Vai jūsu publiskās SSH atslēgas jums rada grūtības? Izmēģiniet kādu no šiem risinājumiem.
SSH ir noderīgs rīks savienojuma izveidei ar attālām iekārtām, taču var tikt parādīta kļūda “Atļauja liegta (publiskā atslēga)”, kas saistīta ar jūsu publisko atslēgu operētājsistēmā Linux. Par laimi, ir daži vienkārši labojumi, kurus varat mēģināt novērst.
Kas ir publiskā atslēga?
Kad ģenerējat atslēgu pāri SSH operētājsistēmā Linux, jums tiks piešķirta publiskā un privātā atslēga. Privātā atslēga paliks pie jums kā cieši apsargāts noslēpums, bet publiskā atslēga tiks pārsūtīta uz attāliem serveriem, lai jūs varētu pieteikties bez paroles. Kad izveidosit savienojumu, jūsu vietējais SSH klients saskaņos publisko atslēgu ar privāto atslēgu.
Šīs metodes priekšrocība ir tāda, ka jums ir jāizsniedz tikai publiskā atslēga. Kamēr jūs saglabājat savu privāto atslēgu privātu, tas nodrošinās jums drošību, ja jūsu publiskā atslēga tiek apdraudēta. Publiskā atslēga pati par sevi būs bezjēdzīga.
OpenSSH, visplašāk izmantotais SSH klients un serveris atvērtā pirmkoda pasaulē, pieprasa failu, kas satur jebkuru publiskās atslēgas attālajā datorā (.ssh/authorized_keys jūsu mājas direktorijā), lai iegūtu noteiktas atļaujas. Tas nedarbosies, ja rakstīšanas atļaujas ir iestatītas citiem lietotājiem, kas ir pazīstams kā "rakstāms visā pasaulē". Tā kā direktorija nosaukums sākas ar punktu (.), tas netiks rādīts nevienā ls sarakstā, ja vien neizmantosiet komandu
ls -A.Atļaujas var mainīties, ja fails ir pārkopēts no cita datora vai jūs pats to izveidojāt. Par laimi, to ir viegli salabot.
Pārbaudiet savas publiskās atslēgas atļaujas
Fails authorised_keys ir vienkārši vienkārša teksta fails, kurā ir visas publiskās atslēgas no klientiem, kuriem vēlaties pieteikties savā kontā attālajā datorā. Lai skatītu tās atļaujas, izmantojiet komandu ls ar opciju -l:
ls -l ~/.ssh/authorized_keys
Tiks parādīti īpašnieka, grupas un citu lietotāju atļauju iestatījumi. Pievērsiet uzmanību pēdējiem sešiem burtiem virknē. Ja tajos redzat “w”, tas nozīmē, ka grupa vai citi var tai rakstīt, padarot to nedrošu.
Jūs vēlaties, lai šo failu varētu rakstīt jūs, bet ne grupa vai citi. Lai nodrošinātu piekļuvi pareizajiem lietotājiem, jūs varat mainīt atļaujas ar chmod.
Ir divi veidi: skaitliski un simboliski.
Ciparu veids ir īsāks, taču jums ir jāiegaumē oktālie atļauju numuri:
chmod 700 ~/.ssh/authorized_keys
Simboliskā metode ir vairāk mnemoniska:
chmod go-w ~/.ssh/authorized_keysDroši kopējiet atslēgas, izmantojot ssh-agent
Varat manuāli kopēt un ielīmēt visas publiskās atslēgas no savas ierīces ~/.ssh/.authorized_keys failu, taču, izmantojot programmu ssh-agent, samazināsies atļauju kļūdu iespējamība.
Lai palaistu ssh-agent, izmantojiet šo komandu:
eval "$(ssh-agent-s)"
Lai pieteiktos attālajā serverī, izmantojot ssh-agent, izmantojiet opciju -A ar ssh
ssh -A [email protected]Pārbaudiet attālā servera sshd iestatījumus
Ja kāds no šiem centieniem neizdodas, iespējams, jums būs jāveic dažas konfigurācijas izmaiņas sshd serverī attālajā datorā, ja jums ir root piekļuve. Ja nē, visticamāk, jums būs jāsazinās ar sistēmas administratoru, lai palīdzētu atrisināt visas SSH savienojuma problēmas. Šī ir pēdējā iespēja, jo tā var padarīt jūsu sistēmu mazāk drošu.
Sistēmas mēroga konfigurācijas fails sshd ir /etc/ssh/sshd_config. Tā kā tas pieder root, jums būs jāizmanto sudo, lai to rediģētu. Piemēram, lai to rediģētu ar Vim:
sudo vim /etc/ssh/sshd_configLai iespējotu sshd, lai jūs varētu pieteikties pat tad, ja jūsu authorised_keys fails ir rakstāms visā pasaulē, šajā failā iestatiet opcijai "StrictModes" uz "nē".
Saglabājiet to un restartējiet SSH serveri:
sudo systemctl restart sshd.service
Tagad varat labot SSH publiskās atslēgas atļauju kļūdas
Attālās sistēmās var rasties kļūdas saistībā ar SSH publiskajām atslēgām. Par laimi, lielāko daļu laika atliek tikai pārbaudīt un iestatīt faila atļaujas, lai neviens cits neredzētu jūsu atslēgu. Varat arī izmantot ssh-agent uzticamākiem savienojumiem. Kā pēdējo līdzekli varat padarīt SSH serveri mazāk stingru.