Если аутентификация с открытым ключом не работает: удостоверьтесь это на стороне сервера, Ваш корневой каталог (~
), ~/.ssh
каталог, и ~/.ssh/authorized_keys
файл, все перезаписываемы только их владельцем. В частности, ни один из них не должен быть перезаписываем группой (даже если пользователь является одним в группе). chmod 755
или chmod 700
в порядке, chmod 770
не.
Что проверить, когда что-то неправильно:
ssh -vvv
видеть большую отладочную информацию. При регистрации вопроса, спрашивающего, почему Вы не можете соединиться с ssh, включать этот вывод (можно хотеть анонимизировать имена хостов и имена пользователей)./var/log/daemon.log
или /var/log/auth.log
или подобный.Корневой каталог цели был 755 drwxr-xr-x
. Изменение его для группы 775 drwxrwxr-x
повредил установку пароля меньше.
Убедившись в правильности разрешений, повторно отправил ключи, но это все равно не работало.
Затем я наткнулся на то, чего раньше не делал и не видел ни у кого упоминания.
Невозможно использовать -или разрешить _другое с включенной опцией sshfs (в fuse.conf)
После включения я запускал команды sshfs без sudo, и все работало отлично.
Предполагая, что RHEL/CentOS и у вас есть доступ администратора к удаленному серверу, на который пользователь newuser
хочет подключиться по ssh.
Получите newuser's
существующие id_rsa.pub
и приготовьте.
Следуйте инструкциям:
useradd newuser
mkdir /home/newuser/.ssh
vi /home/newuser/.ssh/authorized_keys
# copy newuser's id_rsa.pub into authorized_keys and save
chmod 640 /home/newuser/.ssh/authorized_keys
chmod 700 /home/newuser/.ssh/
chmod 700 /home/newuser/
chown newuser:newuser -R /home/newuser/
Попробовать newuser
войти в систему.
authorized_keys
не быть перезаписываемым группой? SSH отклоняет это из-за проблем безопасности? – Hey 15.04.2016, 19:10authorized_keys
может добавить их собственный ключ там и таким образом войти в учетную запись. Таким образом, только пользователю нужно разрешить. (Наличие перезаписываемого группой файлов на самом деле безопасно, если никакой другой пользователь не находится в той группе, но это трудно обнаружить надежно, когда составы группы могут прибыть из сетевых баз данных.) – Gilles 'SO- stop being evil' 15.04.2016, 19:30