Người dùng từ chối truy cập ssh trong khi trong danh sách AllowUsers

10

Tôi đã kế thừa việc quản trị một hộp linux tại nơi làm việc của tôi; nó được thiết lập bởi một đồng nghiệp đã mất. Gần đây, tôi đã thêm một người dùng mới vào hệ thống và cũng cố gắng cấp quyền truy cập ssh của cô ấy; cách mà hầu hết những người sử dụng máy truy cập nó. Điều này, tôi không thể làm việc.

Đây là những gì xảy ra:

scmb-bkobe03m:~ xzhang$ ssh -v -X -p 22 arwen@myServer
OpenSSH_5.2p1, OpenSSL 0.9.8r 8 Feb 2011
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to myServer [152.98.xx.xx] port 22.
debug1: Connection established.
debug1: identity file /Users/xzhang/.ssh/identity type -1
debug1: identity file /Users/xzhang/.ssh/id_rsa type 1
debug1: identity file /Users/xzhang/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.5p1 Debian-6+squeeze2
debug1: match: OpenSSH_5.5p1 Debian-6+squeeze2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '[myServer]:22' is known and matches the RSA host key.
debug1: Found key in /Users/xzhang/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /Users/xzhang/.ssh/identity
debug1: Offering public key: /Users/xzhang/.ssh/id_rsa
debug1: Authentications that can continue: publickey
debug1: Trying private key: /Users/xzhang/.ssh/id_dsa
debug1: No more authentication methods to try.

Bây giờ, tôi đã thêm khóa ssh-key công khai của cô ấy vào authorized_keystập tin. Vì vậy, tôi đã xem /var/log/auth.log và tìm thấy

Jan  7 11:37:12 sauron sshd[5002]: User arwen from myClientMachine not allowed because not listed in AllowUsers

Thật buồn cười vì tôi đã thêm cô ấy vào AllowUsers:

daniel@sauron:~$ sudo more /etc/ssh/sshd_config | grep AllowUsers
AllowUsers jonathan daniel rafael simon thomas li arwen

Tôi không biết phải đi đâu từ đây. Có ai nhận không?

debian ssh authorization

— d.ericsson
nguồn

9

bạn đã khởi động lại sshdịch vụ sau khi thêm người dùng vào tập tin cấu hình.

— Rahul Patil

1

@RahulPatil không cần thiết phải khởi động lại - sshdđọc lại tệp cấu hình của nó khi nhận được SIGHUP.

— peterph

1

@peterph có, tôi có nghĩa là khởi động lại / tải lại sshd để đọc lại tập tin cấu hình.

— Rahul Patil

1

Có thể có một cái gì đó khác sshd_configcó liên quan, bạn nên đăng toàn bộ tệp (phù hợp ẩn danh nếu cần thiết).

— Gilles 'SO- ngừng trở nên xấu xa'

11

Nếu bạn hoàn toàn chắc chắn rằng bạn đã khởi động lại máy chủ SSH hoặc yêu cầu nó tải lại tệp cấu hình của nó bằng cách gửi cho nó một SIGHUPUP

Có lẽ AllowUserslà trong một Matchphần? Nếu có một Matchchỉ thị trước đó , nó có thể khiến jonathan, arwen và những người khác chỉ được phép trong một số trường hợp nhất định, như trong

…
Match localhost PasswordAuthentication yes

# Whitelist users who may ssh in
AllowGroups admin
AllowUsers jonathan daniel rafael simon thomas li arwen

(Nhận xét sai lệch: những điều này AllowGroupsvà AllowUserschỉ thị chỉ áp dụng khi đăng nhập vào localhost. Match localhostChỉ thị nên được di chuyển bên dưới những điều này.)

— Gilles 'SO- ngừng là ác'
nguồn

Trứng, gặp mặt. Khởi động lại hệ thống là tất cả những gì nó cần vào thời điểm này. Rất cám ơn cho đầu vào.

— d.ericsson

Bắt đầu lại ?? bog

— Otheus

2

Nếu bạn đang sử dụng Ubuntu, bạn có thể gặp phải vấn đề tương tự như tôi đã làm. Có hai định nghĩa dịch vụ /etc/init.d/ssh và /etc/init/ssh.conf. Dịch vụ khởi động lại như (kiểu cũ)

/etc/init.d/ssh restart

không có gì (và lệnh trạng thái không hiển thị gì). Khởi động lại dịch vụ khởi động trực tiếp như thế nào

service ssh restart

làm điều đó. Vì khởi động lại hệ điều hành đã giúp ích trong trường hợp của bạn, đó dường như là một vấn đề.

Ngoài ra, hãy kiểm tra xem người dùng có được phân tách bằng dấu cách và không được phân tách bằng dấu phẩy. SSH daemon không hiển thị bất kỳ cảnh báo nào cho điều đó.

— Dmitriusan
nguồn

Lưu ý rằng bạn không thể khởi động lại sshtrong khi đăng nhập qua ssh. Không có lỗi được báo cáo nếu bạn làm điều này. Chỉ cần thông điệp thông thường được in. Điều này có thể được xác minh bằng cách thêm cột START vào htopvà thấy rằng sshdquá trình không chỉ được khởi động lại. Để khởi động lại ssh từ xa nếu máy chủ không đầu, hãy làm a reboot. Nếu máy chủ có bàn điều khiển (màn hình và bàn phím), hãy thực hiện service ssh restarttừ đó.

— DocSalvager

0

Một nơi miễn phí có thể là vấn đề.

Trong sshd_config hoặc ssh_config nếu nó đã nhận xét Allowgroup hoặc AllowUser, những điều này cũng áp dụng cho các phiên từ xa ssh. Nếu bạn đã nhận xét PermitRemotelogin Không, Thay đổi Không thành Có.

"bạn cũng có thể nhận xét về tuyên bố và khởi động lại ssh xem đó có phải là vấn đề trước khi bạn đi và cố gắng thay đổi bất cứ điều gì khác không. Để bình luận chỉ cần thêm hashtag trước khi bình luận

#AllowGroups Group1 <- made up group
#Allow User User1

AllowGroups Group1
AllowUser User1

Kiểm tra Nhóm người dùng, đảm bảo tên người dùng bạn đang cố sử dụng để đăng nhập nằm trong nhóm.

vi /etc/group

Group1:100:user1,root, etc <- Nếu không có gì được liệt kê ở đây thì đó là một tuyên bố từ chối cho phép.

Sau khi có bất kỳ thay đổi nào đối với sshd_config hoặc ssh_config, Bạn sẽ phải khởi động lại ssh.

svcadm restart ssh

Những nơi khác để tìm:

vi /etc/defalut/login
vi /etc/pam.config
vi /etc/sshd_config

— người dùng84200
nguồn