Вопрос Возникли проблемы с регистрацией на моем ssh-сервере


Я чувствую себя довольно глупым, спрашивая об этом, но я работаю над этим уже пару дней (вкл. И выкл.), И я не могу понять это. Я только что установил lubuntu на свою машину, и я могу локально локализовать его с помощью проверки подлинности на локальном хосте и пароле, и я могу проверить его с двух других компьютеров. Я пытаюсь выполнить ssh с любой из этих машин, и он продолжает не аутентифицироваться с моим паролем.

Я повторно установил openssh-server пару раз, и я просто не могу понять это.

Кто-нибудь имеет предложение о том, что может быть проблемой?

Новая информация:

Я создал нового пользователя, чтобы убедиться, что он не связан с пользователем, и новый пользователь не может войти в систему.

Вот вывод ssh -vv cusername @ fable:

ssh -vv cusername@fable
OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to fable [192.168.1.76] port 22.
debug1: Connection established.
debug1: identity file /home/susername/.ssh/identity type -1
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug2: key_type_from_name: unknown key type 'Proc-Type:'
debug2: key_type_from_name: unknown key type 'DEK-Info:'
debug2: key_type_from_name: unknown key type '-----END'
debug1: identity file /home/susername/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/susername/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version 1.00
debug1: no match: 1.00
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu7
debug2: fd 4 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: kex_parse_kexinit: diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa
debug2: kex_parse_kexinit: aes128-cbc
debug2: kex_parse_kexinit: aes128-cbc
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug2: dh_gen_key: priv key bits set: 132/256
debug2: bits set: 506/1024
debug1: sending SSH2_MSG_KEXDH_INIT
debug1: expecting SSH2_MSG_KEXDH_REPLY
debug1: Host 'fable' is known and matches the RSA host key.
debug1: Found key in /home/susername/.ssh/known_hosts:3
debug2: bits set: 528/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/susername/.ssh/identity ((nil))
debug2: key: /home/susername/.ssh/id_rsa (0x219e2358)
debug2: key: /home/susername/.ssh/id_dsa ((nil))
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/susername/.ssh/identity
debug1: Offering public key: /home/susername/.ssh/id_rsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/susername/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug1: Next authentication method: password
cusername@fable's password: 
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
cusername@fable's password: 
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
cusername@fable's password: 
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey,password).

Вот мои iptables:

sudo iptables -L
[sudo] password for susername: 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    

Вот мой nmap от удаленной машины к серверу, о котором идет речь:     nmap -P0 192.168.1.76

Starting Nmap 5.00 ( http://nmap.org ) at 2012-07-24 23:32 CDT
Interesting ports on fable (192.168.1.76):
Not shown: 997 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 1.58 seconds

cat / etc / ssh / sshd_config

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Затем я скопировал файл sshd_config.factory по умолчанию в sshd_config и имел те же проблемы, что и он не принимал мой пароль.

ОБНОВИТЬ:

Я сдался. Казалось, что это была какая-то проблема с lubuntu, но, вероятно, это было что-то нехорошее, что я и сделал. В итоге я установил вместо него linux-mint, и все работало безупречно. Кто знает ... Мне очень нравится linux-mint, хотя!


2
2017-07-25 04:00


происхождения


У вас есть /etc/hosts.allow или /etc/hosts.deny? - Paul
ssh -v ...говорит, что ...? - Ignacio Vazquez-Abrams
@Paul: У меня есть оба, но оба кажутся только комментариями. Ign: Я могу это исправить, но сначала хочу скрыть его. - stephenmm
@stephenmm У вас работает брандмауэр? - Paul
Я так не верю, но даже если бы я это сделал, это не остановило бы меня, прежде чем пытаться аутентифицировать мои полномочия? - stephenmm


ответы:


Поскольку я могу читать из ваших журналов, ни брандмауэр, ни какой-либо hosts.deny - или вы не получили бы пароль. Но давайте проанализируем ваш выход в журнал.

Во-первых, похоже, что ваш файл удостоверений требует замены:

debug1: identity file /home/susername/.ssh/identity type -1
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug2: key_type_from_name: unknown key type 'Proc-Type:'
debug2: key_type_from_name: unknown key type 'DEK-Info:'
debug2: key_type_from_name: unknown key type '-----END'

Это ASCII бронированный, экспортированный ключ - вместо ssh требуется исходный двоичный ключ. Но тогда, кажется, у вас есть еще два файла действительного частного ключа:

debug1: identity file /home/susername/.ssh/id_rsa type 1
debug1: identity file /home/susername/.ssh/id_dsa type -1

Кроме того, удаленный хост проверен успешно:

debug1: Host 'fable' is known and matches the RSA host key.
debug1: ssh_rsa_verify: signature correct

Затем будет действителен только один из ваших файлов личных ключей:

debug2: key: /home/susername/.ssh/identity ((nil))
debug2: key: /home/susername/.ssh/id_rsa (0x219e2358)
debug2: key: /home/susername/.ssh/id_dsa ((nil))

Я уже показал, что не так с первым. Более того, мы видим, что сервер не принял ни одного из ключей - и поэтому переговоры возвращаются к интерактивной подсказке пароля:

debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/susername/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug1: Next authentication method: password

И наконец:

cusername@fable's password: 
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
debug1: No more authentication methods to try.
Permission denied (publickey,password).

Похоже, что вы указали неверный пароль.

Резюме:

Два недействительных закрытых ключа непригодны для использования, третий не принимается сервером - это возвращает вас к приглашению интерактивного пароля. Ваш пароль не принимается. Вы уверены, что предоставили правильный пароль для именованного пользователя на удаленном хосте? Возможные ошибки здесь:

  • предоставлен пароль для другого пользователя
  • пользователь и пароль могут совпадать на локальном хосте - но на удаленном хосте у этого пользователя есть другой пароль
  • пользователь не существует на удаленном хосте

РЕДАКТИРОВАТЬ:

Если логин с использованием имени пользователя / пароля по-прежнему не удается, хотя вы уверены, что предоставили правильный пароль, хорошая идея - проверить /var/log/auth.log на машине, к которой вы пытаетесь войти. Этот файл журнала должен предоставить вам более подробную информацию о том, что пошло не так (все попытки входа, а также попытки sudo регистрируются там).


2
2017-07-25 08:22



Во-первых, спасибо за то, что нашли время, чтобы посмотреть на это, действительно это ценю. Я не знал, что пользователь / passwd может совпадать с локальным, но быть другим на удаленном хосте? Я думал, что он использовал учетные данные linux для аутентификации пользователя / passwd? - stephenmm
@stephenmm: Как бы это помогло? Это не доказывает, что вы получили право доступа к удаленной машине, только локальной. - David Schwartz
Может быть, некоторые подробности, чтобы сделать их более ясными: наличие нескольких машин (например, host1 и host2), у вас может быть пользователь «johndoe» на обоих из них. В командной строке вы создаете этого пользователя с помощью useradd команда. На host1: useradd -p password1 johndoe, на host2 useradd -p password2 johndoe, Теперь у вас есть тот же (локальный) пользователь на обеих машинах, но с разными паролями. - Izzy
Пароль1 и пароль2 отличаются, поэтому сегодня я могу попытаться изменить их, чтобы они были одинаковыми, чтобы устранить переменную, но позвольте мне уточнить, что я сделал; Я установил openssh-server на host1, а затем из host2 I 'ssh jondoe @ host1', а затем ввел пароль1. О, а потом я пнул host1 в дисковод. - stephenmm
Помимо удара, это звучит правильно и должно было сработать. Вы также можете проверить /var/log/auth.log который может предоставить дополнительную информацию о том, почему логин был отклонен. - Izzy