ssh доступ по ключу

0

1

Всем привет.

Я пробую настроить доступ только по ключу к серверу по ssh, с работой ключей вопросов нет, все создал и настроил, а вот на этапе отключения входа по паролю что-то не так.

Добавил запись PasswordAuthentication no и теперь мой конфиг выглядит вот так:

Host *

GSSAPIAuthentication yes

PasswordAuthentication no

ForwardX11Trusted yes

SendEnv LANG LANGUAGE LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES 
SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT 
SendEnv LC_IDENTIFICATION LC_ALL

и после service sshd restart, я все равно имею возможность подключиться по логину и паролю, в чем тут загвоздка?

Ссылка

←	Samba security = ads. Как открыть доступ не членам домена

Подмена адреса источника в SIP пакетах

→

Ты правил конфиг /etc/ssh/sshd_config?

Sahas ★★★★☆
(12.10.20 10:49:27 MSK)

Смотри логи. У тебя по конфигу получается вообще нет никаких способов доступа по ssh. Для разрешения доступа по ключу должно быть (пишу по памяти) PubkeyAuthentication yes.

anonymous
(12.10.20 10:51:03 MSK)

Ответ на: комментарий от Sahas 12.10.20 10:49:27 MSK

Да я написал что добавил строку PasswordAuthentication no

В общем весь конфиг написан вверху, и перезагрузку sshd после добавления строки я тоже сделал

supp0rtmail2019
(12.10.20 10:56:33 MSK) автор топика
Последнее исправление: supp0rtmail2019 12.10.20 11:00:20 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от anonymous 12.10.20 10:51:03 MSK

У меня по дефолту походу включен доступ, так как без этой записи все прекрасно по ключу подключается, в логах:

Accepted publickey for root from 192.168.0.44 port 49222 ssh2

supp0rtmail2019
(12.10.20 10:58:26 MSK) автор топика

Ссылка

GSSAPIAuthentication yes

А разве вот эта вот настройка не включает авторизацию через Kerberos по логину и паролю?

Плюс, в fedora, например, еще дополнительные файлы конфигурации, которые инклюдятся в конце, где по умолчанию стоит PasswordAthentication yes. Точный путь не подскажу, т.к. нет федоры под рукой.

Khnazile ★★★★★
(12.10.20 11:00:18 MSK)

Ответ на: комментарий от Khnazile 12.10.20 11:00:18 MSK

тоесть по сути достаточно будет убрать строку GSSAPIAuthentication yes и оставив при этом PasswordAthentication no и все заработает? я на centos.

пробовал закомментировать GSSAPIAuthentication yes, результата нет.

supp0rtmail2019
(12.10.20 11:05:12 MSK) автор топика
Последнее исправление: supp0rtmail2019 12.10.20 11:11:57 MSK (всего исправлений: 1)

Ответ на: комментарий от supp0rtmail2019 12.10.20 11:05:12 MSK

А у тебя gssapi вообще настроен? Это будет работать, только в случае, если авторизация через домен в принципе работоспособна.
Остается второй вариант: авторизация по паролю разрешена где-то еще.

Khnazile ★★★★★
(12.10.20 11:18:52 MSK)

Ссылка

KbdInteractiveAuthentication тоже отключи. И ChallengeResponseAuthentication заодно.

unicorne ★
(12.10.20 11:24:34 MSK)
Последнее исправление: unicorne 12.10.20 11:25:47 MSK (всего исправлений: 1)

Ответ на: комментарий от unicorne 12.10.20 11:24:34 MSK

просто добавив в конфиг:

KbdInteractiveAuthentication no и ChallengeResponseAuthentication no?

supp0rtmail2019
(12.10.20 11:32:48 MSK) автор топика

Ответ на: комментарий от supp0rtmail2019 12.10.20 11:32:48 MSK

Именно.

unicorne ★
(12.10.20 11:34:01 MSK)

Ссылка

Всем спасибо, я тут уже намудрил, все сработало с PasswordAuthentication no с первого раза, просто я пихал его в ssh.config а надо было в sshd.config

supp0rtmail2019
(12.10.20 11:56:59 MSK) автор топика

Ответ на: комментарий от supp0rtmail2019 12.10.20 11:56:59 MSK

ага, я тебе в первом сообщении про это писал :)

Sahas ★★★★☆
(12.10.20 13:23:16 MSK)

Ответ на: комментарий от Sahas 12.10.20 13:23:16 MSK

Да, действительно…)

supp0rtmail2019
(13.10.20 08:21:39 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Samba security = ads. Как открыть доступ не членам домена

Admin

Подмена адреса источника в SIP пакетах

→

Похожие темы