LINUX.ORG.RU
решено ФорумAdmin

Ubuntu 22.04.4 server и запрет входа по паролю через ssh

 ,


0

1

/etc/ssh/sshd_config

..
PasswordAuthentication no
ChallengeResponseAuthentication no

systemctl restart sshd

Есть еще /etc/ssh/sshd_config.d/50-cloud-init.conf. Можно перенести параметры туда. то же безрезультатно. сервер продолжает предлагать вход по паролю.

★★★

Последнее исправление: ESTAF (всего исправлений: 2)
Docer error connect
Гарантированное качество связи между разными операторами

А ты думал, в сказку попал?

anonymous
()
Ответ на: комментарий от ESTAF

Ты пишешь:

то же безрезультатно. сервер продолжает предлагать вход по паролю.

Про пускать ничего не сказано.

anonymous
()
Ответ на: комментарий от anonymous

>Про пускать ничего не сказано.

Хотя, да. Ладно. Чего уж теперь. ссзб
Топик с неправильно сформулированной темой утонет подальше, еще раз напишу. Уже с правкой. Закрыто.

ESTAF ★★★
() автор топика
Последнее исправление: ESTAF (всего исправлений: 1)

мож используется левый конфиг ?? :)
ps aux | grep sshd что говорит

включена ли аутенфикация по паролям PubkeyAuthentication yes
по умолчанию она no и ее надо впрямую включить.
а то в sshd стоит защита от глупости конфига, в котором не разрешена ни одна система аутенфикации…

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 3)
Ответ на: комментарий от vbr

grep сила

grep -R PasswordAuthentication /etc/ssh
/etc/ssh/ssh_config:   PasswordAuthentication no
/etc/ssh/sshd_config.ucf-dist:#PasswordAuthentication yes
/etc/ssh/sshd_config.ucf-dist:# PasswordAuthentication.  Depending on your PAM configuration,
/etc/ssh/sshd_config.ucf-dist:# PAM authentication, then enable this but set PasswordAuthentication
/etc/ssh/sshd_config.d/50-cloud-init.conf:PasswordAuthentication        no
/etc/ssh/sshd_config:PasswordAuthentication  no
/etc/ssh/sshd_config:# PasswordAuthentication.  Depending on your PAM configuration,
/etc/ssh/sshd_config:# PAM authentication, then enable this but set PasswordAuthentication

ESTAF ★★★
() автор топика
Ответ на: комментарий от pfg

да ничего он не говорит

root        1138  0.0  0.9  15440  9260 ?        Ss   15:28   0:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
root        1195  0.0  1.1  17204 11088 ?        Ss   15:31   0:00 sshd: root@pts/0
root        1258  0.0  0.2   9088  2292 pts/0    S+   15:45   0:00 grep --color=auto sshd

Разве что, что есть залогиненный по ssh юзер рут

#PubkeyAuthentication yes

ESTAF ★★★
() автор топика
Последнее исправление: ESTAF (всего исправлений: 1)
Ответ на: комментарий от ESTAF

#PubkeyAuthentication yes

опция заблокирована в конфиге - разблокируй, т.е. убери # перед ней.
предположу что в случае когда нет ни одной разрешенной аутенфикации (пароль отключил, а ключ не включил) sshd по умолчанию оставляет парольный вход.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от ESTAF

А ты sshd перезапускал после правки конфига? За то, что ты хочешь сделать, отвечает именно опция PasswordAuthentication

vbr ★★★★★
()
Ответ на: комментарий от vbr

>А ты sshd перезапускал после правки конфига? За то, что ты хочешь сделать, отвечает именно опция PasswordAuthentication

конечно.

ESTAF ★★★
() автор топика
Ответ на: комментарий от vbr

За то, что ты хочешь сделать, отвечает именно опция PasswordAuthentication
no стоит везде.

ESTAF ★★★
() автор топика
Ответ на: комментарий от ESTAF

Тогда включай максимально подробное логгирование и погружайся в то, что он пишет при запуске и при входе пользователя (именно сервер). Странно это всё, конечно.

vbr ★★★★★
()
Ответ на: комментарий от ESTAF

чет ваапще непонятно :)
systemctl status -n 20 sshd что скажет ??
по идее должно быть
апр 04 15:41:31 srv16 systemd[1]: Started OpenBSD Secure Shell server.
от текущего времени, мож не перезагружается…

pfg ★★★★★
()
Ответ на: комментарий от vbr

Он без ключей пароль не предлагает-то (Permission denied (publickey)). Но сам факт, что пароль вопрошает, странно.

ESTAF ★★★
() автор топика
Ответ на: комментарий от ESTAF

по колесам попинали, в выхлопную заглянули… тогда давай еще раз по конфигам еще раз прогуляемся
покажь выхлоп grep Authentic /etc/ssh/sshd_config /etc/ssh/sshd_config.d/*

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от ESTAF 
# /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStartPre=/usr/sbin/sshd -t
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/usr/sbin/sshd -t
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartPreventExitStatus=255
Type=notify
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755

[Install]
WantedBy=multi-user.target
Alias=sshd.service

#################
echo $SSHD_OPTS
пусто
ESTAF ★★★
() автор топика
Ответ на: комментарий от pfg 
/etc/ssh/sshd_config:# Authentication:
/etc/ssh/sshd_config:PubkeyAuthentication yes
/etc/ssh/sshd_config:#HostbasedAuthentication no
/etc/ssh/sshd_config:# HostbasedAuthentication
/etc/ssh/sshd_config:PasswordAuthentication  no
/etc/ssh/sshd_config:ChallengeResponseAuthentication no
/etc/ssh/sshd_config:#KerberosAuthentication no
/etc/ssh/sshd_config:#GSSAPIAuthentication no
/etc/ssh/sshd_config:# be allowed through the ChallengeResponseAuthentication and
/etc/ssh/sshd_config:# PasswordAuthentication.  Depending on your PAM configuration,
/etc/ssh/sshd_config:# PAM authentication via ChallengeResponseAuthentication may bypass
/etc/ssh/sshd_config:# PAM authentication, then enable this but set PasswordAuthentication
/etc/ssh/sshd_config:# and ChallengeResponseAuthentication to 'no'.
/etc/ssh/sshd_config.d/50-cloud-init.conf:PasswordAuthentication        no
ESTAF ★★★
() автор топика
Ответ на: комментарий от ESTAF

SSHD_OPTS и будет пусто :) ибо оно считывается из EnvironmentFile только при загрузке сервиса. а в текущая консоли нет :)
глянь /etc/default/ssh, но там думаю тоже пустая значение для SSHD_OPTS

pfg ★★★★★
()
Ответ на: комментарий от pfg

Да. Там после знака равенства пусто.
Всё бы это конечно «да») но раньше по паролю он не пускал, пока не сменил значение PasswordAuthentication в /etc/ssh/sshd_config.d/50-cloud-init.conf, что бы закинуть откр ключ с клиента. Закинул. Выставил обратно в no и рестартанул всё. Даже полностью. Но !!! упорно предлагает ввести пароль теперь. Вот как пишу, так один в один и произошло.

ESTAF ★★★
() автор топика
Последнее исправление: ESTAF (всего исправлений: 1)
Ответ на: комментарий от ESTAF

кеш какой-то суксь у них там что ли...

ESTAF ★★★
() автор топика
Ответ на: комментарий от ESTAF

Надо читать. Может тема такова, что выключая такую авторизацию, мы вовсе не вырубаем ее полностью, а лишь запрещаем вход без ключей.

ESTAF ★★★
() автор топика
Ответ на: комментарий от ESTAF

ага. попробовал сейчас через putty подлкючится на ssh c ключом. коннект открывается, запрос имени пользователя выводится.
а потом, при вводе любых символов,
No supported authentication methods available (server sent: publickey)
и коннект обрубается

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

>ага. попробовал сейчас через putty подлкючится на ssh c ключом. коннект открывается, запрос имени пользователя выводится.

Хм. Помнится, не выводился. Сегодня обновлял, до всех манипуляций, машинку. может решили сделать такой... кульбит.

ESTAF ★★★
() автор топика
Ответ на: комментарий от ESTAF

Там есть режим спрашивать и ключ и пароль одновременно, возможно он у тебя почему-то включился. Но я не знаю как его настраивать. Думаю надо в документации найти какая опция за него отвечает.

А ещё проверь - пароль спрашивает sshd или может не он? Введи неправильный и посмотри что в логах сервера после этого.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)

Продолжай наблюдения. (%

mord0d ★★★★★
()

ОП наверное скрывает, что ходит на тачку под рутом

PermitRootLogin prohibit-password

slowpony ★★★★★
()
Ответ на: комментарий от firkax

>А ещё проверь - пароль спрашивает sshd или может не он? Введи неправильный и посмотри что в логах сервера после этого.

Сессия закрылась типа и всё.

ESTAF ★★★
() автор топика
Ответ на: комментарий от firkax 
cat /var/log/auth.log

Apr  4 22:04:13 some_domainname sshd[1155]: Connection closed by authenticating user root x.x.x.x port 61069 [preauth]

Надеюсь то, что захожу рутом, никого не оскорбит.

ESTAF ★★★
() автор топика
Ответ на: комментарий от ESTAF

Клиент не может прочитать ~/.ssh/id_rsa ?

Сделай 

ssh -vvv username@host
тм в логе будет что-нить про это наверно. Ну или проверь что файл на месте и с правильными правами (доступен для чтения юзеру который зпустил ssh, но недоступен остальным).

firkax ★★★★★
()
Ответ на: комментарий от firkax

Проблема в другом. При создании ключей вводил пароль под них.
На стадии 

ssh-keygen -t rsa -b 4096
. Лог клиента так. Ни о чем. Просто вспомнил, что если закидывать пароль при создании ключей, то он будет вопрошаться. всё ок.

Ходить под рутом... Ну сервер ак vps под Shadowsocks (XRay (XTLS)). Захожу туда по ssh, если только надо прикрыть какого пользователя из семьи, или себе добавить на устройство еще одну учетку. 

ssh -i cli001 -l root -L 8080:localhost:49557 x.x.x.x -p 223

http://localhost:8080/main/

ESTAF ★★★
() автор топика
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
Docer error connect
Admin
Гарантированное качество связи между разными операторами