115 votes

user193805 avatar

Comment puis-je forcer SSH à n'autoriser que les utilisateurs possédant une clé à se connecter ?

Demandé el 18 de Septembre, 2013
Quand la question a-t-elle été
259495 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai essayé de suivre les instructions ici : http://lani78.wordpress.com/2008/08/08/generate-a-ssh-key-and-disable-password-authentication-on-ubuntu-server/

pour n'autoriser que les utilisateurs disposant d'une clé publique sur le serveur à s'authentifier, mais je n'arrive pas à faire en sorte que SSH interdise la connexion avec un simple nom d'utilisateur/mot de passe.

Voici mon fichier sshd_config - est-ce que j'ai oublié quelque chose ? J'ai déjà essayé de redémarrer SSH et l'ordinateur lui-même.

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile        %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no
Demandé el 18 de Septembre, 2013 par user193805

Réponses

Trop de publicités?

144voto

Terry Wang avatar
Terry Wang Points 8890

Par défaut PasswordAuthentication est réglé sur oui donc le commenter explicitement dans /etc/ssh/sshd_config et redémarrer sshd n'a aucun effet.

Vous devrez explicitement set PasswordAuthentication no pour n'autoriser que l'authentification par clé publique.

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

PubkeyAuthentication yes

NOTE (homme sshd_config ): PasswordAuthentication spécifie si l'authentification par mot de passe est autorisée. L'adresse par défaut oui .

Et redémarrer sshd

  • pour sysvinit service ssh restart
  • pour systemd systemctl restart sshd.service .

En outre, il est préférable d'utiliser les directives suivantes (dans l'ordre) DenyUsers AllowUsers DenyGroups AllowGroups pour une granularité et une flexibilité plus fines du contrôle d'accès SSH. -> Référence : man 5 sshd_config ---> La page de manuel d'openssh d'Ubuntu ne l'inclut plus car elle absorbe les docs amont d'openssh (mais les pages de manuel de FreeBSD, EL 7, 8 les ont toujours).

Dernier point mais non le moindre

NOTE : soyez prudent avec le réglage UsePAM no car de cette façon, les comptes utilisateurs verrouillés par mot de passe (ceci est différent des comptes utilisateurs désactivés / expirés -> man passwd y man usermod ) ne pourront PAS se connecter, même si l'authentification par clé publique est configurée dans l'interface utilisateur. ~/.ssh/authorized_keys .

Répondu el 18 de Septembre, 2013 par Terry Wang (8890 Points )

16voto

sjstrutt avatar
sjstrutt Points 3328

Selon cette page du wiki sur les clés SSH et ceci respuesta vous devez modifier ces deux lignes dans votre dossier de candidature. sshd_config :

PasswordAuthentication no
ChallengeResponseAuthentication no
Répondu el 25 de Novembre, 2014 par sjstrutt (3328 Points )

5voto

BTR Naidu avatar
BTR Naidu Points 170

En /etc/ssh/sshd_config Les paramètres ci-dessous ont fonctionné pour moi :

PasswordAuthentication no
UsePAM no

Enfin, redémarrez sshd démon.

Répondu el 9 de Octobre, 2015 par BTR Naidu (170 Points )

3voto

djohns505 avatar
djohns505 Points 216

La ligne que vous voulez est anormalement commentée par défaut dans le fichier sshd_config.

# Change to no to disable tunnelled clear text passwords
--->#PasswordAuthentication yes

Pour désactiver les mots de passe, modifiez le yes a no y supprimer le commentaire :

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
Répondu el 7 de Septembre, 2015 par djohns505 (216 Points )

0voto

Diego Alonso Reyes Molina avatar
Diego Alonso Reyes Molina Points 9

De https://www.ssh.com/ssh/copy-id#sec-How-ssh-copy-id-works : En général, le répertoire personnel de l'utilisateur ou tout fichier ou répertoire contenant des fichiers clés ne doit pas être accessible en écriture par quelqu'un d'autre. Sinon, quelqu'un d'autre pourrait ajouter de nouvelles clés autorisées pour l'utilisateur et obtenir un accès. Les fichiers de clés privées ne doivent pas être lisibles par quelqu'un d'autre.

Essayez avec sudo chmod go-rwx /home/username/ remplacement de username le cas échéant.

Répondu el 7 de Novembre, 2017 par Diego Alonso Reyes Molina (9 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X