一个有意思的SSH登陆案例

最新推荐文章于 2024-07-12 13:45:39 发布
最新推荐文章于 2024-07-12 13:45:39 发布
阅读量183 收藏 1
点赞数
文章标签: 运维 操作系统 ldap
原文链接:https://yq.aliyun.com/articles/540769
版权

这是一个特殊的案例,在修复ssh登陆之前,这个系统还经历了系统C库文件损坏,系统无法启动的恢复操作。

问题现象:

通过控制台管理终端可以登陆到系统内部,ssh登陆提示密码不正确,无论修改成什么密码,ssh都提示密码不正确。

在问题排查之前,我们先看下SSH 登录关联因素示意图:

1

问题排查:

1. 确保密码正确性:
      尝试手动修改密码(通过管理终端执行passwd命令修改,我有轻微强迫症,密码还是自己改一下觉得可靠些),修改密码后对比/etc/shadow里面root用户的密文确实有变化,但是SSH依然无法登陆,提示密码不正确,而系统日志/var/log/secure日志也仅有一条failed passwd的提示 (也可以通过退出管理终端重新登录进行验证)
      PASS
2. 排除网络干扰因素:
     通过管理终端在系统内部执行 ssh root@localhost,(排查了系统加载的模块lsmod,没有安全狗,云锁之类的模块,hosts.deny,iptables也不存在问题) 
     PASS
3. 检查配置文件:
     查看ssh配置文件,对比正常的文件也没有发现明显异常   
     PASS
4. 空密码验证:
      清空root密码并允许空密码登陆ssh,本机以及外部测试依然提示密码不对  
      PASS
5. 登陆模块排查:
     视线回归到ssh的登陆过程,空密码提示密码错误说明实际并没有到密码验证的阶段,应是/etc/pam.d下面的验证模块(常见如 system-auth ,passwd,login,sshd等)的问题  
     FAILED

确认原因:

    排查过程中发现/etc/pam.d/sshd文件为空,找一台同系统版本的实例对比恢复,测试后恢复正常

疑问:

  为什么/etc/pam.d/sshd文件为空就一直提示密码不对呢?
  
  这个文件的内容又是什么?
        
  SSH登陆验证的顺序是怎样的 ?

探秘:

为了排查这个问题,我们需要先了解一下什么是PAM?

PAM(插入式验证模块(Pluggable Authentication Module,PAM))
简单来说,就是提供了一组身份验证、密码验证的统一抽象接口,应用程序员可以使用这些API接口来实现与安全性相关的功能,例如:

1) 用户验证
2) 数据加密
3) LDAP

PAM 模块的基本流程

PAM 模块的基本流程

PAM 模块是按模块类型归类的。任何给定的模块至少要实现四种模块类型功能之一:

1. 验证模块(auth): 用于验证用户或设置/销毁凭证
2. 帐户管理模块(account): 将执行与访问、帐户及凭证有效期、密码限制/规则等有关的操作
3. 会话管理模块(session): 用于初始化和终止会话。
4. 密码管理模块(password)将执行与密码更改/更新有关的操作

我们看下这个文件的内容(/etc/pam.d/sshd):

#%PAM-1.0
auth       required    pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth

做一个小实验,修改/etc/ssh/sshd_config中的验证方式

UsePAM=yes/no 
PasswordAuthentication=yes

在清空/etc/pam.d/sshd以及PasswordAuthentication=yes的情况下:

  1. 设置UsePAM=yes,提示验证失败(实际验证的时候发现不同的系统版本提示不太一样,客户端是Authentication failed.secure日志有所不同,failed passwd ,pam提示都有)
    1
  2. 设置UsePAM=no,使用正确的passwd登录成功
    2

通过这个测试可以确定,当开启UsePAM的时候,先去找验证模块,由验证模块决定下一步的验证

(如/etc/pam.d/sshd文件里面的auth include password-auth)即使密码是正确的,如果验证模块自身有问题也无法登录

即PAM检验的优先级高于PasswordAuthentication(密码验证)
参考文献:

https://help.aliyun.com/knowledge_detail/52874.html

https://www.ibm.com/developerworks/cn/linux/l-pam/

weixin_33725272
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS8升级sshd服务后,账户登陆失败问题
bigwood99的博客
01-19 4191
CentOS8通过编译安装升级sshd服务后,使用ssh客户端登陆,账户登陆失败。 提示:Access denied 密码肯定是没问题的。 检查配置文件,选项:UsePAM是yes 将它修改为no后,使用ssh客户端登陆成功了。 那么开启UsePAM为何就无法登陆了能? 继续检查配置。 /etc/pam.d/下发现缺少一个文件sshd 创建这个文件,并写入如下配置信息: auth required /usr/lib64/security/pam_faillock.so ...
SSH 免密登录
jeikerxiao
08-10 378
SSH 免密登录 首先要配置两台linux如何使用SSH免密码登录,这样脚本执行scp命令以及远程执行脚本都不需要输入密码: A为本地主机(即用于控制其他主机的机器,jenkins服务器) ; B为远程主机(即被控制的机器Server,jenkins运行之后发布项目的服务器),假如ip为192.168.1.100 ; A和B的系统都是Linux。 在A上的命令 1.本地生成公...
SSH概述与配置文件说明
weixin_30791095的博客
10-15 278
一、什么是SSH?简单说,SSH是一种网络协议,用于计算机之间的加密登录。在出现SSH之前,系统管理员需要登入远程服务器执行系统管理任务时,都是用telnet来实现的,telnet协议采用明文密码传送,在传送过程中对数据也不加密,很容易被不怀好意的人在网络上监听到密码。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。最...
<Linux>《OpenSSH 守护进程配置文件sshd_config参数usePAM详解》
Else 的博客
06-14 3841
有时候,我们在修改/etc/ssh/sshd_config配置文件时,会将UsePAM设置为no,从而禁用PAM模块,但这种方式会使SSH的各种高级功能变得失效,不建议在生产环境中使用。以上几个小标题基本涵盖了usepam的主要方面,通过阅读此文可深入了解usepam的基本知识,包括PAM模型、usepam开启导致无法远程登录及产生原因、usepam的作用及重要性、usepam的意义、usepam yes选取导致无法登录的问题及解决办法、usepami、usepam no等诸多内容。
Linux | ssh服务原理、配置及操作
m0_59388634的博客
02-23 2055
小时候看到别人进行远程登录操作的你是否会羡慕?学会这一篇SSH服务原理及操作,远程操作不再难!
SSH配置文件详解
weixin_33743880的博客
11-29 211
整理下SSH Server的配置文件中各项对其进行解释。一、sshd配置文件是:/etc/ssh/sshd_config,去掉注释后全文基本如下:Port22#设置ssh监听的端口号,默认22端口 ListenAddress:: ListenAddress0.0.0.0#指定监听的地址,默认监听所有; Protocol2,1#指定支持的S...
SSH配置免密码登陆
qq_42005532的博客
04-10 297
为什么要配置免密码登陆? 我们在安装好集群过后,会分发安装包文件等运用SCP发送到其它机器中,或者启动集群,在集群的交互中每次需要输入密码,很不方便!配置好ssh免密避免了这些问题。 1.在主机中输入ssh-keygen生成密钥对 ...
SSH整合的一个案例
12-11
例如,可能有一个`ICustomerService`接口,其中定义了如添加、查询客户等方法,然后创建对应的实现类`CustomerServiceImpl`,Spring通过配置XML文件或使用注解进行依赖注入,使得在需要使用这些服务的地方无需直接...
ssh整合案例代码
12-11
这个"ssh整合案例代码"应该提供了一个完整的示例,帮助开发者了解如何在实际项目中将这三个框架协同工作。接下来,我们将深入探讨SSH整合的核心概念、配置以及常见应用场景。 **Spring框架**:Spring是Java企业级...
SSH登陆LINUX服务器命令.doc
11-30
_ssh 命令是 Secure Shell 的缩写,用于远程登录 LINUX 服务器,提供了一个安全的、加密的连接方式。下面是 SSH 登陆 LINUX 服务器的常用命令分类: 登陆命令 ssh [hostname] -u user 该命令用于登陆 LINUX ...
SSH整合案例.zip
01-01
这个"SSH整合案例.zip"文件提供了一个已经搭建好的SSH框架的实例,适合个人学习和理解这三大框架如何协同工作。 **Spring框架**是整个应用的中枢,它负责管理对象(也就是Bean)的生命周期和依赖注入。在Spring中,...
SSH.rar_SSH登陆_ssh_ssh登录界面
09-24
了解并熟练运用这些SSH知识点,对于IT专业人士来说至关重要,无论是日常运维工作还是网络安全管理,SSH都是一个不可或缺的工具。通过"SSH考试"的学习和实践,用户可以提高自己的技能,更好地应对各种远程访问和安全...
【Linux网络】SSH远程访问控制
一个萌新的博客
04-21 1966
主要介绍了SSH远程服务的相关概念、配置文件的位置及用法、配置服务端及客户端的方式、ssh登录的几种方式和TCP Wrappers 访问控制的相关知识
Linux常用服务认识
qq_61173488的博客
11-01 192
1、SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;2、SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;3、SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。4、和ssh一样的通信协议还有telnet(端口号23),和ssh不一样的是ssh是密文传输数据,而telnet则是明文传输,所以相对而言ssh的安全性更高一点。
OpenSSH配置文件解析
子曰小玖的博客
05-11 2067
下面是对SSH配置文件的一些选项的分解说明,ssh_config是OpenSSH客户端的配置文件,sshd_config是OpenSSH服务器端的配置文件。 ssh_config的内容如下: # This is the ssh client system-wide configuration file. See ssh_config(5) for more information. This file provides defaults for users, and the values can be
Linux权限维持
weixin_41949487的博客
07-01 3039
在渗透过程中拿到目标权限只是开始,通常会留下后门以便再次访问(简称APT)。所以需要进行权限维持,隐藏后门。常见的Linux后门有cron后门、ssh后门、vim后门、隐藏文件、添加超级用户、alias后门等等,本文将对Linux下常见的权限维持后门技术进行解析。 添加用户 添加uid=0的用户 创建用户,并修改/etc/passwd文件 useradd tide;echo 'tide:123456' | chpasswd # 创建用户tide并修改密码为123456 vi /etc/passwd
SSH登录主机的几种方式
热门推荐
skdzyl1的专栏
12-29 1万+
SSH登录 一、ssh登录一般分为4种: 1.PAM认证 在在配置文件/etc/ssh/sshd_config中对应参数: UsePAM 2.公钥私钥认证:需要导入公私钥文件 在配置文件/etc/ssh/sshd_config中对应参数: RSAAuthentication、PubkeyAuthentication 我们在配置SSH免密码登陆的时
聊聊如何在内网下构建大模型微调环境
最新发布
python1234567_的博客
07-12 671
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
一个linux自动ssh登陆远程服务器脚本
03-27
#自动ssh登陆远程服务器脚本 #定义远程服务器IP地址、用户名、密码 remote_ip=xxx.xxx.xxx.xxx remote_user=username remote_password=password #定义本地ssh密钥存放路径 ssh_key_path=~/.ssh/id_rsa #定义ssh...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值