - veuillez accepter cette réponse si elle est la bonne pour votre cas.
Deer Hunter

1
@Deer Hunter, La question a été posée par une autre personne, pas par moi. Je ne peux accepter cette réponse.
Sergei Kurenkov

@skwllsp - un moment senior de ma part, désolé.
Deer Hunter

chmod 744 dans mon répertoire personnel l'a résolu - il était lié à cette réponse, merci!
Brandt Solovij

3

L'affiche qui faisait référence à SElinux a mis le doigt sur la tête pour mon problème, je ne veux pas utiliser selinux mais j'avais oublié de le désactiver, et le serveur a proposé selinux activé au démarrage.

ssh -vLe débogage a aidé. La clé est acceptée:

debug1: Found key in /var/lib/amanda/.ssh/known_hosts:19
debug1: ssh_rsa_verify: signature correct

Et puis je reçois l'erreur

debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_502' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_502' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_502' not found

Mon correctif consistait à désactiver selinux avec setenforce 0puis à désactiver dans / etc / selinux. Ensuite, la connexion sans mot de passe ssh a fonctionné pour moi.


1

J'ai vécu cela il y a quelque temps sur RHEL5 (je ne sais pas si c'est la distribution que vous utilisez) et j'ai constaté que ce n'était que lorsque j'utilisais ssh-copy-id. Essayez de scp'ing le fichier clé dans le dossier correct, et bien sûr de réinitialiser les autorisations


0

Dans mon cas, le problème était dans un format de authorized_keysfichier incorrect .

Il devrait y avoir aucune nouvelle ligne entre la définition du format ( ssh-rss, ssh-dss, ..) et la clé publique elle - même.


0

J'ai eu des problèmes plus tôt avec ssh et les fichiers clés. A cette occasion, renommer ma clé d'identification en " id_rsa" a aidé. Malheureusement, j'ai différentes clés pour différents serveurs. Cette approche a donc une utilité limitée. Il pourrait être utile de manière ponctuelle.

Deuxièmement, aujourd'hui, j'ai à nouveau cette erreur dans une seule session XTerm, et tout fonctionne très bien dans 6 autres sessions xterm sur le même serveur / machine à tuyaux. J'ai donc comparé ma sortie des envdeux sessions. J'ai trouvé que c'était la session de travail, qui était absente de la session non-travail:

SSH_AUTH_SOCK=/run/user/1001/keyring/ssh 

J'ai collé cette affectation dans la session non fonctionnelle:

export SSH_AUTH_SOCK=/run/user/1000/keyring/ssh
ssh  user@host
... Welcome ...

En d'autres termes, cette solution a fonctionné pour moi.

J'ai fait une petite vérification sur le SSH_AUTH_SOCKET. De cette réponse:

le chemin du socket de fichier unix que l'agent utilise pour la communication avec d'autres processus

Je suppose que cela est essentiel pour une résolution clé basée sur le résultat.


-1

debug1: offre de clé publique: /home/jsmith/.ssh/id_ rsa

...

debug1: Essayer la clé privée: /home/jsmith/.ssh/id_ dsa

Il me semble que la clé privée / publique ne correspond tout simplement pas. Les noms de clés nous indiquent que la clé publique est la clé RSA et la clé privée est DSA.

Essayez de générer une nouvelle paire et une nouvelle scpclé publique sur le serveur.


on peut vérifier que c'est bien le cas en comparant les empreintes digitales des deux clés avec ssh-keygen -l -f ~/.ssh/id_rsa' and ssh-keygen -l -f ~ / .ssh / id_rsa.pub`. Je ne pense pas qu'il offrirait même les clés s'il y avait un décalage, cependant. Je pense que c'est juste que l'un est rejeté par le serveur pour une raison non encore déterminée, alors il essaie un autre.
ragoût

-2

Je recommande de vérifier les autorités sur ./ssh et le répertoire personnel de l'utilisateur, sur le fichier de clé et sur le fichier authorized_keys, car personne d'autre que le propriétaire ne devrait être autorisé à écrire et lire là-bas si vous voulez que la connexion sans mot de passe ssh fonctionne. Cela concerne à la fois les machines source et cible. Pour être honnête, cela fonctionne parfois même s'il existe des droits plus importants, mais cela ne devrait pas.


1
Veuillez vérifier: serverfault.com/questions/464411/… . Votre message est également redondant, car vous n'avez pas lu ce que les autres ont écrit.
Deer Hunter
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.