Linux免密ssh自身不成功怎么解决,ssh免密登陆失败

最新推荐文章于 2024-06-02 01:21:04 发布
最新推荐文章于 2024-06-02 01:21:04 发布
阅读量1.4k 收藏 1
点赞数
文章标签: Linux免密ssh自身不成功怎么解决

一直是使用ssh免密登陆,今天碰到了一件事情ssh免密登陆失败的问题。各种检查权限、key等等都没有问题。最后定位是selinux的问题。首先介绍一些何为selinux。

SElinux 全称为 Security Enhanced

Linux,安全强化Linux,是Mandatory Access

Control(Mac 强访问控制系统)的一个实现,目的在于明确系统中某个进程可以访问哪些资源。

1.获取当前系统SELinux的运行状态

getenforce

返回结果有三种:Enforcing,Permissive,Disabled。Disabled表示SELinux被仅用,Permissive表示记录安全警告但是不阻止可以行为,Enforcing表示记录警告并且组织可疑行为。

2、修改SELinux的运行状态

setenforcing 1//启动

Enforcing

setenforcing 0//设为Permissive

,宽容状态

好了,言归正传,查看了一下服务器上authorized_keys文件的SELinux的content内容

ls -lZ

~/.ssh/authorized_keys

-rw-------. user00 user00 unconfined_u:object_r:default_t:s0

authorized_keys

从default_t看来,这个文件在SELinux开启的时候,会阻止sshd访问的,所以到导致免密登陆失败。

Thedefault_ttype is used on files that do not match any

pattern in file-context configuration, so that such files can be

distinguished from files that do not have a context on disk, and

generally are kept inaccessible to confined domains.

关于defalut_t的描述相见:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-The_file_t_and_default_t_Types.html

tail -f /var/log/messages

SELinux is preventing /usr/sbin/sshd from read access on the file

authorized_keys. For complete SELinux messages. run sealert -l

a14e434d-e649-443d-bd2e-2228b0262a6d

另外在/var/log/audit/audit.log

中会爆出:type=AVC

msg=audit(1508813825.775:5620): avc:

denied

{ read } for

pid=18600 comm="sshd" name="authorized_keys" dev="sda1" ino=2698667

scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023

tcontext=unconfined_u:object_r:default_t:s0

tclass=file

可以看到正确的SELinux的配置信息应该是scontext后面的那部分,而authorized_keys的配置信息确实tcontext后面的那部分。随意SELinux阻止了sshd的访问。

所以现在要修改authorized_keys文件的SELinux的上下文信息。如何修改直接贴代码了:

As the Linux root user, run the touch

/etc/file1 command to create a new file. By

default, newly-created files in the /etc/ directory are labeled with

the etc_t type:

~]# ls -Z /etc/file1

-rw-r--r-- root root unconfined_u:object_r:etc_t:s0 /etc/file1

Use the ls -dZ directory_name command

to list information about a directory.

As the Linux root user, run the semanage fcontext -a -t samba_share_t

/etc/file1 command to change

the file1 type

to samba_share_t.

The -a option adds

a new record, and the -t option

defines a type (samba_share_t).

Note that running this command does not directly change the

type; file1 is still labeled with

the etc_t type:

~]# semanage fcontext -a -t samba_share_t /etc/file1

~]# ls -Z /etc/file1

-rw-r--r-- root root unconfined_u:object_r:etc_t:s0 /etc/file1

The semanage fcontext -a

-t samba_share_t /etc/file1 command adds

the following entry to /etc/selinux/targeted/contexts/files/file_contexts.local:

/etc/file1 unconfined_u:object_r:samba_share_t:s0

As the Linux root user, run the restorecon -v /etc/file1 command to

change the type. Because the semanage command added an entry

to file_contexts.local for /etc/file1, the restoreconcommand changes the type

to samba_share_t:

~]# restorecon -v /etc/file1

restorecon reset /etc/file1 context unconfined_u:object_r:etc_t:s0->system_u:object_r:samba_share_t:s0

代码连接:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-SELinux_Contexts_Labeling_Files-Persistent_Changes_semanage_fcontext.html

按照上述方法将authorized_keys文件的SELinux内容改成

unconfined_u:object_r:ssh_home_t:s0 问题完美解决。

蓝墟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux系列(八)——SELinux默认安全上下文的查询和修改(semanage命令)
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 1371
前面讲到,restorecon 命令可以将文件或目录恢复成默认的安全上下文,这就说明每个文件和目录都有自己的默认安全上下文,事实也是如此,为了管理的便捷,系统给所有的系统默认文件和目录都定义了默认的安全上下文。 那么,默认安全上下文该如何查询和修改呢?这就要使用semanage 命令了。该命令的基本格式如下: [root@localhost ~]# semanage [login|user|port|interface|fcontext|translation] -l [root@localho..
ssh免密登录失败
maquealone的博客
11-15 2158
前言 本来要在服务器上安装docker-machine,然后管理其他云服务器的docker容器的,结果到了ssh免密登录这一步,一直走不通。下面把我遇到的问题,记录下。 注:docker-machine安装可参考文章:https://blog.csdn.net/wfs1994/article/details/80658555 ssh免密登录 由于,要管理其他的云服务器的docker,所以需...
ssh不能免密登录自己
Rainy_Peking的专栏
04-25 2450
问题描述:在搭建Hadoop集群的时候需要设置集群之间的ssh免密登录(搜一下很多教程,在此就不列出)。当我设置好以后之后发现ssh登录其他slave时可以实现免密登录,但是唯独ssh master(本机)时提示需要输入密码。 这个问题困扰了我好久,今天终于找到了解决办法: 造成这样问题的原因有二: 一、.ssh及其下属子文件的权限问题 ~/.ssh/目录下文件的权限应该如下所示,如果与...
Linux免密登录设置失败一例
qwert_1234的博客
04-21 2618
Linux免密登录设置失败一例 按照CSDN上的文档进行免密设置,同样的设置,有一台服务器设置不能免密登录,其他的服务器可以,这几台服务器linux版本相同,ssh版本相同,检查sshd_congfig也一样,很是奇怪。 查防火墙,虽然selinux状态为permissive,应该也不影响,关掉之后仍是一样的现象。 根据这个帖子,修改sshd_config中的StrictModes为no,重启sshd服务后,免密登录可以了 ssh免密登录 失败 StrictModes no_UpUpUpUpUpU
SSH登录失败、修改端口重启失败
最新发布
dingzhihui014137的博客
06-02 1080
修改SSH端口后,重启失败。本文章分析重启失败的原因和两种解决方式
ssh免密登录失败原因之root目录从属错误
李炜伦的博客
03-25 1256
Authentication refused: bad ownership or modes for directory /root 执行chown root:root /root/恢复/root目录的root用户和组属 chown root:root /root/
SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port XXX
至虛極,守靜篤
03-09 4380
环境:CentOS8 今天,由于需要把httpd的端口改为一个自定义的端口,结果修改后,httpd启动失败。查看syslog发现报错:SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 。 从日志看,显然是被SELinux给拦截了。 SELinux为系统里的所有端口进行分配。缺省条件下,所有小于1024的端口都标识为保留端口类型 reser...
ssh之设置免密登陆失败的问题
灬紫荆灬
09-16 2356
ssh免密登陆设置完成后,仍然需要输入密码,查看/var/log/secure日志后报错如下: Sep 16 15:45:22 bogon sshd[44146]: pam_unix(sshd:session): session closed for user sprixin Sep 16 15:45:27 bogon sshd[44177]: Authentication refused: ba...
linuxssh免密通信的实现
01-11
什么是ssh 管理员可以通过远程登陆的方式,对通过网相连的分散于各处的多台主机进行...为了更方便快捷的切换主机,ssh免密通信不失为更好的选择; 用ssh-keygen生成密钥,默认保存在本地的/root/.ssh/id_rsa 然后在
批量配置linux免密登陆
02-07
标题“批量配置Linux免密登陆”指的是通过自动化脚本实现无需密码验证就能通过SSH连接到多台Linux服务器的技术。这主要依赖于SSH密钥对认证机制,即生成一对公钥和私钥,将公钥部署到目标服务器的`~/.ssh/authorized...
详解Java使用Jsch与sftp服务器实现ssh免密登录
10-16
主要介绍了详解Java使用Jsch与sftp服务器实现ssh免密登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ssh免密登陆.docx
12-30
ssh免密登陆
免密登陆互信建立工具trust.sh
01-12
互信建立工具,上传至主机前,建议改名为英文。 假设需要在A主机免密登陆B主机, 在A主机对应用户的家目录下,即执行cd指令后所在的路径,执行此脚本。...再次在A终端 ssh -l ueser ip 则完成免密登陆操作
SELinux拦截sshd导致ssh连接失败的问题: {execmem}没有权限
Koevas的博客
09-26 3497
问题描述: 近日服务器ssh无法通过远程连接上去,连接时服务器的SELiunx发起警报sshd被拦截 问题排查: 1.重启sshd服务 systemctl restart sshd 2.查看sshd的运行状态 systemctl status sshd sshd.service failed 发现sshd进程启动失败,但从这里看不出失败的原因 3.查看linux系统日志 cat /var/log/messages 翻到最末尾端,发现一条有用的信息: /usr/sbin/sshd: error
ssh免密登陆失败原因总结(Linux
热门推荐
aischang
07-13 1万+
1. SSH公钥认证(免密码)配置 登录到本机服务器A,切换到响应的操作系统用户,执行命令,生成秘钥文件【按照提示直接回车】 ssh-keygen -t rsa 将公钥传送到对端服务器B上面【user@host为对端服务器帐号及IP】 ssh-copy-id -i ~/.ssh/id_rsa.pub user@host 然后在本机服务器A上ssh命令验证是否免密登录生效【user@host为对...
SSH使用问题:无法免密登录
one__leaf的博客
12-16 4475
ssh
LinuxLinux无法免密登录的原因
qq_50231389的博客
07-08 2908
1.检查~/.ssh目录的权限是否为700 2.检查~/.ssh/authorized_keys文件的权限是否为600 3.检查~/.ssh/authorized_keys文件中的公钥是否正确 4.检查/etc/ssh/sshd_config 中的 AuthorizedKeysFile .ssh/authorized_keys 文件名是否正确按上以操作完成之后,ssh登录还是提示要输入密码,于是检查以上几项,都正确。此时需要查看secure安全日志 发现和root目录权限有关系查看当前/root目录的权限
linux服务器ssh免密登陆
03-16
Linux服务器可以通过SSH免密登录,具体步骤如下: 1. 生成公钥和私钥 在本地机器上使用ssh-keygen命令生成公钥和私钥,命令如下: ssh-keygen -t rsa 2. 将公钥复制到服务器 使用ssh-copy-id命令将公钥复制到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值