Linux 之 SSH免密登陆之二 配置无效解析

最新推荐文章于 2024-08-17 16:44:30 发布
最新推荐文章于 2024-08-17 16:44:30 发布
阅读量2.1k 收藏
点赞数 1
分类专栏: 9. 部署和环境搭建 -------9.1. Linux ------------9.1.2. Linux运维 文章标签: linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010416101/article/details/72403971
版权
  • 错误1 文件夹及文件权限解析
  • 错误2 文件夹的标签错误解析

错误1 文件夹及文件权限解析

Question

免密登陆无法生效。

Answer

  • .ssh目录的权限必须是700
  • .ssh/authorized_keys文件权限必须是600
    基本的操作为
chmod 700 /root/.ssh
chmod 600 /root/.ssh/authorized_keys

Reference

原因是权限过高导致了ssh登陆的安全性得不到保证,所以造成了实效,官方文档如下:

man sshd
.....
     ~/.ssh/authorized_keys
             Lists the public keys (DSA/ECDSA/RSA) that can be used for logging in as this user.  The format of
             this file is described above.  The content of the file is not highly sensitive, but the recommended
             permissions are read/write for the user, and not accessible by others.

             If this file, the ~/.ssh directory, or the user's home directory are writable by other users, then the
             file could be modified or replaced by unauthorized users.  In this case, sshd will not allow it to be
             used unless the StrictModes option has been set to “no”.
........

错误2 文件夹的标签错误解析

Question

在某些Linux系统(Redhat 6.5 / Centos 7)上,设置了问题1并不能解决问题,我们通过ssh -v 调试发现问题。

sh-3.2# ssh -v root@192.168.100.63
OpenSSH_6.9p1, LibreSSL 2.1.8
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug1: Connecting to 192.168.100.63 [192.168.100.63] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /var/root/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /var/root/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/root/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/root/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/root/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/root/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/root/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/root/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.9
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH_5* compat 0x0c000000
debug1: Authenticating to 192.168.100.63:22 as 'root'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr umac-64@openssh.com none
debug1: kex: client->server aes128-ctr umac-64@openssh.com none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<3072<8192) sent
debug1: got SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: got SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: ssh-rsa SHA256:mxdRr3cfr86jDyAS8l7MoxfsM0GQqJkAlp0G2XwHBLM

# 说明已经验证成功了 找到了 authorithy_keys 的记录

debug1: Host '192.168.100.63' is known and matches the RSA host key.
debug1: Found key in /var/root/.ssh/known_hosts:19
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password

# 下方说明没有验证成功,导致了 跳到了下一个阶段的验证

debug1: Next authentication method: publickey
debug1: Offering RSA public key: /var/root/.ssh/id_rsa
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Trying private key: /var/root/.ssh/id_dsa
debug1: Trying private key: /var/root/.ssh/id_ecdsa
debug1: Trying private key: /var/root/.ssh/id_ed25519
debug1: Next authentication method: password

Answer

因为之前使用ssh-keygen -t rsa命令生成的.ssh文件夹免密配置都是成功的。但是,我们通过mkdir -p自己创建的一直不成功!通过查找资料得知,原来是文件夹竟然还有一个叫做标签的东西。通过如下的命令可以知道,差别在于何处:

.bak 是我通过重命名过的系统自己生成的.ssh文件夹
[root@rhel6 ~]# ls -laZ
drwx------. root root unconfined_u:object_r:ssh_home_t:s0 .bak
drwx------. root root unconfined_u:object_r:admin_home_t:s0 .ssh

发现系统生成的确实是用一个叫做ssh_home_t:s0的标签,但是我们自己创建的为admin_home_t:s0,所以我们改变下就可以了;

改造命令如下所示:

restorecon -r -vv /root/.ssh
# 其它用户 换成 ~/.ssh

那么问题就可以解决了,关于chmod命令和ssh免密脚本会在其它文章内具体详解。

参考文献

[1] ssh设置免密码登陆仍然需要密码
[2] CentOS SSH公钥登录问题
[3] 一次由SELinux引起的ssh公钥认证失败问题
[4] ssh key生成和配置
[5] ssh免密登录方法不生效?
[6] ssh配置authorized_keys后仍然需要输入密码的问题
[7]ssh配置authorized_keys后仍然需要输入密码的问题

在风中的意志
关注
专栏目录
ssh--渗透篇
qq_49694748的博客
01-09 2380
SSH 为 Secure Shell的缩写,SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议 从客户端来看,SSH提供两种级别的安全验证 第一种级别(基于口令的安全验证) 第二种级别(基于密匙的安全验证) SSH配置文件位置:/etc/ssh/sshd_config SSH对应服务名称:sshd .ssh目录存在于用户的根目录 1、 sshsshd的区别 2、 ssh常用配置参数 3、 信息收集-nmap 4、 ss.
SSH-Linux常用命令
qq_47906421的博客
01-25 620
SSH-Linux常用命令一,SSH1.什么SSH2.SSH的主要功能3.SSH的服务端和客户端4.Linux下安装并配置SSH服务(centos7内置)二,linux的命令操作1、日常操作命令2、文件系统操作3、文件权限的操作修改文件权限 (change mode)4、基本的用户管理5、系统管理操作 一,SSH 1.什么SSH secure shell protocol简称SSH,在进行数据传输之前,SSH先对联级数据包通过加密技术进行加密处理,加密后在进行数据传输,确保了传递的数据安全。 SSH是专
SSH使用问题:无法免密登录
one__leaf的博客
12-16 4902
ssh
ssh免密登录设置遇到的问题
qq_56437391的博客
04-01 1600
SSH免密登录问题的一些解决方法
Linux ssh 免密失效
最新发布
Wynter
08-17 407
为什么我输入这两条指令后,ssh免密失效了?当你使用和将/home/xxx目录及其所有子目录和文件的权限设置为rwxrwxrwx(777),这意味着任何人都可以读取、写入和执行这些文件。这可能会导致 SSH 密钥文件的权限过于宽松,SSH 服务出于安全考虑会拒绝使用这些密钥。将/home/xxx目录及其所有子目录和文件的所有权更改为了xxx用户和xxx组。如果之前 SSH 密钥文件的所有权不是xxx,那么更改所有权可能会影响 SSH 服务的正常使用。- SSH 密钥文件(如和。
SSH免密登陆遇到的问题及解决
weixin_43686259的博客
11-05 3078
SSH免密登陆遇到的问题及解决。
linux秘钥copy完成,仍需要密码验证(700不能解决问题)
q936889811的博客
03-29 1203
[root@slave2 ~]# ssh -v root@192.168.31.16 OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 58: Applying options ...
关于ssh登录时卡顿30s左右的问题调试恢复过程
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-07 4548
内网ssh一台主机时,每次总是卡顿30s左右才能跳到远程主机上,其他主机ssh均正常,对比各主机配置并无特殊不同,那我们接下来分析下如何定位主机的可能原因
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 2929
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
尚硅谷 Linux网络服务&数据库 笔记
LiuKairui的博客
04-08 4598
目录网络基础服务CentOS6与CentOS7区别常见的网络协议与端口网关和路由网络管理命令SSH管理TCP Wrappers 简单防火墙DHCP服务DHCP的工作原理DHCP服务搭建DNS服务域名的组成与分类域名解析过程DNS实验VSFTP服务VSFTP服务概述登录验证方式使用FTP普通实验openSSL+vsftp加密验证SAMBA服务Samba概述登录验证模式基本使用实验NFS服务NFS挂载原理实验LAMP平台环境搭建Apache启动方式工作模式文件位置配置文件Apache目录别名实验Apache用户
基于linux平台的Hadoop完全分布式集群搭建
s77的博客
12-28 4144
前一段因为课设搭建了基于linux的Hadoop集群,现将搭建过程记录如下,如有错误,望不吝指出。 注:下文从自己的课设报告中直接粘贴下来的,可能有些格式问题。 环境搭建        因为此次课程设计需要用到多台主机,所以选择在虚拟机中完成。三台虚拟机系统均选择Ubuntu16.04。虚拟机分配2G内存,100G硬盘,单个网络适配器,网络连接方式选择nat方式。大致情况如下图所示 ...
Permission denied (publickey)
日渐机智的博客
08-05 6091
git clone Permission denied
Error: parsing SSH public key “~/.ssh/id_rsa.pub“: parsing key: ssh: no key found 解决方法
Laurence的技术博客
05-06 524
产生这一错误的原因是:~/.ssh/id_rsa.pub文件可能不是通过ssh-keygen生成的原始文件,而是通过别的工具导出的,最可能的情况就是通过。所以会出现解析错误。解决方法是: 使用ssh-keygen从私钥生成的公钥文件。
SSH免密码登录配置
大大的微笑的专栏
07-10 1102
SSH免密码登录配置 1. 本机需要生成ssh的公钥 ssh-keygen -t rsa 2. 上传公钥到远程服务器 scp ~/.ssh/id_rsa.pub root@192.168.1.123:/root/.ssh/authorized_keys 3. 服务器公钥文件、目录权限修改 chmod 700 /root/.ssh chmod 600 /root/.ssh/aut...
linux|奇怪的知识---账号安全加固,ssh安全加固
zsk_john的技术分享专用博客
02-28 3377
一般情况下,我们对于账号的安全是比较随意的,因为在生产环境里,基本都是使用堡垒机这样的带有安全审计功能的工具对各个主机进行监控,管理,并且结合prometheus,zabbix等等其它监控软件,会对主机的一个整体概况有一个直观的感受。 OK,如果堡垒机什么的任意一个点被持有恶意的人攻破,那么,无疑是会引发数据泄露的,因此,我们需要从根源上对主机做安全加固,比如, 操作系统内的所有用户的密码设定复杂度,例如,密码长度不低于8位,必须带有大小写和特殊符号至少一个,密码不得设定为常用字,例如,不得设置syst
主机通过 ssh 命令连接服务器,能PING通,但无法登录
HUAWANGSIR的博客
11-30 2860
ubunru主机通过 ssh 命令连接服务器,能PING通,但无法登录 1、如题,主机通过服务器能ping通,但是无法登录,服务器端口,说明物理连接上基本没什么问题 2、当通过 ssh useername@(服务器端口IP) 卡在终端 3、此时使用debug ssh -v (服务器IP) debug1: /etc/ssh/ssh_config line 19: Applying options for * debug1: Connecting to 192.168.125.101 [192.168.12
Linux SSH登录慢问题解决
qq_35916454的博客
08-17 2088
Linux服务器ssh登录时超级慢,需要几十秒。其它服务器均没有这个问题。平时登录操作都默默忍了。今天终于忍不住想搞清楚到底什么原因。搜索了一下发现了很多关于ssh登录慢的资料,于是自己也学着来分析、印证一下ssh登录慢的原因。 出现ssh登录慢一般有两个原因:DNS反向解析的问题和ssh的gssapi认证 1:ssh的gssapi认证问题 GSSAPI ( Generic Security Services Application Programming Interface) 是一套类似Kerber
ssh登录客户机缓慢解决办法
sdd220的博客
11-22 4056
[root@CentOS7 ~]# ssh -v 192.168.0.4 OpenSSH_6.6.1, OpenSSL 1.0.1e-fips 11 Feb 2013 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 56: Applying options for * de
ssh免密登录,各种权限设置都无效的解决办法!
热门推荐
站在人文与技术的交汇点
01-02 1万+
如果失败,有可能是以下原因:1、权限问题2、配置问题
linux服务器ssh免密登陆
03-16
Linux服务器可以通过SSH免密登录,具体步骤如下: 1. 生成公钥和私钥 在本地机器上使用ssh-keygen命令生成公钥和私钥,命令如下: ssh-keygen -t rsa 2. 将公钥复制到服务器 使用ssh-copy-id命令将公钥复制到服务器上,命令如下: ssh-copy-id user@server_ip 其中,user是服务器上的用户名,server_ip是服务器的IP地址。 3. 测试免密登录 使用ssh命令测试免密登录,命令如下: ssh user@server_ip 如果成功登录,则表示免密登录已经设置成功。 以上就是Linux服务器SSH免密登录的步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值