ฉันพบข้อผิดพลาดขณะพยายามเชื่อมต่อผ่าน SSH กับเซิร์ฟเวอร์สำหรับผู้ใช้รายหนึ่ง โฮมไดเร็กทอรีของผู้ใช้นี้อยู่ใน /opt โดยมีไดเร็กทอรี .ssh (สิทธิ์: 700) และไฟล์ที่ได้รับอนุญาตซึ่งมีคีย์สาธารณะ มันทำงานร่วมกับผู้ใช้รายอื่นซึ่งโฮมไดเร็กทอรีอยู่ใน /home โดยใช้คีย์ rsa เดียวกันกับที่ฉันสามารถเชื่อมต่อได้ในฐานะผู้ใช้รายอื่น ใน /var/log/secure ฉันได้รับ:
8 เมษายน 14:48:22 myserver sshd[338949]: pam_sss(sshd:account): การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ myuser: 6 (ปฏิเสธการอนุญาต)
8 เมษายน 14:48:22 myserver sshd[338949]: ร้ายแรง: การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ myuser โดยการกำหนดค่าบัญชี PAM [preauth]
ใช้ ssh -vvv บรรทัดสุดท้ายคือ:
debug1: เซิร์ฟเวอร์ยอมรับคีย์: pkalg rsa-sha2-512 blen 535
debug2: input_userauth_pk_ok: fp SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
debug3: sign_and_send_pubkey: RSA SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
debug3: ส่งแพ็คเก็ต: ประเภท 50
รับรองความถูกต้องล้มเหลว.
ถ้าฉันเชื่อมต่อกับเซิร์ฟเวอร์นี้ในฐานะผู้ใช้รายอื่นโดยใช้คีย์เดียวกัน ความแตกต่างเพียงอย่างเดียวที่ฉันเห็นคือโฮมไดเร็กทอรีอยู่ใน /opt แทนที่จะเป็น /home และผู้ใช้รายนี้มีเครื่องหมายขีดล่างในชื่อล็อกอิน คุณเคยเจอเหตุการณ์แบบนี้ไหม ?
[แก้ไข] ข้อมูลเพิ่มเติม :
SELinux ถูกปิดใช้งาน
[root@myserver ~]# รับแรง
พิการ
[myuser@myserver ~]$ ls -la /opt/myuser/
drwx------ 2 myuser myuser 80 8 เม.ย. 14:46 น
[myuser@myserver ~]# ls -l /opt/myuser/.ssh/authorized_keys
-rw------- 1 myuser myuser 1131 8 เม.ย. 14:46 /opt/myuser/.ssh/authorized_keys
[root@myserver ~]# namei -l /opt/myuser/.ssh/authorized_keys
f: /opt/myuser/.ssh/authorized_keys
ราก dr-xr-xr-x ราก /
drwxr-xr-x การเลือกใช้รูทรูท
drwx------ myuser myuser myuser
drwx------ myuser myuser .ssh
-rw------- myuser myuser ที่ได้รับอนุญาต_keys
[root@myserver ~]# grep -v ^# /etc/ssh/sshd_config
โฮสต์คีย์ /etc/ssh/ssh_host_rsa_key
โฮสต์คีย์ /etc/ssh/ssh_host_ecdsa_key
โฮสต์คีย์ /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTHPRIV
PermitRootเข้าสู่ระบบหมายเลข
AuthorizedKeysFile .ssh/authorized_keys
การตรวจสอบรหัสผ่านใช่
ChallengeResponseAuthentication เลขที่
การตรวจสอบ GSSAPIA ใช่
หมายเลขประจำตัว GSSAPICleanup
ใช้ PAM ใช่
X11การส่งต่อใช่
ยอมรับ Env LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
ยอมรับ Env LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
ยอมรับ Env LC_IDENTIFICATION LC_ALL LANGUAGE
ยอมรับ Env XMODIFIERS
ระบบย่อย sftp /usr/libexec/openssh/sftp-server
[root@myserver ~]# cat /etc/pam.d/sshd
#%PAM-1.0
จำเป็นต้องมีการตรวจสอบสิทธิ์ pam_sepermit.so
auth substack รหัสผ่าน-auth
รับรองความถูกต้องรวมถึง postlogin
# ใช้กับ polkit เพื่ออนุญาตผู้ใช้อีกครั้งในเซสชันระยะไกล
-auth ตัวเลือก pam_reauthorize.so เตรียม
ต้องใช้บัญชี pam_nologin.so
บัญชีรวมรหัสผ่านการตรวจสอบสิทธิ์
รหัสผ่านรวมถึงรหัสผ่านรับรองความถูกต้อง
# pam_selinux.so close ควรเป็นกฎเซสชันแรก
ต้องการเซสชัน pam_selinux.so ปิด
ต้องการเซสชัน pam_loginuid.so
# pam_selinux.so open ควรตามด้วยเซสชันที่จะดำเนินการในบริบทของผู้ใช้เท่านั้น
ต้องการเซสชัน pam_selinux.so เปิด env_params
ต้องการเซสชัน pam_namespace.so
เซสชั่นทางเลือก pam_keyinit.so บังคับเพิกถอน
เซสชั่นรวมถึงรหัสผ่านการตรวจสอบสิทธิ์
เซสชันรวมถึง postlogin
# ใช้กับ polkit เพื่ออนุญาตผู้ใช้อีกครั้งในเซสชันระยะไกล
-session ตัวเลือก pam_reauthorize.so เตรียม
มีการเปิดใช้งานการพิสูจน์ตัวตน LDAP ผ่าน sssd
เนื่องจากมีการเปิดใช้งานการพิสูจน์ตัวตน LDAP และการเข้าถึงถูกปฏิเสธสำหรับผู้ใช้รายนั้น หมายความว่าผู้ใช้ไม่ได้รับสิทธิ์การเข้าถึงใน LDAP ไปยังเซิร์ฟเวอร์นั้น
คุณสามารถตรวจสอบ /etc/sssd/sssd.conf สำหรับ ผู้ใช้ที่อนุญาต และ Allow_groups จากนั้นเพิ่มชื่อผู้ใช้เป็นรายการของ 'allowed_users' หรือในกลุ่ม LDAP ที่กล่าวถึงใน 'allowed_groups'
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
