ทำไมฉันถึงได้รับ“ การอนุญาตถูกปฏิเสธ (publickey)” เมื่อพยายามที่จะ SSH จากอูบุนตูท้องถิ่นไปยังเซิร์ฟเวอร์ Amazon EC2?

ฉันมีอินสแตนซ์ของแอปพลิเคชันที่ทำงานในคลาวด์บนอินสแตนซ์ของ Amazon EC2 และฉันจำเป็นต้องเชื่อมต่อกับ Ubuntu ในเครื่องของฉัน มันใช้งานได้ดีบนหนึ่งในอูบุนตูท้องถิ่นและแล็ปท็อป ฉันได้รับข้อความ "การอนุญาตถูกปฏิเสธ (publickey)" เมื่อพยายามเข้าถึง SSH ไปยัง EC2 ใน Ubuntu ท้องถิ่นอื่น มันแปลกสำหรับฉัน

ฉันกำลังคิดว่ามีปัญหาบางอย่างเกี่ยวกับการตั้งค่าความปลอดภัยใน Amazon EC2 ซึ่งมีการ จำกัด การเข้าถึง IP ของอินสแตนซ์เดียวหรือใบรับรองอาจต้องสร้างใหม่

ไม่มีใครรู้วิธีการแก้ปัญหา?

สิ่งแรกที่ต้องทำในสถานการณ์นี้คือการใช้-vตัวเลือกเพื่อsshให้คุณสามารถดูชนิดของการรับรองความถูกต้องพยายามและผลลัพธ์คืออะไร นั่นช่วยให้เข้าใจสถานการณ์ได้หรือไม่?

ในการอัปเดตคำถามของคุณคุณพูดถึง "ใน Ubuntu ท้องถิ่นอื่น" คุณคัดลอกคีย์ส่วนตัว ssh ไปยังเครื่องอื่นหรือไม่

เนื่องจากไม่ได้มีการกล่าวถึงอย่างชัดเจน sshd เป็นค่าเริ่มต้นที่เข้มงวดมากเกี่ยวกับการอนุญาตสำหรับauthorized_keysไฟล์ ดังนั้นถ้าauthorized_keysเป็นแบบเขียนได้สำหรับใครอื่นที่ไม่ใช่ผู้ใช้หรือสามารถทำเขียนได้โดยใครอื่นที่ไม่ใช่ผู้ใช้ก็จะปฏิเสธที่จะรับรองความถูกต้อง (ยกเว้นกรณีที่มีการกำหนดค่า sshd ด้วยStrictModes no)

สิ่งที่ฉันหมายถึงโดย "สามารถเขียนได้" คือถ้ามีไดเรกทอรีหลักใด ๆ ที่สามารถเขียนได้สำหรับผู้อื่นที่ไม่ใช่ผู้ใช้ผู้ใช้ที่ได้รับอนุญาตให้แก้ไขไดเรกทอรีเหล่านั้นสามารถเริ่มแก้ไขสิทธิ์ในวิธีที่พวกเขาสามารถแก้ไข / แทนที่

นอกจากนี้หาก/home/username/.sshไดเรกทอรีไม่ได้เป็นของผู้ใช้และทำให้ผู้ใช้ไม่มีสิทธิ์ในการอ่านคีย์คุณสามารถพบปัญหา:

drwxr-xr-x 7 jane jane 4096 Jan 22 02:10 /home/jane
drwx------ 2 root root 4096 Jan 22 03:28 /home/jane/.ssh

โปรดทราบว่าเจนไม่ได้เป็นเจ้าของ.sshไฟล์ แก้ไขผ่านทางนี้

chown -R jane:jane /home/jane/.ssh

ปัญหาเกี่ยวกับการอนุญาตระบบไฟล์เหล่านี้จะไม่ปรากฏขึ้นssh -vและพวกเขาจะไม่ปรากฏในบันทึก sshd (!) จนกว่าคุณจะตั้งค่าระดับการบันทึกเป็น DEBUG

• /etc/ssh/sshd_configแก้ไข คุณต้องการบรรทัดที่อ่านLogLevel DEBUGตรงนั้น โหลดเซิร์ฟเวอร์ SSH อีกครั้งโดยใช้กลไกที่มีให้โดย distro ( service sshd reloadบน RHEL / CentOS / Scientific) การรีโหลดที่ดีจะไม่ทำให้เซสชันที่มีอยู่ลดลง
• ลองตรวจสอบสิทธิ์อีกครั้ง
• กำหนดที่บันทึกสิ่งอำนวยความสะดวกของคุณไปและอ่าน (IIRC /var/log/auth.logบน Distros แบบ Debian; /var/log/secureบน RHEL / CentOS / Scientific)

ง่ายกว่ามากในการตรวจสอบสิ่งที่ผิดปกติกับผลลัพธ์การดีบักซึ่งรวมถึงข้อผิดพลาดในการอนุญาตระบบไฟล์ อย่าลืมเปลี่ยนกลับเป็น/etc/ssh/sshd_configเมื่อเสร็จแล้ว!

ฉันได้รับข้อผิดพลาดนี้เพราะฉันลืมเพิ่ม-lตัวเลือก ชื่อผู้ใช้ท้องถิ่นของฉันไม่เหมือนกับในระบบระยะไกล

นี่ไม่ตอบคำถามของคุณ แต่ฉันมาที่นี่เพื่อค้นหาคำตอบสำหรับปัญหาของฉัน

ฉันได้รับข้อความนี้ในอินสแตนซ์ใหม่ซึ่งอ้างอิงจาก Ubuntu AMI ฉันใช้ตัวเลือก -i เพื่อให้ PEM แต่มันก็ยังแสดง "สิทธิ์การใช้งานถูกปฏิเสธ (publickey)"

ปัญหาของฉันคือฉันไม่ได้ใช้ผู้ใช้ที่ถูกต้อง ด้วยการรัน ssh ด้วย ubuntu @ ec2 ... มันทำงานได้เหมือนปกติ

สิ่งที่ง่ายต่อการอ่านกว่าssh -v(ในความคิดของฉันแน่นอน) tail -f /var/log/auth.logเป็น ควรเรียกใช้บนเซิร์ฟเวอร์ที่คุณพยายามเชื่อมต่อในขณะที่พยายามเชื่อมต่อ มันจะแสดงข้อผิดพลาดในข้อความล้วน

สิ่งนี้ช่วยฉันแก้ปัญหาของฉัน:

ผู้ใช้ [ชื่อผู้ใช้] จาก xx.yy.com ไม่ได้รับอนุญาตเนื่องจากไม่มีกลุ่มผู้ใช้ที่ระบุไว้ใน AllowGroups

ตรวจสอบไฟล์/ etc / ssh / sshd_config ของคุณ หาบรรทัดที่บอกว่า

PasswordAuthentication no

บรรทัดนั้นต้องได้รับการแก้ไขให้ตอบว่าใช่แทนที่จะไม่ใช่ นอกจากนี้ให้รีสตาร์ทเซิร์ฟเวอร์ sshd หลังจากนั้น

sudo /etc/init.d/ssh restart

อาจไม่เกี่ยวข้องกับผู้โพสต์ปัจจุบัน แต่อาจช่วยเหลือผู้อื่นที่พบสิ่งนี้เมื่อค้นหาคำตอบของสถานการณ์ที่คล้ายกัน แทนที่จะปล่อยให้ Amazon สร้าง ssh keypair ฉันขอแนะนำให้อัปโหลดคีย์ ssh สาธารณะมาตรฐานของคุณเองไปที่ Amazon แล้วระบุว่าเมื่อคุณเรียกใช้อินสแตนซ์ EC2

สิ่งนี้ช่วยให้คุณวางไวยากรณ์ของประเภท "-i" ใน ssh ใช้ rsync พร้อมกับตัวเลือกมาตรฐานและให้คุณใช้คีย์ ssh เดียวกันในทุกภูมิภาค EC2

ฉันเขียนบทความเกี่ยวกับกระบวนการนี้ที่นี่:

การอัปโหลดคีย์ ssh ส่วนตัวไปที่ Amazon EC2
http://alestic.com/2010/10/ec2-ssh-keys

น่าแปลกที่ปัญหาของฉันกลับกลายเป็นว่าเซิร์ฟเวอร์เริ่มต้นใหม่แล้วและได้รับชื่อ DNS ใหม่ ฉันใช้ชื่อ DNS เก่า ฉันรู้ว่ามันฟังดูงี่เง่า แต่ฉันใช้เวลาพอจะคิดออก

หากคุณกำลังพยายามเชื่อมต่อกับโทรศัพท์ CyanogenMod ที่ใช้งาน Dropbear คุณควรเรียกใช้บรรทัดต่อไปนี้เพื่อให้แน่ใจว่าทุกอย่างได้รับอนุญาตอย่างถูกต้อง:

chmod 600 /data/dropbear/.ssh/authorized_keys

หรือ

chmod 700 /data/dropbear/.ssh/authorized_keys # In case of MacOS X 10.6-10.8

และ

chmod 755 /data/dropbear/ /data/dropbear/.ssh

มันทำให้ฉันไม่สามารถเชื่อมต่อได้

หากคุณกำลังใช้ CentOS 5 คุณอาจต้องการที่จะตั้งในStrictModes no /etc/ssh/sshd_configฉันกำลังแชร์ / โฮมไดเรกทอรีโดยใช้ NIS / NFS และฉันตั้งค่าสิทธิ์ทั้งหมดอย่างถูกต้อง แต่จะแจ้งรหัสผ่านให้ฉันเสมอ หลังจากที่ผมได้ตั้งStrictModes noปัญหาหายไป!

คำตอบของ Greg อธิบายถึงวิธีแก้ปัญหาในการถ่ายภาพให้ดีขึ้นอย่างไรก็ตามปัญหาที่แท้จริงคือคุณมีชุดคีย์ ssh ที่ด้านหนึ่งของการทำธุรกรรม (ไคลเอนต์) ซึ่งพยายามตรวจสอบกุญแจสาธารณะแทนการตรวจสอบด้วยรหัสผ่าน เนื่องจากคุณไม่มีคีย์สาธารณะที่เกี่ยวข้องในอินสแตนซ์ EC2 สิ่งนี้จะไม่ทำงาน

ฉันมีปัญหาเดียวกันและหลังจากลองวิธีการแก้ปัญหาหลายอย่างซึ่งไม่สามารถใช้งานได้ฉันเปิดพอร์ต SSH บนไฟร์วอลล์ของเราเตอร์ของฉัน (แผงควบคุมไฟร์วอลล์ของเราเตอร์ของฉันยุ่งเหยิงดังนั้นจึงยากที่จะบอกว่าเกิดอะไรขึ้น) ยังไงก็ตามมันคง :)

Super bloody น่ารำคาญที่ข้อผิดพลาดที่คุณได้รับคือ Permission Denied ซึ่งหมายความว่ามีการเชื่อมต่อบางอย่างที่ทำไปแล้ว grr

ฉันมีปัญหาเดียวกันแม้ว่าฉันควรจะทำตามขั้นตอนทั้งหมดรวมถึง

$ ec2-authorize default -p 22

อย่างไรก็ตามฉันได้เริ่มต้นอินสแตนซ์ของฉันในภูมิภาค us-west-1 ดังนั้นคำสั่งดังกล่าวควรระบุด้วย

$ ec2-authorize default -p 22 --region us-west-1

หลังจากคำสั่งนี้ฉันสามารถ ssh เป็นอินสแตนซ์ ฉันใช้เวลาซักพักก่อนที่ฉันจะรู้ปัญหาและหวังว่าโพสต์นี้จะช่วยเหลือผู้อื่น

นี่เป็นกรณีที่เกิดขึ้นได้ยาก แต่ถ้าคุณเปิดใช้งาน selinux และคุณใช้ nfs สำหรับไดเรกทอรีที่ได้รับอนุญาต (เช่นไดเรกทอรีบ้านที่ใช้ร่วมกัน) คุณจะต้องปิดการใช้งาน selinux (ไม่แนะนำสำหรับเหตุผลด้านความปลอดภัย แต่คุณสามารถปิดการใช้งานชั่วคราว เพื่อดูว่านี่เป็นสาเหตุของปัญหาหรือไม่หรืออนุญาตให้ selinux ใช้โฮมไดเร็กตอรี่ของ nfs ฉันไม่ชัดเจนเกี่ยวกับรายละเอียด แต่สิ่งนี้ใช้ได้สำหรับฉัน setsebool -P use_nfs_home_dirs 1

ฉันเพิ่งพบปัญหาเดียวกันหลังจากเพิ่มสิทธิ์การเขียนกลุ่มไปยังไดเรกทอรีบ้านของผู้ใช้โดยไม่ตั้งใจ

ผมค้นพบนี้เป็นสาเหตุโดยการรันบนเครื่องและเห็นข้อผิดพลาดtail -f /var/log/secureAuthentication refused: bad ownership or modes for directory /home/<username>