Điểm:2

xác thực dựa trên máy chủ ssh trên Fedora 35

lá cờ il
MMM

Tôi đang cố bỏ qua yêu cầu mật khẩu và sử dụng xác thực dựa trên máy chủ.

Máy khách nằm trong shosts.equiv, khóa công khai của máy khách nằm trong ssh_known_hosts và nó buộc phải hỏi tôi mật khẩu

Nó có liên quan gì đến SELInux và PAM không?

openssh-8.7p1-3.fc35 và openssh-server-8.7p1-3.fc35

Người phục vụ

-rw-r--r--. 1 gốc gốc /etc/ssh/ssh_known_hosts    
H,H.lan,H.lan.,192.168.1.86 ssh-rsa <Hpublickey1>
H,H.lan,H.lan.,192.168.1.86 ecdsa-sha2-nistp256 <Hpublickey2>
H,H.lan,H.lan.,192.168.1.86 ssh-ed25519 <Hpublickey3>

-rw-r----. 1 gốc gốc /etc/ssh/shosts.equiv
h
H.lan
H.lân.
192.168.1.86

sshd -T | grep ^máy chủ
xác thực dựa trên máy chủ có
hostbasedusesnamefrompacketchỉ có
hostbasedacceptedalgorithms [email protected],[email protected],[email protected],ecdsa-sha2-nistp521-cert-v01 @openssh.com,[email protected],[email protected],[email protected],rsa [email protected],[email protected],ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh [email protected],[email protected],rsa-sha2-512,rsa-sha2-256,ssh-rsa
thuật toán khóa máy chủ ecdsa-sha2-nistp256,[email protected],[email protected],[email protected],ecdsa -sha2-nistp384,[email protected],ecdsa-sha2-nistp521,[email protected],ssh-ed25519,ssh-ed25519-cert-v01 @openssh.com,[email protected],[email protected],rsa-sha2-256,[email protected],rsa -sha2-512,[email protected]
khóa máy chủ/etc/ssh/ssh_host_rsa_key
khóa máy chủ/etc/ssh/ssh_host_ecdsa_key
khóa máy chủ/etc/ssh/ssh_host_ed25519_key
Sử dụngPAM có

Khách hàng: tên máy chủ = H

một nỗ lực kết nối buộc yêu cầu mật khẩu

máy chủ ssh
mật khẩu của người dùng @ máy chủ: 

với gỡ lỗi

ssh -o PreferredAuthentications=hostbased -vvv -E /tmp/s.log máy chủ

Đây là nội dung của s.log

con mèo /tmp/s.log 
OpenSSH_8.7p1, OpenSSL 1.1.1l FIPS 24 tháng 8 năm 2021
debug1: Đọc dữ liệu cấu hình /home/user/.ssh/config
debug1: Đọc dữ liệu cấu hình /etc/ssh/ssh_config
debug3: /etc/ssh/ssh_config dòng 55: Bao gồm tệp /etc/ssh/ssh_config.d/50-redhat.conf độ sâu 0
debug1: Đọc dữ liệu cấu hình /etc/ssh/ssh_config.d/50-redhat.conf
debug2: kiểm tra trận đấu cho máy chủ lưu trữ 'tất cả cuối cùng' máy chủ ban đầu
debug3: /etc/ssh/ssh_config.d/50-redhat.conf dòng 3: không khớp với 'cuối cùng'
debug2: không tìm thấy trận đấu
debug3: /etc/ssh/ssh_config.d/50-redhat.conf dòng 5: Bao gồm tệp /etc/crypto-policies/back-ends/openssh.config độ sâu 1 (chỉ phân tích cú pháp)
debug1: Đọc dữ liệu cấu hình /etc/crypto-policies/back-ends/openssh.config
debug3: tên gss kex ok: [gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-]
debug3: tên kex ok: [curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman -group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512]
debug1: yêu cầu cấu hình vượt qua trận đấu cuối cùng
debug1: phân tích lại cấu hình
debug1: Đọc dữ liệu cấu hình /home/user/.ssh/config
debug1: Đọc dữ liệu cấu hình /etc/ssh/ssh_config
debug3: /etc/ssh/ssh_config dòng 55: Bao gồm tệp /etc/ssh/ssh_config.d/50-redhat.conf độ sâu 0
debug1: Đọc dữ liệu cấu hình /etc/ssh/ssh_config.d/50-redhat.conf
debug2: kiểm tra trận đấu cho máy chủ lưu trữ 'tất cả cuối cùng' máy chủ ban đầu
debug3: /etc/ssh/ssh_config.d/50-redhat.conf dòng 3: khớp với 'cuối cùng'
debug2: tìm thấy trận đấu
debug3: /etc/ssh/ssh_config.d/50-redhat.conf dòng 5: Bao gồm tệp /etc/crypto-policies/back-ends/openssh.config độ sâu 1
debug1: Đọc dữ liệu cấu hình /etc/crypto-policies/back-ends/openssh.config
debug3: tên gss kex ok: [gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-]
debug3: tên kex ok: [curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman -group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512]
debug3: đã mở rộng UserKnownHostsFile '~/.ssh/known_hosts' -> '/home/user/.ssh/known_hosts'
debug3: đã mở rộng UserKnownHostsFile '~/.ssh/known_hosts2' -> '/home/user/.ssh/known_hosts2'
debug2: giải quyết cổng "máy chủ" 22
gỡ lỗi3: ssh_connect_direct: đang nhập
debug1: Đang kết nối với máy chủ [192.168.1.66] cổng 22.
debug3: set_sock_tos: đặt ổ cắm 4 IP_TOS 0x48
debug1: Đã thiết lập kết nối.
debug1: tệp nhận dạng /home/user/.ssh/id_rsa loại -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_rsa-cert loại -1
debug1: tệp nhận dạng /home/user/.ssh/id_dsa loại -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_dsa-cert loại -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_ecdsa loại -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_ecdsa-cert loại -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_ecdsa_sk gõ -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_ecdsa_sk-cert loại -1
debug1: tệp nhận dạng /home/user/.ssh/id_ed25519 gõ -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_ed25519-cert loại -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_ed25519_sk loại -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_ed25519_sk-cert loại -1
debug1: tệp nhận dạng /home/user/.ssh/id_xmss gõ -1
gỡ lỗi1: tệp nhận dạng /home/user/.ssh/id_xmss-cert loại -1
debug1: Chuỗi phiên bản cục bộ SSH-2.0-OpenSSH_8.7
debug1: Phiên bản giao thức từ xa 2.0, phiên bản phần mềm từ xa OpenSSH_8.7
debug1: compat_banner: match: OpenSSH_8.7 vỗ vào OpenSSH* compat 0x04000000
debug2: cài đặt fd 4 O_NONBLOCK
debug1: Xác thực với máy chủ: 22 là 'người dùng'
debug3: record_hostkey: đã tìm thấy loại khóa ED25519 trong tệp /home/user/.ssh/known_hosts:4
debug3: record_hostkey: đã tìm thấy loại khóa RSA trong tệp /home/user/.ssh/known_hosts:5
debug3: record_hostkey: đã tìm thấy loại khóa ECDSA trong tệp /home/user/.ssh/known_hosts:6
debug3: load_hostkeys_file: đã tải 3 khóa từ máy chủ
debug1: load_hostkeys: fopen /home/user/.ssh/known_hosts2: Không có tệp hoặc thư mục như vậy
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: Không có tệp hoặc thư mục như vậy
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: Không có tệp hoặc thư mục như vậy
debug3: order_hostkeyalgs: có loại khóa ưu tiên phù hợp nhất [email protected], sử dụng nguyên văn HostkeyAlgorithms
debug3: gửi gói: gõ 20
gỡ lỗi1: Đã gửi SSH2_MSG_KEXINIT
debug3: nhận gói: gõ 20
gỡ lỗi1: Đã nhận được SSH2_MSG_KEXINIT
debug2: đề xuất KEXINIT của khách hàng cục bộ
debug2: Thuật toán KEX: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14 -sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ext-info-c
debug2: thuật toán khóa máy chủ: [email protected],[email protected],[email protected],ecdsa-sha2- [email protected],[email protected],[email protected],rsa-sha2-512-cert-v01@ openssh.com,[email protected],[email protected],ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2- nistp521,[email protected],[email protected],rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: ciphers stoc: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: MAC ctos: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: MAC lưu trữ: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: nén ctos: none,[email protected],zlib
debug2: kho lưu trữ nén: none,[email protected],zlib
debug2: ngôn ngữ ctos: 
debug2: kho ngôn ngữ: 
gỡ lỗi2: first_kex_follows 0 
gỡ lỗi2: dành riêng 0 
debug2: đề xuất KEXINIT của máy chủ ngang hàng
debug2: Thuật toán KEX: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14 -sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
debug2: thuật toán khóa máy chủ: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: ciphers stoc: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: MAC ctos: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: MAC lưu trữ: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: nén ctos: none,[email protected]
debug2: kho lưu trữ nén: none,[email protected]
debug2: ngôn ngữ ctos: 
debug2: kho ngôn ngữ: 
gỡ lỗi2: first_kex_follows 0 
gỡ lỗi2: dành riêng 0 
gỡ lỗi1: kex: thuật toán: đường cong25519-sha256
debug1: kex: thuật toán khóa máy chủ: ssh-ed25519
debug1: kex: server->client cipher: [email protected] MAC: <implicit> nén: không có
debug1: kex: client->server cipher: [email protected] MAC: <implicit> nén: không có
gỡ lỗi1: kex: Curve25519-sha256 cần=32 dh_need=32
gỡ lỗi1: kex: Curve25519-sha256 cần=32 dh_need=32
debug3: gửi gói tin: gõ 30
gỡ lỗi1: mong đợi SSH2_MSG_KEX_ECDH_REPLY
debug3: nhận gói: gõ 31
gỡ lỗi1: Đã nhận được SSH2_MSG_KEX_ECDH_REPLY
debug1: Khóa máy chủ: ssh-ed25519 SHA256:Uy8VMmU9e9OnnoJWzLrojVNFaDk6LJiNR9asnFJy57g
debug3: record_hostkey: đã tìm thấy loại khóa ED25519 trong tệp /home/user/.ssh/known_hosts:4
debug3: record_hostkey: đã tìm thấy loại khóa RSA trong tệp /home/user/.ssh/known_hosts:5
debug3: record_hostkey: đã tìm thấy loại khóa ECDSA trong tệp /home/user/.ssh/known_hosts:6
debug3: load_hostkeys_file: đã tải 3 khóa từ máy chủ
debug1: load_hostkeys: fopen /home/user/.ssh/known_hosts2: Không có tệp hoặc thư mục như vậy
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: Không có tệp hoặc thư mục như vậy
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: Không có tệp hoặc thư mục như vậy
debug1: Máy chủ 'máy chủ' đã biết và khớp với khóa máy chủ ED25519.
debug1: Đã tìm thấy khóa trong /home/user/.ssh/known_hosts:4
debug3: gửi gói: gõ 21
gỡ lỗi2: set_newkeys: chế độ 1
debug1: thoát ra sau 4294967296 khối
gỡ lỗi1: Đã gửi SSH2_MSG_NEWKEYS
gỡ lỗi1: mong đợi SSH2_MSG_NEWKEYS
debug3: nhận gói: gõ 21
gỡ lỗi1: Đã nhận được SSH2_MSG_NEWKEYS
gỡ lỗi2: set_newkeys: chế độ 0
debug1: nhập lại sau 4294967296 khối
debug1: Sẽ thử khóa: /home/user/.ssh/id_rsa 
debug1: Sẽ thử khóa: /home/user/.ssh/id_dsa 
debug1: Sẽ thử khóa: /home/user/.ssh/id_ecdsa 
debug1: Sẽ thử khóa: /home/user/.ssh/id_ecdsa_sk 
debug1: Sẽ thử khóa: /home/user/.ssh/id_ed25519 
debug1: Sẽ thử key: /home/user/.ssh/id_ed25519_sk 
debug1: Sẽ thử khóa: /home/user/.ssh/id_xmss 
gỡ lỗi2: pubkey_prepare: xong
debug3: gửi gói tin: gõ 5
debug3: nhận gói: gõ 7
gỡ lỗi1: Đã nhận được SSH2_MSG_EXT_INFO
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,[email protected],ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256 ,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,[email protected],[email protected]>
debug3: nhận gói: gõ 6
gỡ lỗi2: service_accept: ssh-userauth
gỡ lỗi1: Đã nhận được SSH2_MSG_SERVICE_ACCEPT
debug3: gửi gói tin: gõ 50
debug3: nhận gói: gõ 51
debug1: Xác thực có thể tiếp tục: publickey,gssapi-keyex,gssapi-with-mic,password,hostbased
debug3: bắt đầu lại, chuyển một danh sách khác publickey,gssapi-keyex,gssapi-with-mic,password,hostbased
debug3: dựa trên máy chủ ưa thích
gỡ lỗi3: authmethod_lookup dựa trên máy chủ
debug3: ưu tiên còn lại: 
debug1: Không còn phương thức xác thực nào để thử.
user@server: Quyền bị từ chối (khóa công khai, gssapi-keyex, gssapi-with-mic, mật khẩu, dựa trên máy chủ).
dave_thompson_085 avatar
lá cờ jp
Mặc định mã máy khách (`ssh`) cho máy chủ bị tắt; trừ khi được bật trong tệp cấu hình mà bạn không hiển thị cho chúng tôi, hãy thử thêm `-o HostBasedAuthentication=yes` (hoặc `true`).
MMM avatar
lá cờ il
MMM
Sau khi đọc ở đây https://www.usenix.org/system/files/login/articles/09_singer.pdf và tại đây https://utcc.utoronto.ca/~cks/space/blog/sysadmin/OpenSSHUseDNSErrorAnnoyance đây là danh sách các hành động: 1. phía máy khách đặt HostbasedAuthentication thành true cho Máy chủ đích. Đặt EnableSSHKeysign có Sau đó, ở phía máy chủ, đặt UseDNS thành có và để máy khách của bạn lưu trữ trong shosts.equiv toàn cầu và các khóa của chúng trong ssh_known_hosts
dave_thompson_085 avatar
lá cờ jp
Khi kiểm tra nguồn, tôi đồng ý rằng cần có EnableSSHKeysign. UseDNS không cần thiết vì bạn chỉ có hostbasedusesnamefrompacket -- nhưng cũng không ảnh hưởng gì.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.