ssh nunca pede uma senha

14

De alguma forma, meu SSH nunca quer me pedir uma senha.

Então eu configuro um VPS em algum servidor aleatório em algum lugar do mundo e quero me conectar a ele com o ssh.

Eu posso configurar uma chave, mas quando faço isso:

ssh -l some-user IP

Eu recebo o erro:

Received disconnect from ##.##.##.##: 2: Too many authentication failures for some-user

Quando vejo os detalhes, vejo que a senha é uma das opções:

debug1: Offering RSA public key: some-user@computer
debug1: Authentications that can continue: publickey,password

No entanto, o SSH nunca me pede a senha. Ele tenta 5 vezes com o que eu suspeito que é o método publickey e depois falha. Por que não iria tentar com a senha?!

Apenas no caso, meu arquivo ssh_config possui:

PasswordAuthentication yes

Log completo

ssh -v -l root ##.##.##.##
OpenSSH_6.1p1 Debian-4, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /home/someuser/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to ##.##.##.## [##.##.##.##] port 22.
debug1: Connection established.
debug1: identity file /home/someuser/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/someuser/.ssh/id_rsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_dsa type -1
debug1: identity file /home/someuser/.ssh/id_dsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.2p2 Ubuntu-6
debug1: match: OpenSSH_6.2p2 Ubuntu-6 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1p1 Debian-4
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA XX:XX:...:XX:XX
debug1: Host '##.##.##.##' is known and matches the ECDSA host key.
debug1: Found key in /home/someuser/.ssh/known_hosts:38
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/someuser/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering DSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
Received disconnect from ##.##.##.##: 2: Too many authentication failures for root
    
por Alexis Wilke 11.02.2014 / 18:58

3 respostas

17

Tente fazer login com a autenticação de chave pública desativada, usando

ssh -o PubkeyAuthentication=no root@newserver
    
por Klaus-Dieter Warzecha 11.02.2014 / 19:21
16

Provavelmente você tem mais de um identityfile linhas no seu arquivo .ssh/config .

Mesmo se você tiver a configuração identityfile under host , ela será aplicada globalmente. O que isso significa é que ssh tenta cada arquivo de identidade (ou seja, chave pública) em cada host, antes de solicitar o prompt de senha do servidor.

Você pode corrigir isso por

  1. Remover todas as linhas, exceto uma identityfile , ou
  2. Adicionando PubkeyAuthentication no a .ssh/config ou
  3. Executando o ssh com o parâmetro -o PubkeyAuthentication=no .

De man 5 ssh_config :

PubkeyAuthentication
    Specifies whether to try public key authentication.  The argument to this
    keyword must be “yes” or “no”.  The default is “yes”.  This option applies 
    to protocol version 2 only.

IdentityFile
    ...
    It is possible to have multiple identity files specified in configuration
    files; all these identities will be tried in sequence.  Multiple 
    IdentityFile directives will add to the list of identities tried (this 
    behaviour differs from that of other configuration directives).

Algumas instruções gerais com chaves públicas:

  1. Em geral, você deve ter apenas uma chave privada por cliente (estação de trabalho) e colocar a chave pública correspondente em todos os servidores aos quais o cliente deve ter acesso. Em outras palavras, compartilhe a chave pública entre servidores e nunca use a mesma chave privada em vários dispositivos.
  2. Sempre gere o par de chaves no seu dispositivo e transmita apenas a chave pública. Dessa forma, mesmo se o servidor estiver comprometido, sua chave privada ainda estará segura e protegida. Isso pode acontecer de maneira surpreendente - por exemplo, através de backups.
  3. Se alguém mais administrar o servidor, você deverá fornecer uma chave pública para eles; eles devem não gerar um par de chaves e enviar chave privada para você. Dessa forma, eles não podem se passar por sua chave (é claro, geralmente eles podem fazer o que quiserem). Além disso, com a chave pública, somente a integridade (ou seja, alguém que não alterou a chave pública) deve ser protegida; com chave privada, a confidencialidade (ou seja, ninguém mais obteve a chave) deve ser conservada, e não é possível ter absoluta certeza de que ela não foi comprometida.
  4. Comprometer um servidor não compromete outros servidores, mesmo se você usar a mesma chave privada para conectar-se a vários servidores (exceto se você transmitiu essa chave privada para o servidor. Nunca faça isso.)
  5. Comprometer sua estação de trabalho exporá suas chaves privadas de qualquer maneira. Ter várias chaves privadas não ajuda nisso (exceto se você tiver senhas diferentes e strongs e nem todas estiverem disponíveis para o invasor).

Há algumas exceções, mas não muitas.

    
por Olli 11.02.2014 / 19:25
4

Seu ssh local não deveria estar lhe pedindo uma senha, o servidor ssh na outra ponta deveria. É provável que o servidor esteja configurado para não aceitar autenticação por senha. O meu também não pedia uma senha.

    
por Marc 11.02.2014 / 19:03

Tags