linux免密后还是要输密码,ssh配置免密后依然需要输入密码的问题解决及排查过程...

丘智志
2023-12-01

如何对某个用户配置免密:

ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

chmod 0600 ~/.ssh/authorized_keys

根据上述操作生成相关密钥后,执行ssh localhost,依然需要输入密码,排查问题:

先检查ssh配置文件,包括客户端配置文件ssh_config和服务端配置文件sshd_config

客户端配置文件路径:/etc/ssh/ssh_config

文件内容:

Host *

GSSAPIAuthentication yes

# If this option is set to yes then remote X11 clients will have full access

# to the original X11 display. As virtually no X11 client supports the untrusted

# mode correctly we set this to yes.

ForwardX11Trusted yes

# Send locale-related environment variables

SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE

SendEnv XMODIFIERS

# 如果是使用dsa生成密钥的话,那么必须要配置上这个参数

PubkeyAcceptedKeyTypes +ssh-dss

服务端配置文件路径:/etc/ssh/sshd_config

文件内容:

HostKey /etc/ssh/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

HostKey /etc/ssh/ssh_host_ecdsa_key

HostKey /etc/ssh/ssh_host_ed25519_key

SyslogFacility AUTHPRIV

# Authentication:

# 配置允许root用户登录,yes

# 如果不允许root登录,需要把它改为no

PermitRootLogin yes

AuthorizedKeysFile .ssh/authorized_keys

PasswordAuthentication yes

GSSAPICleanupCredentials no

X11Forwarding yes

UsePrivilegeSeparation sandbox

UseDNS no

# Accept locale-related environment variables

AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE

AcceptEnv XMODIFIERS

# override default of no subsystems

Subsystem sftp /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis

#Match User anoncvs

# X11Forwarding no

# AllowTcpForwarding no

# PermitTTY no

# ForceCommand cvs server

KerberosAuthentication no

PubkeyAuthentication yes

UsePAM yes

AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys

AuthorizedKeysCommandUser nobody

GSSAPIAuthentication yes

ChallengeResponseAuthentication yes

# 如果使用dsa生成密钥的话,则必须

PubkeyAcceptedKeyTypes +ssh-dss

KexAlgorithms diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521

服务端和客户端按这个配置文件来配是没有问题的,亲测。

PubkeyAcceptedKeyTypes +ssh-dss 是我后加上的参数,但是它并不是之前免密无效的原因,因为我之前生成的密钥使用的是rsa而不是dsa。

所以配置文件这块是没有问题的。

再排查权限问题

首先排查密钥文件authorized_keys的权限,它的权限严格要求是600,因为在步骤1中做了这个操作,所以它的权限是正确的;

接着排查/home/xxx/.ssh目录的权限,它的权限须是700,检查后发现权限是正常的700;

再接着用户主目录的权限,ll /home 查看主目录/home/xxx的权限,发现它的权限是777,然后我把他改小点,改为755,然后再通过ssh localhost测试,这时免密就成功了。

所以之前免密失效的根本原因还是权限的问题,ssh不允许用户的主目录和.ssh目录以及authorized_keys文件的权限开放得太大。

 类似资料: