SSH에 대한 암호 인증 비활성화

127

여기에 언급 된대로 SSH 클라이언트가 암호 프롬프트에 액세스하지 못하도록하는 방법을 찾고 있습니다 .

루트 로그인password: 프롬프트 를 비활성화 할 수 없습니다 . 나는 변경했습니다sshd_config읽을 파일을 .

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

권한도 변경했습니다. chmod 700 ~/.ssh 및 chmod 600 ~/.ssh/authorized_keys. 내가 무엇을 놓치고 있습니까? 암호가 필요합니까?

상세 덤프 :

debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/user/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/user/.ssh/id_dsa
debug1: Trying private key: /home/user/.ssh/id_ecdsa
debug1: Next authentication method: password

/ etc / ssh / sshd_config 파일 :

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile    %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no

ubuntu ssh

— 매트 스톡스
소스

ssh -v user @ server는 문제 해결에 도움이되는 자세한 출력을 가져옵니다.

— Niall Byrne 2014 년

모두 ssh_config와 sshd_config이 PasswordAuthentication- 숙박 날카로운!

— Brent Bradburn

199

파일에서 /etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

두 번째 줄의 주석 처리를 제거하고 필요한 경우 yes를 no로 변경합니다.

그런 다음 실행

service ssh restart

— Kimvais
소스

7

많은 가이드는 서버에서 ChallengeResponseAuthentication, PasswordAuthentication, UsePAM을 yes에서 no로 변경할 것을 제안합니다. Debian / Ubuntu에서 성공적으로 테스트했습니다.

9

참고로, 서비스를 다시 시작하는 체계적인 방법은 다음과 같습니다. systemctl restart sshd이것은 최신 Ubuntu에서 기본값입니다.

— therealjumbo

암호 인증이 비활성화 된 상태에서 새 키를 서버에 추가하려면 어떻게합니까? 누군가가 키를 추가하려고 할 때마다 암호 인증을 설정하지 않고도이 작업을 수행 할 수있는 방법이 있습니다.

— Matthew

1

@Matthew 아마도 사용ssh-copy-id

— iamyojimbo

@iamyojimbo이지만 해당 명령으로 연결하고 보낼 수 있으려면 인증 된 키가 여전히 필요합니다.

— Matthew

16

운영

service ssh restart

대신에

/etc/init.d/ssh restart

이것은 작동 할 수 있습니다.

— 나카니시 사토시
소스

이것은 나를 위해 일했습니다. init.d를 사용하지 않은 이유가 있습니까?

— Seb

1

당신의 리눅스 풍미에 따라 다릅니다. 젠투에서는 둘 다 저를 위해 일합니다.

— Gene Pavlovsky

15

이 작업을 자동으로 수행하는 스크립트는 다음과 같습니다.

# Only allow key based logins
sed -n 'H;${x;s/\#PasswordAuthentication yes/PasswordAuthentication no/;p;}' /etc/ssh/sshd_config > tmp_sshd_config
cat tmp_sshd_config > /etc/ssh/sshd_config
rm tmp_sshd_config

— JasonS
소스

3

이 단계를 따랐습니다 (Mac 용).

에서 /etc/ssh/sshd_config변경

#ChallengeResponseAuthentication yes
#PasswordAuthentication yes

에

ChallengeResponseAuthentication no
PasswordAuthentication no

이제 RSA 키를 생성하십시오.

ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa

(저에게는 RSA 키가 작동했습니다. DSA 키가 작동하지 않았습니다.)

(공개 키) ~/.ssh/id_rsa와 함께 개인 키가 생성됩니다 ~/.ssh/id_rsa.pub.

이제 .ssh 폴더 로 이동하십시오 .cd ~/.ssh

Enter rm -rf authorized_keys(때로는 여러 키로 인해 오류가 발생 함).

시작하다 vi authorized_keys

:wq이 빈 파일을 저장하려면 입력하세요.

시작하다 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

SSH를 다시 시작하십시오.

sudo launchctl stop com.openssh.sshd
sudo launchctl start com.openssh.sshd

— 아난드 프라 카쉬
소스

touch빈 파일을 만드는 데 사용할 수 없습니까 authorized_keys?

— Peter Mortensen

-8

이것은 내가 가진 튜토리얼에서 가져온 것입니다.

컴퓨터에서 루트로 :

ssh-keygen -t rsa

그리고 암호는 비워 둡니다.

로컬 컴퓨터에서 (암호를 입력해야 함) :

ssh root@remotemachine mkdir -p .ssh

그때:

cat .ssh/id_rsa.pub | ssh root@remotemachine 'cat >> .ssh/authorized_keys'

이제 비밀번호 프롬프트없이 로그인 할 수 있습니다.

ssh root@remotemachine

문제가 있으면 암호없이 SSH 로그인을 참조하십시오 !

— 파브리 지오 마조니
소스

2

모든 상황에서 비밀번호 프롬프트가 표시되지 않도록 차단하려고합니다. SSH 키를 통해서만 강제 로그인

— Matt Stokes

그렇게해야합니다. 암호를 묻지 않고 특정 클라이언트에서 직접 열립니다.

— Fabrizio Mazzoni 2014 년

1

예, 그러나 이것은 암호를 시도 할 권한이없는 클라이언트도 허용하지 않습니까?

— Matt Stokes

다음을 변경하십시오. ChallengeResponseAuthentication no, PasswordAuthentication no, UsePAM no 키 인증 만 허용합니다. 그냥 내 시스템에서 테스트과 함께 거부합니다 : 권한이 (공개 키) 거부

— 파브리 지오 오신 마조니를

1

당신이 게시 된 파일이 실제 구성 인 경우 당신은 한 PasswordAuthentication에게 어떤 부분을 주석 처리하지 않은

— 파브리 지오 오신 마조니