Чому мені під час спроби передавати SSH з локального Ubuntu на сервер Amazon EC2?

У мене є екземпляр програми, запущеної в хмарі в екземплярі Amazon EC2, і мені потрібно підключити її до мого локального Ubuntu. Він чудово працює на одному з локальних ubuntu, а також на ноутбуці. Під час спроби отримати доступ до SSH до EC2 на іншій локальній Ubuntu мені надійшло повідомлення "Відмовлено у дозволі (publickey)". Мені це так дивно.

Я думаю, що деякі проблеми з налаштуваннями безпеки на Amazon EC2, які мають обмежений доступ до IP-адреси до одного примірника або сертифікату, можливо, потребують відновлення.

Хтось знає рішення?

Перше, що потрібно зробити в цій ситуації, - це скористатися -vпараметром ssh, щоб ви могли бачити, які типи перевірки автентичності і який результат. Чи допомагає це прояснити ситуацію?

У своєму оновленні до свого питання ви згадуєте "про інший локальний Ubuntu". Ви скопіювали приватний ключ ssh на іншу машину?

Як явно не було зазначено, sshd за замовчуванням дуже суворий щодо дозволів на authorized_keysфайли. Отже, якщо authorized_keysвін може бути призначений для запису для когось, крім користувача, або його може зробити хтось, хто не є користувачем, він відмовиться від автентифікації (якщо не налаштовано sshd StrictModes no)

Що я маю на увазі під "можна зробити доступним для запису", це те, що якщо будь-який з батьківських каталогів є доступним для запису для когось, крім користувача, користувачі, дозволені змінювати ці каталоги, можуть почати змінювати дозволи таким чином, щоб вони могли змінювати / замінювати дозволені_кейси.

Крім того, якщо /home/username/.sshкаталог не належить користувачеві, і, таким чином, у користувача немає дозволу на читання ключа, ви можете зіткнутися з проблемами:

drwxr-xr-x 7 jane jane 4096 Jan 22 02:10 /home/jane
drwx------ 2 root root 4096 Jan 22 03:28 /home/jane/.ssh

Зауважте, що jane не має власного .sshфайлу. Виправте це через

chown -R jane:jane /home/jane/.ssh

Такі види дозволів файлової системи не відображатимуться ssh -v, і вони навіть не відображатимуться в журналах sshd (!), Поки ви не встановите рівень журналу DEBUG.

• Редагувати /etc/ssh/sshd_config. Ви хочете, щоб рядок, який читається LogLevel DEBUGтам десь. Перезавантажте SSH-сервер за допомогою механізму, який надає дистрибутив. ( service sshd reloadна RHEL / CentOS / Scientific.) Витончене перезавантаження не скасує існуючі сеанси.
• Спробуйте ще раз підтвердити автентифікацію.
• Опрацюйте, куди ходять ваші авторизовані журнали, і прочитайте їх. (IIRC, /var/log/auth.logна базі Debian дистрибутивів; /var/log/secureна RHEL / CentOS / Наук.)

Набагато простіше розібратися, що сталося не так з виходом налагодження, який включає помилки дозволу файлової системи. Не забудьте повернути зміни до /etc/ssh/sshd_configзавершення!

Я отримав цю помилку, оскільки забув додати -lваріант. Моє локальне ім’я користувача не було таким, як у віддаленій системі.

Це не відповідає на ваше запитання, але я прийшов сюди шукати відповідь на свою проблему.

Я отримав це повідомлення в новому екземплярі на базі Ubuntu AMI. Я використовував опцію -i для надання PEM, але він все ще показував "Дозвіл відхилено (publickey)".

Моя проблема полягала в тому, що я не використовував правильного користувача. Запустивши ssh з ubuntu @ ec2 ... він працював як нормально.

Щось легше читати, ніж ssh -v(на мою думку, звичайно), є tail -f /var/log/auth.log. Це потрібно запустити на сервері, до якого ви намагаєтесь підключитися, намагаючись підключитися. Він покаже помилки в простому тексті.

Це допомогло мені вирішити мою проблему:

Користувача [ім'я користувача] з xx.yy.com заборонено, оскільки жодна з груп користувачів не вказана у AllowGroups

Перевірте свій файл / etc / ssh / sshd_config . Там знайдіть рядок, який говорить

PasswordAuthentication no

Цей рядок потрібно змінити, щоб сказати так, а не ні. Після цього перезавантажте sshd-сервер.

sudo /etc/init.d/ssh restart

Можливо, не стосується поточного афіші, але може допомогти іншим, хто це знайде, шукаючи відповіді в подібних ситуаціях. Замість того, щоб дозволити Amazon генерувати ключ ssh, я рекомендую завантажувати свій власний, стандартний, загальнодоступний ключ ssh до Amazon та уточнювати це, коли ви запускаєте екземпляр EC2.

Це дозволяє скидати синтаксис типу "-i" в ssh, використовувати rsync зі стандартними параметрами, а також дозволяє використовувати один і той же ключ ssh у всіх регіонах EC2.

Статтю про цей процес я написав тут:

Завантаження персональних ключів ssh на Amazon EC2
http://alestic.com/2010/10/ec2-ssh-keys

Як не дивно, моя проблема виявилася в тому, що сервер був перезапущений і йому було видано нове ім'я DNS. Я використовував старе ім’я DNS. Я знаю, що це звучить нерозумно, але мені знадобилося певний час, щоб зрозуміти це.

Якщо ви намагаєтесь підключитися до телефону CyanogenMod під керуванням Dropbear, слід запустити наступні рядки, щоб переконатися, що все в порядку має право:

chmod 600 /data/dropbear/.ssh/authorized_keys

або

chmod 700 /data/dropbear/.ssh/authorized_keys # In case of MacOS X 10.6-10.8

і

chmod 755 /data/dropbear/ /data/dropbear/.ssh

Це зафіксувало це для мене, інакше нічого не можна підключити.

Якщо ви використовуєте CentOS 5, ви можете встановити StrictModes noв /etc/ssh/sshd_config. Я спільно використовую / домашній каталог за допомогою NIS / NFS, і всі права доступу я встановив правильно, але це завжди підказувало мені пароль. Після того, як я встановив StrictModes no, проблема зникла!

Відповідь Грега пояснює, як усунути проблеми краще, проте актуальною проблемою є те, що у вас встановлений ключ ssh на одній стороні транзакції (клієнт), який намагається встановити автентифікацію відкритого ключа, а не автентифікацію на основі пароля. Оскільки у вас немає відповідного відкритого ключа в екземплярі EC2, це не працюватиме.

У мене була така ж проблема, і після спробу багатьох рішень, які не спрацювали, я відкрив порт SSH на брандмауері мого маршрутизатора (панель управління брандмауером маршрутизатора - безлад, тому важко сказати, що відбувається). Все одно, що це виправили :)

Супер криваво дратує те, що ви отримуєте помилку, це дозволено відхилено, маючи на увазі, що було зроблено якесь з'єднання, грр.

У мене була така ж проблема, хоча я нібито виконував усі кроки, в тому числі

$ ec2-authorize default -p 22

Однак я розпочав свою інстанцію в регіоні us-west-1. Отже, вищевказана команда також повинна вказати це.

$ ec2-authorize default -p 22 --region us-west-1

Після цієї команди я зміг ssh в екземпляр. Я витратив трохи часу, перш ніж зрозумів проблему і сподіваюся, що ця публікація допомагає іншим.

Це рідкісний випадок, але якщо у вас увімкнено selinux і ви використовуєте nfs для каталогу з дозволеними_керами (наприклад, спільні домашні каталоги), вам потрібно буде відключити selinux (не рекомендується з міркувань безпеки, але ви можете тимчасово відключити його щоб побачити, чи це спричиняє проблему) або дозволити selinux використовувати домашні каталоги nfs. Мені не ясно в деталях, але це працювало для мене setsebool -P use_nfs_home_dirs 1

Я щойно випробував цю проблему після ненавмисного додавання дозволів на групове записування до домашнього каталогу користувачів.

Я виявив, що це було причиною, побігши tail -f /var/log/secureна машині і побачивши помилку Authentication refused: bad ownership or modes for directory /home/<username>.