LINUX.ORG.RU
ФорумAdmin

SSH. Не работает авторизация через ключ. Просит пароль


0

1

Обычный хостинг. У хостера несколько серверов. На первом сервере авторизация через ключ работает. На втором нет, просит пароль.

Аккаунт на втором сервере, где НЕ работает:

$ ssh -v p2022@p2022.ftp.ihc.ru
OpenSSH_5.5p1, OpenSSL 1.0.0d-fips 8 Feb 2011
debug1: Reading configuration data /home/user/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to p2022.ftp.ihc.ru [91.218.228.14] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/identity-cert type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: identity file /home/user/.ssh/id_dsa-cert type -1
debug1: identity file /home/user/.ssh/id_dsa_p2011 type 2
debug1: identity file /home/user/.ssh/id_dsa_p2011-cert type -1
debug1: identity file /home/user/.ssh/id_rsa_p2022 type 1
debug1: identity file /home/user/.ssh/id_rsa_p2022-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH_4*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'p2022.ftp.ihc.ru' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:3
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_500' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_500' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Trying private key: /home/user/.ssh/id_rsa
debug1: Trying private key: /home/user/.ssh/id_dsa
debug1: Offering public key: /home/user/.ssh/id_dsa_p2011
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Offering public key: /home/user/.ssh/id_rsa_p2022
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: password
p2022@p2022.ftp.ihc.ru's password:



Первый сервер, где работает:

$ ssh -v p2011@p2011.ftp.ihc.ru
OpenSSH_5.5p1, OpenSSL 1.0.0d-fips 8 Feb 2011
debug1: Reading configuration data /home/user/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to p2011.ftp.ihc.ru [91.218.229.12] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/identity-cert type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: identity file /home/user/.ssh/id_dsa-cert type -1
debug1: identity file /home/user/.ssh/id_dsa_p2011 type 2
debug1: identity file /home/user/.ssh/id_dsa_p2011-cert type -1
debug1: identity file /home/user/.ssh/id_rsa_p2022 type 1
debug1: identity file /home/user/.ssh/id_rsa_p2022-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH_4*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'p2011.ftp.ihc.ru' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_500' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_500' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Trying private key: /home/user/.ssh/id_rsa
debug1: Trying private key: /home/user/.ssh/id_dsa
debug1: Offering public key: /home/user/.ssh/id_dsa_p2011
debug1: Server accepts key: pkalg ssh-dss blen 435
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key '/home/user/.ssh/id_dsa_p2011':

Кто сталкивался, почему так происходит?

Как то у меня было такое. Помогло пересоздание пары ключей

Yur4eg ★★ ()
Ответ на: комментарий от Yur4eg

Раз 10 уже как минимум проделал процедуру, и с RSA и с DSA. Даже генерировал ключ на 1 сервере, закачивал на второй, подключался с 1го ко 2му, просит пароль.

n0b0dy ()
Ответ на: комментарий от n0b0dy

а опечаток нет?

/home/$USER/.ssh/authorized_keys
это на серверах смотреть... и содержимое заодно посмотри :)

aol ★★★★★ ()
Ответ на: комментарий от n0b0dy

права проверь на каталог и файлы в .ssh, должны быть даны только пользователю на всё.

mashina ★★★★★ ()
Ответ на: комментарий от n0b0dy

а, еще че вспомнил! посмотри внутрь id_rsa.pub

ssh-rsa <многабукав> user@host

отредактируй его вот так:

ssh-rsa <многабукав> user

и перезалей на оба хоста в authorized_keys

aol ★★★★★ ()
Ответ на: комментарий от aol

Закачивал через

ssh-copy-id
Поэтому опечатки почти исключаются.

n0b0dy ()
Ответ на: комментарий от aol

Сделал вот так

ssh-rsa <многабукав> user
На 1м сервере, как всегда работает, на 2м опять НЕТ.

n0b0dy ()

Глупый вопрос: а если ввести неправильный пароль — столько раз, сколько попросит? Как-то не понял, тот сервер пропускает аутентификацию по ключу, или просто применяет в другом порядке?

fat-II ()
Ответ на: комментарий от fat-II

1 сервер просит проверочную фразу для ключа, который используется на нём. Ввожу секретную фразу и я вошёл.
Если вводить неправильные пароли, скорее всего последует временный бан. Пробовать не хочу.

n0b0dy ()

Возмножно, что на втором сервере у хостера просто sshd настроен по другому, допустим AuthorizedKeysFile указывает на другой файл. Вы в техподдержку обращались?

mky ★★★★★ ()

И на всякий случай, ключ не от рута надо генерить, а от обычного пользователя, если ты собираешься использовать ключ кем-то кроме рута

anonymous ()

Судя по логам, сертификатid_dsa_p2011 или не соответствует закрытому ключу пользователя, или, что более вероятно, этот сертификат недоступен для OpenSSH. Проверьте права на файл /home/user/.ssh/id_dsa_p2011

Maximus43 ()
Ответ на: комментарий от Maximus43

В чём именно проблема крылась не знаю, но техподдержка еле еле с 3 раза починила/включила авторизацию по ключу.

Загадки прям, фантастика.

n0b0dy ()
Ответ на: комментарий от n0b0dy

техподдержка еле еле с 3 раза починила/включила авторизацию по ключу

Прикольный хостинг.

power ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.