사용자가 키 쌍을 사용하여 인증한 다음 비밀번호 인증으로 대체할 수 있도록 sshd를 구성하고 싶습니다. 하지만 매뉴얼 페이지/sshd_config 파일의 정보를 사용하여 이를 구현하는 데 어려움을 겪고 있습니다.
내 sshd_config:
Protocol 2
SyslogFacility AUTHPRIV
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
연결하면 개인 키가 전송되는 것처럼 보이지만 여전히 비밀번호를 입력하라는 메시지가 표시됩니다.
[colinm@server bin]$ ssh -v colinm@dev-server
OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to dev-server [10.168.172.81] port 22.
debug1: Connection established.
debug1: identity file /home/colinm/.ssh/identity type -1
debug1: identity file /home/colinm/.ssh/id_rsa type 1
debug1: identity file /home/colinm/.ssh/id_dsa type -1
debug1: loaded 3 keys
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'dev-server' is known and matches the RSA host key.
debug1: Found key in /home/colinm/.ssh/known_hosts:10
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found
debug1: Unspecified GSS failure. Minor code may provide more information
No credentials cache found
debug1: Next authentication method: publickey
debug1: Trying private key: /home/colinm/.ssh/identity
debug1: Offering public key: /home/colinm/.ssh/id_rsa
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Trying private key: /home/colinm/.ssh/id_dsa
debug1: Next authentication method: password
colinm@dev-server's password:
서버가 인증 메커니즘으로 둘 중 하나를 수락하도록 할 수 있습니까?
(예, 공개 키는 ~/.ssh/authorized_keys에 복사되었으며 이 구성으로 sshd를 다시 시작했습니다.)
더 많은 디버깅을 통해 키 쌍이 실패하지 않았음을 보여줍니다.
...
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/colinm/.ssh/identity
debug3: no such identity: /home/colinm/.ssh/identity
debug1: Offering public key: /home/colinm/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Trying private key: /home/colinm/.ssh/id_dsa
debug3: no such identity: /home/colinm/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
답변1
일반적으로 sshd공개 키 인증, 비밀번호 인증 및 활성화된 기타 인증을 허용합니다. 출력에서 GSSAPI가 먼저 시도되었지만 성공하지 못한 것을 볼 수 있습니다. 다음으로 공개 키가 제공되지만 허용되지 않으며 마지막으로 비밀번호 인증을 위해 비밀번호를 입력해야 합니다. 잘못된 비밀번호를 입력하거나 해당 계정에 대한 로그인이 비활성화되면 실패하고 아무것도 얻을 수 없습니다.
~/.ssh/authorized_keys공개 키를 파일 에 업로드했지만 이것만으로는 키 인증이 작동하기에 충분하지 않습니다. 이 sshd서비스는 권한에 대해서도 매우 엄격합니다. ~/.ssh모드는 디렉터리 의 경우 700, 파일의 경우 600이어야 합니다. 디렉토리의 소유자 ~/.ssh는 루트나 다른 사람이 아닌 사용자 자신이어야 합니다.