Ubuntu 22.04.4 server и запрет входа по паролю через ssh

Предлагать или пускать? Предлагать он будет в любом случае.

anonymous
(04.04.24 15:29:39 MSK)

А ты думал, в сказку попал?

anonymous
(04.04.24 15:30:04 MSK)

Ответ на: комментарий от anonymous 04.04.24 15:29:39 MSK

И пускать!

ESTAF ★★★
(04.04.24 15:32:09 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 15:32:09 MSK

Ты пишешь:

то же безрезультатно. сервер продолжает предлагать вход по паролю.

Про пускать ничего не сказано.

anonymous
(04.04.24 15:36:27 MSK)

Ответ на: комментарий от anonymous 04.04.24 15:36:27 MSK

>Про пускать ничего не сказано.

Хотя, да. Ладно. Чего уж теперь. ссзб
Топик с неправильно сформулированной темой утонет подальше, еще раз напишу. Уже с правкой. Закрыто.

ESTAF ★★★
(04.04.24 15:39:26 MSK) автор топика
Последнее исправление: ESTAF 04.04.24 15:39:41 MSK (всего исправлений: 1)

Что выдаёт команда

grep -iR PasswordAuthentication /etc/ssh

vbr ★★★
(04.04.24 15:39:39 MSK)
Последнее исправление: vbr 04.04.24 15:39:49 MSK (всего исправлений: 1)

мож используется левый конфиг ?? :)
ps aux | grep sshd что говорит

включена ли аутенфикация по паролям PubkeyAuthentication yes
по умолчанию она no и ее надо впрямую включить.
а то в sshd стоит защита от глупости конфига, в котором не разрешена ни одна система аутенфикации…

pfg ★★★★★
(04.04.24 15:42:08 MSK)
Последнее исправление: pfg 04.04.24 15:48:18 MSK (всего исправлений: 3)

Ответ на: комментарий от vbr 04.04.24 15:39:39 MSK

grep сила

grep -R PasswordAuthentication /etc/ssh
/etc/ssh/ssh_config:   PasswordAuthentication no
/etc/ssh/sshd_config.ucf-dist:#PasswordAuthentication yes
/etc/ssh/sshd_config.ucf-dist:# PasswordAuthentication.  Depending on your PAM configuration,
/etc/ssh/sshd_config.ucf-dist:# PAM authentication, then enable this but set PasswordAuthentication
/etc/ssh/sshd_config.d/50-cloud-init.conf:PasswordAuthentication        no
/etc/ssh/sshd_config:PasswordAuthentication  no
/etc/ssh/sshd_config:# PasswordAuthentication.  Depending on your PAM configuration,
/etc/ssh/sshd_config:# PAM authentication, then enable this but set PasswordAuthentication

ESTAF ★★★
(04.04.24 15:44:04 MSK) автор топика

Ответ на: комментарий от pfg 04.04.24 15:42:08 MSK

да ничего он не говорит

root        1138  0.0  0.9  15440  9260 ?        Ss   15:28   0:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
root        1195  0.0  1.1  17204 11088 ?        Ss   15:31   0:00 sshd: root@pts/0
root        1258  0.0  0.2   9088  2292 pts/0    S+   15:45   0:00 grep --color=auto sshd

Разве что, что есть залогиненный по ssh юзер рут

#PubkeyAuthentication yes

ESTAF ★★★
(04.04.24 15:49:27 MSK) автор топика
Последнее исправление: ESTAF 04.04.24 15:50:45 MSK (всего исправлений: 1)

Ответ на: комментарий от ESTAF 04.04.24 15:49:27 MSK

#PubkeyAuthentication yes

опция заблокирована в конфиге - разблокируй, т.е. убери # перед ней.
предположу что в случае когда нет ни одной разрешенной аутенфикации (пароль отключил, а ключ не включил) sshd по умолчанию оставляет парольный вход.

pfg ★★★★★
(04.04.24 15:53:37 MSK)
Последнее исправление: pfg 04.04.24 15:54:22 MSK (всего исправлений: 1)

Ответ на: комментарий от ESTAF 04.04.24 15:44:04 MSK

А ты sshd перезапускал после правки конфига? За то, что ты хочешь сделать, отвечает именно опция PasswordAuthentication

vbr ★★★
(04.04.24 15:54:25 MSK)

Ответ на: комментарий от pfg 04.04.24 15:53:37 MSK

Раскомментил. systemctl restart sshd. вышел. зашел снова по паролю.

ESTAF ★★★
(04.04.24 15:55:07 MSK) автор топика

Ответ на: комментарий от vbr 04.04.24 15:54:25 MSK

>А ты sshd перезапускал после правки конфига? За то, что ты хочешь сделать, отвечает именно опция PasswordAuthentication

конечно.

ESTAF ★★★
(04.04.24 15:55:50 MSK) автор топика

Ответ на: комментарий от vbr 04.04.24 15:54:25 MSK

За то, что ты хочешь сделать, отвечает именно опция PasswordAuthentication
no стоит везде.

ESTAF ★★★
(04.04.24 15:56:56 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 15:55:50 MSK

Тогда включай максимально подробное логгирование и погружайся в то, что он пишет при запуске и при входе пользователя (именно сервер). Странно это всё, конечно.

vbr ★★★
(04.04.24 15:57:36 MSK)

Ответ на: комментарий от ESTAF 04.04.24 15:55:07 MSK

чет ваапще непонятно :)
systemctl status -n 20 sshd что скажет ??
по идее должно быть
апр 04 15:41:31 srv16 systemd[1]: Started OpenBSD Secure Shell server.
от текущего времени, мож не перезагружается…

pfg ★★★★★
(04.04.24 15:58:56 MSK)

Ответ на: комментарий от pfg 04.04.24 15:58:56 MSK

))))
Я его уже shutdown -r now. бестолку)

ESTAF ★★★
(04.04.24 16:00:18 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 15:55:50 MSK

А systemctl cat sshd что говорит?

vbr ★★★
(04.04.24 16:01:58 MSK)
Последнее исправление: vbr 04.04.24 16:03:19 MSK (всего исправлений: 1)

Ответ на: комментарий от vbr 04.04.24 15:57:36 MSK

Он без ключей пароль не предлагает-то (Permission denied (publickey)). Но сам факт, что пароль вопрошает, странно.

ESTAF ★★★
(04.04.24 16:04:25 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 16:00:18 MSK

по колесам попинали, в выхлопную заглянули… тогда давай еще раз по конфигам еще раз прогуляемся
покажь выхлоп grep Authentic /etc/ssh/sshd_config /etc/ssh/sshd_config.d/*

pfg ★★★★★
(04.04.24 16:06:31 MSK)
Последнее исправление: pfg 04.04.24 16:08:33 MSK (всего исправлений: 1)

Ответ на: комментарий от ESTAF 04.04.24 16:04:25 MSK

# /lib/systemd/system/ssh.service
[Unit]
Description=OpenBSD Secure Shell server
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_not_to_be_run

[Service]
EnvironmentFile=-/etc/default/ssh
ExecStartPre=/usr/sbin/sshd -t
ExecStart=/usr/sbin/sshd -D $SSHD_OPTS
ExecReload=/usr/sbin/sshd -t
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartPreventExitStatus=255
Type=notify
RuntimeDirectory=sshd
RuntimeDirectoryMode=0755

[Install]
WantedBy=multi-user.target
Alias=sshd.service

#################
echo $SSHD_OPTS
пусто

ESTAF ★★★
(04.04.24 16:08:17 MSK) автор топика

Ответ на: комментарий от pfg 04.04.24 16:06:31 MSK

/etc/ssh/sshd_config:# Authentication:
/etc/ssh/sshd_config:PubkeyAuthentication yes
/etc/ssh/sshd_config:#HostbasedAuthentication no
/etc/ssh/sshd_config:# HostbasedAuthentication
/etc/ssh/sshd_config:PasswordAuthentication  no
/etc/ssh/sshd_config:ChallengeResponseAuthentication no
/etc/ssh/sshd_config:#KerberosAuthentication no
/etc/ssh/sshd_config:#GSSAPIAuthentication no
/etc/ssh/sshd_config:# be allowed through the ChallengeResponseAuthentication and
/etc/ssh/sshd_config:# PasswordAuthentication.  Depending on your PAM configuration,
/etc/ssh/sshd_config:# PAM authentication via ChallengeResponseAuthentication may bypass
/etc/ssh/sshd_config:# PAM authentication, then enable this but set PasswordAuthentication
/etc/ssh/sshd_config:# and ChallengeResponseAuthentication to 'no'.
/etc/ssh/sshd_config.d/50-cloud-init.conf:PasswordAuthentication        no

ESTAF ★★★
(04.04.24 16:09:44 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 16:08:17 MSK

SSHD_OPTS и будет пусто :) ибо оно считывается из EnvironmentFile только при загрузке сервиса. а в текущая консоли нет :)
глянь /etc/default/ssh, но там думаю тоже пустая значение для SSHD_OPTS

pfg ★★★★★
(04.04.24 16:10:56 MSK)

Ответ на: комментарий от pfg 04.04.24 16:10:56 MSK

Да. Там после знака равенства пусто.
Всё бы это конечно «да») но раньше по паролю он не пускал, пока не сменил значение PasswordAuthentication в /etc/ssh/sshd_config.d/50-cloud-init.conf, что бы закинуть откр ключ с клиента. Закинул. Выставил обратно в no и рестартанул всё. Даже полностью. Но !!! упорно предлагает ввести пароль теперь. Вот как пишу, так один в один и произошло.

ESTAF ★★★
(04.04.24 16:15:12 MSK) автор топика
Последнее исправление: ESTAF 04.04.24 16:17:49 MSK (всего исправлений: 1)

Ответ на: комментарий от ESTAF 04.04.24 16:15:12 MSK

кеш какой-то суксь у них там что ли...

ESTAF ★★★
(04.04.24 16:18:40 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 16:15:12 MSK

Надо читать. Может тема такова, что выключая такую авторизацию, мы вовсе не вырубаем ее полностью, а лишь запрещаем вход без ключей.

ESTAF ★★★
(04.04.24 16:37:15 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 16:37:15 MSK

ага. попробовал сейчас через putty подлкючится на ssh c ключом. коннект открывается, запрос имени пользователя выводится.
а потом, при вводе любых символов,
No supported authentication methods available (server sent: publickey)
и коннект обрубается

pfg ★★★★★
(04.04.24 17:10:43 MSK)
Последнее исправление: pfg 04.04.24 17:10:52 MSK (всего исправлений: 1)

Ответ на: комментарий от pfg 04.04.24 17:10:43 MSK

>ага. попробовал сейчас через putty подлкючится на ssh c ключом. коннект открывается, запрос имени пользователя выводится.

Хм. Помнится, не выводился. Сегодня обновлял, до всех манипуляций, машинку. может решили сделать такой... кульбит.

ESTAF ★★★
(04.04.24 17:36:53 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 16:04:25 MSK

Там есть режим спрашивать и ключ и пароль одновременно, возможно он у тебя почему-то включился. Но я не знаю как его настраивать. Думаю надо в документации найти какая опция за него отвечает.

А ещё проверь - пароль спрашивает sshd или может не он? Введи неправильный и посмотри что в логах сервера после этого.

firkax ★★★★★
(04.04.24 17:56:55 MSK)
Последнее исправление: firkax 04.04.24 17:58:16 MSK (всего исправлений: 2)

Ответ на: комментарий от firkax 04.04.24 17:56:55 MSK

Ubuntu 22.04.4 server и запрет входа по паролю через ssh (комментарий)
PasswordAuthentication no

pfg ★★★★★
(04.04.24 18:21:08 MSK)

Продолжай наблюдения. (%

mord0d ★★★★★
(04.04.24 18:40:33 MSK)

Ответ на: комментарий от pfg 04.04.24 18:21:08 MSK

И что? Я это видел.

firkax ★★★★★
(04.04.24 18:49:04 MSK)

ОП наверное скрывает, что ходит на тачку под рутом

PermitRootLogin prohibit-password

slowpony ★★★★★
(04.04.24 18:58:25 MSK)

Ответ на: комментарий от firkax 04.04.24 17:56:55 MSK

>А ещё проверь - пароль спрашивает sshd или может не он? Введи неправильный и посмотри что в логах сервера после этого.

Сессия закрылась типа и всё.

ESTAF ★★★
(04.04.24 21:41:35 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 21:41:35 MSK

Про пароль ничего не написано? Лог сессии от начала до конца не покажешь?

firkax ★★★★★
(04.04.24 21:57:36 MSK)

Ответ на: комментарий от firkax 04.04.24 21:57:36 MSK

cat /var/log/auth.log

Apr  4 22:04:13 some_domainname sshd[1155]: Connection closed by authenticating user root x.x.x.x port 61069 [preauth]

Надеюсь то, что захожу рутом, никого не оскорбит.

ESTAF ★★★
(04.04.24 22:06:23 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 22:06:23 MSK

Всего одна строчка добавляется после этой попытки?

Поставь sshd_config LogLevel побольше может, DEBUG3 например.

firkax ★★★★★
(04.04.24 22:10:25 MSK)
Последнее исправление: firkax 04.04.24 22:10:43 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 04.04.24 22:10:25 MSK

Блин. Там диссертация целая вылезла. сейчас читать буду))

ESTAF ★★★
(04.04.24 22:13:40 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 22:13:40 MSK

Для меня масло масояное. Но еще и устал, если честно.
https://pastebin.com/5w6eEE4P

ESTAF ★★★
(04.04.24 22:26:11 MSK) автор топика

Ответ на: комментарий от ESTAF 04.04.24 22:26:11 MSK

Клиент не может прочитать ~/.ssh/id_rsa ?

Сделай

ssh -vvv username@host

тм в логе будет что-нить про это наверно. Ну или проверь что файл на месте и с правильными правами (доступен для чтения юзеру который зпустил ssh, но недоступен остальным).

firkax ★★★★★
(04.04.24 22:59:16 MSK)

Ответ на: комментарий от firkax 04.04.24 22:59:16 MSK

Проблема в другом. При создании ключей вводил пароль под них.
На стадии

ssh-keygen -t rsa -b 4096

. Лог клиента так. Ни о чем. Просто вспомнил, что если закидывать пароль при создании ключей, то он будет вопрошаться. всё ок.

Ходить под рутом... Ну сервер ак vps под Shadowsocks (XRay (XTLS)). Захожу туда по ssh, если только надо прикрыть какого пользователя из семьи, или себе добавить на устройство еще одну учетку.

ssh -i cli001 -l root -L 8080:localhost:49557 x.x.x.x -p 223

http://localhost:8080/main/

ESTAF ★★★
(05.04.24 11:26:55 MSK) автор топика

Похожие темы