问题描述
使用SSH连接Linux系统的ECS实例时,客户端或服务端的secure日志中可能会出现类似如下信息,用户无法正常登录。
- Permission denied, please try again.
- User test from 192.X.X.1 not allowed because not listed in AllowUsers.
- User test from 192.X.X.1 not allowed because listed in DenyUsers.
- User root from 192.X.X.1 not allowed because a group is listed in DenyGroups.
- User test from 192.X.X.1 not allowed because none of user's groups are listed in AllowGroups.
问题原因
该问题通常是由于SSH服务启用了用户登录控制参数,对可登录用户进行限制所致,参数说明如下。
- AllowUsers:允许登录的用户白名单,只有该参数标注的用户可以登录。
- DenyUsers:拒绝登录的用户黑名单,该参数标注的用户都拒绝登录。
- AllowGroups:允许登录的用户组白名单,只有该参数标注的用户组可以登录。
- DenyGroups:拒绝登录的用户组黑名单,该参数标注的用户组都拒绝登录。
拒绝策略优先级高于允许策略,如下所示。
- 如果“AllowUsers”和“DenyUsers”参数包含了同一个用户,则拒绝策略优先,所以最终该用户还是无法登录。