От отладки: debug2: key_type_from_name: unknown key type '-----BEGIN'
похоже, что Вы имеете неправильно отформатированный authorized_keys
файл.
Удаление первого (два?) строки, последняя строка (-----Конец), и любые другие разрывы строки должны решить проблему.
Файл ключей для Linux не использует тот же файл ключей в качестве многих Windows (и некоторый Linux) генераторы. PuTTY, например, запускает закрытые ключи как ---- BEGIN SSH2 PUBLIC KEY ----
но Linux ищет ssh-rsa AAAAB3NzaC1yc2E...G8HAaGz8ob6IXx3841ASs= Example@server
Полная спецификация может быть найдена здесь: http://man.he.net/man5/authorized_keys
Но короткая версия: *Никакие разрывы строки
*Запускается с протокола (ssh-rsa, ssh-dsa)
*Открытый ключ
*Концы с “=” и ключевое имя
Сообщите мне, помогает ли это
Что делают три правила?
Те 3 правила кажутся довольно очевидными:
При поиске большего количества детали (о пакетах UDP/TCP, ICMP), необходимо вырыть в сетевые документы, и возможно man iptables
также.
Это имеет какое-либо значение, когда я поместил там ОТБРАСЫВАНИЕ, на месте ОТКЛОНЯЮТ - отклонение - с? Если да, мог кто-то объяснять различие для меня, я буду действительно ценить его.
Это имеет значение. И вопреки широко распространенному мнению, DROP
не дает лучшую безопасность, чем REJECT
. Это причиняет беспокойство законным пользователям, и это не эффективно никакая защита от злонамеренных. Это сообщение объясняет обоснование подробно:
http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
Общая причина использования ОТБРАСЫВАНИЯ, а не ОТКЛОНЕНИЯ состоит в том, чтобы не выдавать информацию, о которой порты открыты, однако, отбрасывание пакетов выдает точно столько же информации сколько отклонение.
С ОТКЛОНЕНИЕМ Вы делаете свое сканирование и категоризируете результаты в "соединение установленное" и "отклоненное соединение".
С ОТБРАСЫВАНИЕМ Вы категоризируете результаты в "соединение установленное" и "приведенное к таймауту соединение".
Самый тривиальный сканер будет использовать вызов "подключения" операционной системы и будет ожидать, пока одна попытка подключения не завершается прежде, чем запуститься на следующем. Этот тип сканера будет значительно замедлен путем отбрасывания пакетов. Однако, если нападение устанавливает тайм-аут 5 попыток секунд для каждого подключения, возможно просканировать каждый зарезервированный порт (1.. 1023) на машине всего за 1,5 часа. Сканирования всегда автоматизируются, и взломщик не заботится, что результат не непосредственен.
Более сложный сканер отправит пакеты сам вместо того, чтобы полагаться на реализацию TCP операционной системы. Такие сканеры быстры, эффективны и равнодушны к выбору ОТКЛОНЕНИЯ или ОТБРАСЫВАНИЮ.
ЗАКЛЮЧЕНИЕ
ОТБРОСЬТЕ не предлагает эффективного барьера для враждебных сил, но может существенно замедлить приложения, запущенные законными пользователями. ОТБРАСЫВАНИЕ не должно обычно использоваться.