Почему по-прежнему запрашивается пароль при настройке ключей SSH на сервере?

Question

У нас есть два сервера CentOS 6.9. Один мы назовем «INHOUSE», а другой назовем «BACKUP».

Мы пытаемся настроить скрипт, который использует соединение RSA, где мы можем использовать SSH от сервера «INHOUSE» к серверу «BACKUP».

Это то, что мы делали в прошлом, но этот случай вызывает у нас проблемы. После копирования ключа RSA из «INHOUSE» в «BACKUP» (и перезапуска службы SSHD) мы можем перевести SSH в «BACKUP», однако нам все равно предлагается пароль.

Я знаю, что здесь есть объяснение, но у нас это не сработало.

Мы попытались уничтожить содержимое authorized_keys файла на «BACKUP» и повторного добавления ключей и она по- прежнему не работает.

Я знаю, что иногда разрешения могут быть проблемой. Вот мои текущие настройки разрешений:

На «BACKUP» в /root/:

 drwxr-xr-x   2 root root  4096 Sep 18 11:14 .ssh

В /root/.ssh:

 -rwx------  1 root root  394 Sep 18 10:54 authorized_keys

На «BACKUP» в /root/:

 drwxr-xr-x   2 root root  4096 Sep 18 10:35 .ssh

В /root/.ssh на «BACKUP»:

 -rw-r--r-- 1 root root  391 Sep 18 10:35 authorized_keys

Также вот как мы установили /etc/ssh/sshd_config на каждом сервере.

На «BACKUP»: (все значения по умолчанию)

 #RSAAuthentication yes
 #PubkeyAuthentication yes
 #AuthorizedKeysFile     .ssh/authorized_keys
 #AuthorizedKeysCommand none
 #AuthorizedKeysCommandRunAs nobody

На «INHOUSE»: (RSAAuth является единственным не по умолчанию)

 RSAAuthentication yes
 #PubkeyAuthentication yes
 #AuthorizedKeysFile     .ssh/authorized_keys
 #AuthorizedKeysCommand none
 #AuthorizedKeysCommandRunAs nobody

Мы также попытались установить противоположное направление. Мы можем SSH из «BACKUP» в «INHOUSE».

Вывод команды ssh -vvv показывает следующее; Что еще я могу попытаться сделать так, чтобы SSH работал от «INHOUSE» до «BACKUP» без запроса пароля?

 [root] INHOUSE:/root/.ssh> ssh -vvv root@BACKUP
 OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
 debug1: Reading configuration data /etc/ssh/ssh_config
 debug1: Applying options for *
 debug2: ssh_connect: needpriv 0
 debug1: Connecting to BACKUP [XXX.XXX.XXX.XXX] port 22.
 debug1: Connection established.
 debug1: permanently_set_uid: 0/0
 debug3: Not a RSA1 key file /root/.ssh/id_dsa.
 debug2: key_type_from_name: unknown key type '-----BEGIN'
 debug3: key_read: missing keytype
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug2: key_type_from_name: unknown key type '-----END'
 debug3: key_read: missing keytype
 debug1: identity file /root/.ssh/id_dsa type 2
 debug1: identity file /root/.ssh/id_dsa-cert type -1
 debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
 debug1: match: OpenSSH_5.3 pat OpenSSH*
 debug1: Enabling compatibility mode for protocol 2.0
 debug1: Local version string SSH-2.0-OpenSSH_5.3
 debug2: fd 3 setting O_NONBLOCK
 debug1: SSH2_MSG_KEXINIT sent
 debug3: Wrote 864 bytes for a total of 885
 debug1: SSH2_MSG_KEXINIT received
 debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
 debug2: kex_parse_kexinit: ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-     v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-rsa,ssh-dss
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
 debug2: kex_parse_kexinit: hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96
 debug2: kex_parse_kexinit: hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96
 debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
 debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit: first_kex_follows 0
 debug2: kex_parse_kexinit: reserved 0
 debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
 debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
 debug2: kex_parse_kexinit: none,zlib@openssh.com
 debug2: kex_parse_kexinit: none,zlib@openssh.com
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit: first_kex_follows 0
 debug2: kex_parse_kexinit: reserved 0
 debug2: mac_setup: found hmac-sha1
 debug1: kex: server->client aes128-ctr hmac-sha1 none
 debug2: mac_setup: found hmac-sha1
 debug1: kex: client->server aes128-ctr hmac-sha1 none
 debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<2048<8192) sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
 debug3: Wrote 24 bytes for a total of 909
 debug2: dh_gen_key: priv key bits set: 167/320
 debug2: bits set: 1035/2048
 debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
 debug3: Wrote 272 bytes for a total of 1181
 debug3: check_host_in_hostfile: host BACKUP filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: host BACKUP filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: match line 14
 debug3: check_host_in_hostfile: host XXX.XXX.XXX.XXX filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: host XXX.XXX.XXX.XXX filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: match line 14
 debug1: Host 'BACKUP' is known and matches the RSA host key.
 debug1: Found key in /root/.ssh/known_hosts:14
 debug2: bits set: 1020/2048
 debug1: ssh_rsa_verify: signature correct
 debug2: kex_derive_keys
 debug2: set_newkeys: mode 1
 debug1: SSH2_MSG_NEWKEYS sent
 debug1: expecting SSH2_MSG_NEWKEYS
 debug3: Wrote 16 bytes for a total of 1197
 debug2: set_newkeys: mode 0
 debug1: SSH2_MSG_NEWKEYS received
 debug1: SSH2_MSG_SERVICE_REQUEST sent
 debug3: Wrote 52 bytes for a total of 1249
 debug2: service_accept: ssh-userauth
 debug1: SSH2_MSG_SERVICE_ACCEPT received
 debug2: key: /root/.ssh/id_dsa (0x7f3f19970a50)
 debug3: Wrote 68 bytes for a total of 1317
 debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
 debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password
 debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
 debug3: authmethod_lookup gssapi-keyex
 debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-     interactive,password
 debug3: authmethod_is_enabled gssapi-keyex
 debug1: Next authentication method: gssapi-keyex
 debug1: No valid Key exchange context
 debug2: we did not send a packet, disable method
 debug3: authmethod_lookup gssapi-with-mic
 debug3: remaining preferred: publickey,keyboard-interactive,password
 debug3: authmethod_is_enabled gssapi-with-mic
 debug1: Next authentication method: gssapi-with-mic
 debug3: Trying to reverse map address XXX.XXX.XXX.XXX.
 debug1: Unspecified GSS failure.  Minor code may provide more information
 Credentials cache file '/tmp/krb5cc_0' not found

 debug1: Unspecified GSS failure.  Minor code may provide more information
 Credentials cache file '/tmp/krb5cc_0' not found

 debug2: we did not send a packet, disable method
 debug3: authmethod_lookup publickey
 debug3: remaining preferred: keyboard-interactive,password
 debug3: authmethod_is_enabled publickey
 debug1: Next authentication method: publickey
 debug1: Offering public key: /root/.ssh/id_dsa
 debug3: send_pubkey_test
 debug2: we sent a publickey packet, wait for reply
 debug3: Wrote 532 bytes for a total of 1849
 debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-     mic,password
 debug2: we did not send a packet, disable method
 debug3: authmethod_lookup password
 debug3: remaining preferred: ,password
 debug3: authmethod_is_enabled password
 debug1: Next authentication method: password

 root@BACKUP's password:

Answer 1

Ваш каталог .ssh и его содержимое должны быть доступны только владельцу. У них не должно быть никаких групповых или глобальных разрешений.

Сервер:

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Клиент:

chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 600 ~/.ssh/id_rsa.pub

Answer 2

Ваш .ssh/ в обеих системах имеет неправильные разрешения. У тебя есть

drwxr-xr-x   2 root root  4096 Sep 18 11:14 .ssh

Это должен быть drwx------ . Запустите эту команду, чтобы изменить эти разрешения для этих каталогов:

chmod 700 ~/.ssh

И аналогично разрешениям .ssh , у вас есть это для authorized_keys:

-rwx ------ 1 root root 394 сен. 18 10:54 авторизованных ключей

Это должно быть -rw------- . Запустите эту команду, чтобы изменить эти разрешения:

chmod 600 ~/.ssh/authorized_keys

Эти команды, начинающиеся с ~/ предполагают, что вы вошли в систему как пользователь, имеющий доступ к этому каталогу .ssh . Так что отрегулируйте путь в соответствии со своими потребностями.

Кроме того, если вы хотите SSH из «INHOUSE» в «BACKUP», вам нужно отредактировать /etc/ssh/sshd_config чтобы RSAAuthentication yes и перезапускал SSHD. Скорее всего, это причина, по которой вы можете использовать SSH с «BACKUP» на «INHOUSE», но не с «INHOUSE» на «BACKUP» на данный момент.