Dlaczego dostaję „Odmowa zezwolenia (publickey)” podczas próby połączenia SSH z lokalnego Ubuntu do serwera Amazon EC2?

Mam instancję aplikacji działającej w chmurze na instancji Amazon EC2 i muszę połączyć ją z mojego lokalnego Ubuntu. Działa dobrze na jednym z lokalnych Ubuntu, a także na laptopie. Otrzymałem komunikat „Odmowa zezwolenia (publickey)” podczas próby uzyskania dostępu do SSH do EC2 na innym lokalnym Ubuntu. To dla mnie takie dziwne.

Myślę o problemach z ustawieniami zabezpieczeń w Amazon EC2, który ma ograniczony dostęp adresów IP do jednej instancji lub certyfikatu może wymagać regeneracji.

Czy ktoś zna rozwiązanie?

Pierwszą rzeczą do zrobienia w tej sytuacji jest skorzystanie z -vopcji ssh, aby zobaczyć, jakie typy uwierzytelnienia są wypróbowane i jaki jest wynik. Czy to pomaga oświecić sytuację?

W aktualizacji swojego pytania wspominasz „na innym lokalnym Ubuntu”. Czy skopiowałeś klucz prywatny ssh na inny komputer?

Jak nie zostało to wyraźnie wspomniane, sshd jest domyślnie bardzo restrykcyjne w zakresie uprawnień do authorized_keysplików. Tak więc, jeśli authorized_keysjest zapisywalny dla każdego innego niż użytkownik lub może być zapisany przez kogoś innego niż użytkownik, odmówi uwierzytelnienia (chyba że sshd jest skonfigurowane z StrictModes no)

Rozumiem przez „można nadawać się do zapisu” jest to, że jeśli którykolwiek z katalogów nadrzędnych jest zapisywalny dla kogokolwiek innego niż użytkownik, użytkownicy uprawnieni do modyfikowania tych katalogów mogą zacząć modyfikować uprawnienia w taki sposób, aby mogli modyfikować / zastępować klucze autoryzowane.

Ponadto, jeśli /home/username/.sshkatalog nie jest własnością użytkownika, a zatem użytkownik nie ma uprawnień do odczytu klucza, możesz napotkać problemy:

drwxr-xr-x 7 jane jane 4096 Jan 22 02:10 /home/jane
drwx------ 2 root root 4096 Jan 22 03:28 /home/jane/.ssh

Pamiętaj, że Jane nie jest właścicielem .sshpliku. Napraw to przez

chown -R jane:jane /home/jane/.ssh

Tego rodzaju problemy z uprawnieniami systemu plików nie pojawią się ssh -v, a nawet nie pojawią się w logach sshd (!), Dopóki nie ustawisz poziomu dziennika na DEBUG.

• Edit /etc/ssh/sshd_config. Chcesz LogLevel DEBUGgdzieś tam czytać . Załaduj ponownie serwer SSH za pomocą mechanizmu dostarczonego przez dystrybucję. ( service sshd reloadw RHEL / CentOS / Scientific.) Pełen wdzięku przeładowanie nie spowoduje porzucenia istniejących sesji.
• Spróbuj uwierzytelnić ponownie.
• Dowiedz się, gdzie idą dzienniki instalacji uwierzytelniania i przeczytaj je. (IIRC, /var/log/auth.logna dystrybucjach opartych na Debianie; /var/log/securena RHEL / CentOS / Scientific.)

Znacznie łatwiej jest ustalić, co się dzieje z wyjściem debugowania, które obejmuje błędy uprawnień systemu plików. Pamiętaj, aby po zakończeniu przywrócić zmianę /etc/ssh/sshd_config!

Otrzymałem ten błąd, ponieważ zapomniałem dodać -lopcję. Moja lokalna nazwa użytkownika nie była taka sama jak w systemie zdalnym.

To nie odpowiada na twoje pytanie, ale przybyłem tutaj, szukając odpowiedzi na mój problem.

Otrzymałem ten komunikat w nowej instancji opartej na Ubuntu AMI. Używałem opcji -i, aby dostarczyć PEM, ale nadal wyświetlało „Odmowa zezwolenia (publickey)”.

Mój problem polegał na tym, że nie używałem właściwego użytkownika. Uruchamiając ssh z Ubuntu @ ec2 ... działało to normalnie.

Jest coś łatwiejszego do odczytania niż ssh -v(moim zdaniem oczywiście) tail -f /var/log/auth.log. To powinno być uruchomione na serwerze, z którym próbujesz się połączyć, podczas próby połączenia. Wyświetli błędy w postaci zwykłego tekstu.

Pomogło mi to rozwiązać problem:

Użytkownik [nazwa użytkownika] z witryny xx.yy.com jest niedozwolony, ponieważ żadnej grupy użytkowników nie ma na liście w AllowGroups

Sprawdź plik / etc / ssh / sshd_config . Tam znajdź wiersz, który mówi

PasswordAuthentication no

Ta linia musi zostać zmodyfikowana, aby powiedzieć „tak” zamiast „nie”. Następnie uruchom ponownie serwer sshd.

sudo /etc/init.d/ssh restart

Być może nie dotyczy aktualnego plakatu, ale może pomóc innym, którzy znajdą to podczas wyszukiwania odpowiedzi na podobne sytuacje. Zamiast zezwalać Amazonowi na generowanie pary kluczy ssh, zalecamy przesłanie własnego, standardowego, domyślnego publicznego klucza ssh do Amazon i określenie go podczas uruchamiania instancji EC2.

Pozwala to upuścić składnię typu „-i” w ssh, użyć rsync ze standardowymi opcjami, a także pozwala używać tego samego klucza ssh we wszystkich regionach EC2.

Napisałem artykuł o tym procesie tutaj:

Przesyłanie osobistych kluczy ssh do Amazon EC2
http://alestic.com/2010/10/ec2-ssh-keys

O dziwo, moim problemem okazało się to, że serwer został zrestartowany i wydano mu nową nazwę DNS. Użyłem starej nazwy DNS. Wiem, że to brzmi głupio, ale zrozumienie tego zajęło mi trochę czasu.

Jeśli próbujesz połączyć się z telefonem CyanogenMod z uruchomionym Dropbear, powinieneś uruchomić następujące linie, aby upewnić się, że wszystko ma odpowiednie uprawnienia:

chmod 600 /data/dropbear/.ssh/authorized_keys

lub

chmod 700 /data/dropbear/.ssh/authorized_keys # In case of MacOS X 10.6-10.8

i

chmod 755 /data/dropbear/ /data/dropbear/.ssh

To naprawiło to dla mnie, w przeciwnym razie nic nie może się połączyć.

Jeśli używasz CentOS 5, może chcesz ustawić StrictModes now /etc/ssh/sshd_config. Udostępniam katalog / home za pomocą NIS / NFS i poprawnie ustawiłem wszystkie uprawnienia, ale zawsze monitowało mnie o hasło. Po ustawieniu StrictModes noproblem zniknął!

Odpowiedź Grega wyjaśnia, jak lepiej rozwiązywać problemy, ale faktyczny problem polega na tym, że po jednej stronie transakcji (kliencie) jest ustawiony klucz ssh, który próbuje uwierzytelnić klucz publiczny, a nie uwierzytelnienie oparte na haśle. Ponieważ nie masz odpowiedniego klucza publicznego w instancji EC2, to nie zadziała.

Miałem ten sam problem i po wypróbowaniu mnóstwa rozwiązań, które nie działały, otworzyłem port SSH w zaporze routera (panel sterowania zapory routera to bałagan, więc trudno powiedzieć, co się dzieje). W każdym razie to naprawiło :)

Super cholernie denerwujące, że błąd, który otrzymujesz, to odmowa zezwolenia, co sugeruje, że nawiązano połączenie, grr.

Miałem ten sam problem, mimo że podobno wykonałem wszystkie kroki, w tym

$ ec2-authorize default -p 22

Jednak zacząłem swoją instancję w regionie us-west-1. Dlatego powyższe polecenie powinno również to określić.

$ ec2-authorize default -p 22 --region us-west-1

Po tym poleceniu mogłem ssh do instancji. Spędziłem trochę czasu, zanim zdałem sobie sprawę z problemu i mam nadzieję, że ten post pomoże innym.

Jest to rzadki przypadek, ale jeśli masz włączony selinux i używasz nfs dla katalogu z uprawnionymi kluczami (np. Współdzielone katalogi domowe), musisz albo wyłączyć selinux (niezalecane ze względów bezpieczeństwa, ale możesz go tymczasowo wyłączyć aby sprawdzić, czy to powoduje problem) lub pozwól, aby selinux używał katalogów domowych nfs. Nie jestem pewien szczegółów, ale to zadziałało dla mnie setsebool -P use_nfs_home_dirs 1

Właśnie ten problem wystąpił po nieumyślnym dodaniu uprawnień do zapisu grupowego do katalogu domowego użytkowników.

Odkryłem, że to była przyczyna, uruchamiając tail -f /var/log/securesię na maszynie i widząc błąd Authentication refused: bad ownership or modes for directory /home/<username>.