ssh nunca pede uma senha

14

De alguma forma, meu SSH nunca quer me pedir uma senha.

Então, configurei um VPS em algum servidor aleatório em algum lugar do mundo e quero conectar-me a ele com o ssh.

Eu posso configurar uma chave, mas quando faço isso:

ssh -l some-user IP

Eu recebo o erro:

Received disconnect from ##.##.##.##: 2: Too many authentication failures for some-user

Quando olho para os detalhes, vejo que a senha é uma das opções:

debug1: Offering RSA public key: some-user@computer
debug1: Authentications that can continue: publickey,password

No entanto, o SSH nunca me pede a senha. Ele tenta 5 vezes com o que suspeito ser o método publickey e falha. Por que o ssh não tenta com a senha ?!

Apenas no caso, meu arquivo ssh_config possui:

PasswordAuthentication yes

Registro completo

ssh -v -l root ##.##.##.##
OpenSSH_6.1p1 Debian-4, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /home/someuser/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to ##.##.##.## [##.##.##.##] port 22.
debug1: Connection established.
debug1: identity file /home/someuser/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/someuser/.ssh/id_rsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_dsa type -1
debug1: identity file /home/someuser/.ssh/id_dsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.2p2 Ubuntu-6
debug1: match: OpenSSH_6.2p2 Ubuntu-6 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1p1 Debian-4
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA XX:XX:...:XX:XX
debug1: Host '##.##.##.##' is known and matches the ECDSA host key.
debug1: Found key in /home/someuser/.ssh/known_hosts:38
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/someuser/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering DSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
Received disconnect from ##.##.##.##: 2: Too many authentication failures for root
ssh password Alexis Wilke
fonte

Respostas:

17

Tente fazer login com a autenticação de chave pública desabilitada, usando 

ssh -o PubkeyAuthentication=no root@newserver
Klaus-Dieter Warzecha
fonte
OK! Isso funcionou! Eu tentei o "oposto" sem sucesso ... (ie -o PasswordAuthentication=yes). Mas é isso que eu estava procurando.
Alexis Wilke
3
@AlexisWilke, estou feliz que funcione! Mas, por favor, leia também a resposta de Olli. Ele definitivamente está certo de que ainda há algo errado com o seu .ssh/config. O -o PubkeyAuthentication=nonão é bom como uma solução permanente.
Klaus-Dieter Warzecha
Esse truque (-o PubkeyAuthentication = no) funcionou bem em uma máquina com vários arquivos de identidade.
Valerio Schiavoni
17

Provavelmente você tem mais de uma identityfilelinha no seu .ssh/configarquivo.

Mesmo se você tiver identityfileuma hostconfiguração, ela será aplicada globalmente. O que isso significa é que sshtenta todos os arquivos de identidade (ou seja, chave pública) em todos os hosts, antes de solicitar uma solicitação de senha ao servidor.

Você pode corrigir isso

  1. Removendo todas as identityfilelinhas, exceto uma , ou
  2. Adicionando PubkeyAuthentication noa .ssh/config, ou
  3. Executando ssh com o -o PubkeyAuthentication=noparâmetro

De man 5 ssh_config:

PubkeyAuthentication
    Specifies whether to try public key authentication.  The argument to this
    keyword must be “yes” or “no”.  The default is “yes”.  This option applies 
    to protocol version 2 only.

IdentityFile
    ...
    It is possible to have multiple identity files specified in configuration
    files; all these identities will be tried in sequence.  Multiple 
    IdentityFile directives will add to the list of identities tried (this 
    behaviour differs from that of other configuration directives).

Algumas instruções gerais com chaves públicas:

  1. Em geral, você deve ter apenas uma chave privada por cliente (estação de trabalho) e colocar a chave pública correspondente a todos os servidores aos quais o cliente deve ter acesso. Em outras palavras, compartilhe a chave pública entre os servidores e nunca use a mesma chave privada em vários dispositivos.
  2. Sempre gere um par de chaves no seu dispositivo e transmita apenas a chave pública. Dessa forma, mesmo se o servidor estiver comprometido, sua chave privada ainda estará segura. Isso pode acontecer de maneiras surpreendentes - por exemplo, através de backups.
  3. Se alguém administrar o servidor, você deve fornecer uma chave pública para eles; eles não devem gerar par de chaves e enviar chave privada para você. Dessa forma, eles não podem se passar por sua chave (é claro, geralmente eles podem fazer o que quiserem). Além disso, com chave pública, somente a integridade (ou seja, alguém não alterou a chave pública) deve ser protegida; com chave privada, a confidencialidade (isto é, ninguém mais obteve a chave) deve ser conservada e não é possível ter certeza absoluta de que não foi comprometida.
  4. O comprometimento de um servidor não compromete outros servidores, mesmo se você usar a mesma chave privada para conectar-se a vários servidores (exceto se você tiver transmitido essa chave privada ao servidor. Nunca faça isso.)
  5. Comprometer sua estação de trabalho exporá suas chaves privadas de qualquer maneira. Ter várias chaves privadas não ajuda nisso (exceto se você tiver senhas fortes e diferentes e nem todas estiverem disponíveis para o invasor).

Existem algumas exceções, mas não muitas.

Olli
fonte
2
Aaah! Eu tenho "muitos" arquivos de identificação e ele verifica com 5 deles e para. Entendi! Isso explica tudo. Acho que eu deveria mover todos aqueles em uma sub-pasta para que maneira eles não seriam encontrados automaticamente e o recurso de senha iria funcionar automaticamente de novo ...
Alexis Wilke
3
Se possível, você deve / poderia usar apenas uma chave pública única para cada serviço necessário. Muito raramente, há uma razão para fazê-lo de qualquer outra maneira. Se alguém roubar sua chave pública (conteúdo de authorized_keys), ela não poderá fazer nada com ela. E se todas as suas chaves privadas ( id_rsa/ id_dsa) estiverem no mesmo computador, usar mais de uma não importa.
Olli
4

Seu ssh local não deve estar solicitando uma senha, o servidor ssh do outro lado deve. É provável que o servidor esteja configurado para não aceitar autenticação de senha. A minha também não solicitaria uma senha.

Marc
fonte
1
O outro servidor é um servidor totalmente novo e eles dizem para você fazer exatamente isso. Além disso, meu parceiro não pode entrar! Algo suspeito no meu computador que o impede de testar a senha ... Na verdade, se você olhar para os logs, a autenticação autorizada inclui "senha". Portanto, meu cliente local do ssh DEVE me pedir a senha, mas decide ignorá-la.
Alexis Wilke
É mais fácil perceber por que o servidor não solicitará uma senha do que ver por que seu cliente não apresentará essa opção se o servidor a oferecer. Existem muitas opções de configuração no final e poucas no seu. É possível que alguém com seu endereço IP tenha tentado fazer login muitas vezes sem a senha correta, e tentativas futuras do seu IP foram desativadas. Atire, acabei de ler a resposta de Olli. É isso aí.
Marc