ฉันจะบังคับ SSH ให้อนุญาตเฉพาะผู้ใช้ที่มีกุญแจเข้าสู่ระบบได้อย่างไร


73

ฉันลองทำตามคำแนะนำที่นี่: http://lani78.wordpress.com/2008/08/08/generate-a-ssh-key-and-disable-password-authentication-on-ubuntu-server/

เพื่ออนุญาตให้ผู้ใช้ที่มีพับลิกคีย์บนเซิร์ฟเวอร์ตรวจสอบสิทธิ์ แต่ฉันไม่สามารถรับ SSH เพื่อไม่อนุญาตให้ลงชื่อเข้าใช้ด้วยชื่อผู้ใช้ / รหัสผ่านเท่านั้น

นี่คือไฟล์ sshd_config ของฉัน - ฉันไม่มีอะไรเลยหรือ ฉันลองรีสตาร์ท SSH และคอมพิวเตอร์แล้ว

# Package generated configuration file
# See the sshd_config(5) manpage for details


# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes


# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768


# Logging
SyslogFacility AUTH
LogLevel INFO


# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes


RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile        %h/.ssh/authorized_keys


# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes


# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no


# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no


# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no


# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes


# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes


X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no


#MaxStartups 10:30:60
#Banner /etc/issue.net


# Allow client to pass locale environment variables
AcceptEnv LANG LC_*


Subsystem sftp /usr/lib/openssh/sftp-server


# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no

1
FYI: จริงๆแล้วการเริ่มระบบ sshd นั้นไม่จำเป็นจริงๆ คำสั่ง/etc/inid.d/ssh reloadควรเพียงพอ
Oliv

อย่าลืมยกเลิกการใส่เครื่องหมาย #AuthorizedKeysFile และเพื่อคัดลอกกุญแจสาธารณะไปที่ ~ / .ssh / authorized_keys (และรีสตาร์ท) หากปราศจากสิ่งนี้มันจะไม่ทำงาน
ivanleoncz

หากไม่เป็นจริงในปี 2559 เป็นกรณีในปี 2562 ซึ่งจำเป็นต้องรีสตาร์ท การโหลดซ้ำไม่เพียงพอ
KDN

คำตอบ:


98

โดยค่าเริ่มต้นPasswordAuthenticationมีการตั้งค่าใช่/etc/ssh/sshd_configแม้ว่าคุณจะแสดงความคิดเห็นมันออกมาใน

คุณจะต้องตั้งค่าPasswordAuthentication noให้อนุญาตการตรวจสอบคีย์สาธารณะเท่านั้น

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

NOTE (man sshd_config): PasswordAuthentication ระบุว่าจะอนุญาตการพิสูจน์ตัวตนด้วยรหัสผ่านหรือไม่ ค่าเริ่มต้นคือใช่

และรีสตาร์ท sshd service ssh restart(ก่อนการโยกย้าย systemd) systemctl restart sshd.serviceหรือ


6
นอกจากนี้เราควรมีUsePAM no
Konstantinos

@pidosaurus ทำไม มันดีสำหรับอะไร?
jan-glx

1
@YAK ฉันชอบทำสิ่งต่าง ๆ ให้เรียบง่ายและฉันไม่ต้องการใช้ PAM แต่บางคนสามารถใช้การพิสูจน์ตัวตน PAM ที่กำหนดค่าไว้อย่างถูกต้อง ฉันคิดว่าลิงค์นี้กำลังตรัสรู้: arlimus.github.io/articles/usepam
Konstantinos

1
ยังพิจารณาการปิดการใช้งาน ChallengeResponseAuthentication ดูsuperuser.com/a/374234/2879
cic

13

ตามหน้าวิกินี้เกี่ยวกับคีย์ SSH และคำตอบนี้คุณต้องเปลี่ยนสองบรรทัดในsshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no

1
บรรทัดที่สองเกี่ยวกับการตอบสนองต่อความท้าทายมีความแตกต่างกันอย่างไร
Ryan Burnette

1
"ไม่ได้ให้" การรักษาความปลอดภัยเพิ่มเติม "ต่อ se คำว่า" ChallengeResponseAuthentication "เป็นเพียงคำหลักการกำหนดค่า OpenSSH มันหมายถึงวิธีการใช้ userauth" แป้นพิมพ์แบบโต้ตอบ "ในโปรโตคอล SSH
pzkpfw

4

ใน/etc/ssh/sshd_configการตั้งค่าด้านล่างทำงานสำหรับฉัน:

PasswordAuthentication no
UsePAM no

ในที่สุดรีสตาร์ทsshddaemon


3

บรรทัดที่คุณต้องการจะถูกใส่เครื่องหมายผิดปกติในไฟล์ sshd_config

# Change to no to disable tunnelled clear text passwords
--->#PasswordAuthentication yes

เพื่อปิดการใช้รหัสผ่านที่เปลี่ยนyesไปnoและลบความคิดเห็น :

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

1

จากhttps://www.ssh.com/ssh/copy-id#sec-How-ssh-copy-id-works : โดยทั่วไปโฮมไดเรกทอรีของผู้ใช้หรือไฟล์หรือไดเรกทอรีใด ๆ ที่มีไฟล์คีย์ไม่สามารถเขียนได้โดยบุคคลอื่น . มิฉะนั้นคนอื่นสามารถเพิ่มคีย์ผู้มีอำนาจใหม่สำหรับผู้ใช้และเข้าถึง บุคคลอื่นไม่ควรอ่านไฟล์กุญแจส่วนตัว

ลองsudo chmod go-rwx /home/username/เปลี่ยนusernameตามความเหมาะสม

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.