Bloqueando a senha da conta e, em vez disso, use a chave RSA

Navegue suas respostas
0

Configurando um servidor em nuvem do CentOS 7 para um cliente e tendo um problema ao configurá-lo para usar uma chave RSA pública em vez de uma senha para um dos poucos usuários de SFTP.

Encontrou um guia on-line sobre como configurar chaves em:

link

O cliente forneceu um arquivo de chave pública, que copiei para o servidor usando o comando "ssh-copy-id". Tudo bem de acordo com as respostas que recebi.

Em seguida, eu tranquei a conta usando o comando "passwd -l". Redefinir o servidor e verificado, e o sistema confirma que a senha está bloqueada:

testuser1 LK 2018-09-17 0 99999 7 -1 (senha bloqueada.)

No entanto, ainda posso fazer login usando uma senha usando essa conta em computadores que não possuem a chave privada instalada.

Então, fiz mais pesquisas e encontrei outro tutorial que diz que você pode forçar o uso de chaves RSA configurando PasswordAuthentication como no no arquivo etc / ssh / sshd_config, o que gera uma preocupação, pois outros usuários não usam chaves RSA para o seu login.

Eu fiz algo errado, ou há algo mais que eu possa fazer para desabilitar senhas para essa conta única? Existe uma maneira de permitir que alguns usuários usem senhas enquanto permite que outras pessoas usem uma chave RSA?

    
por Charles 17.09.2018 / 23:00

1 resposta

0

Depois de criar uma nova instância do CentOS na AWS, passei pelo processo de:

  1. Adicionando um novo usuário (e definindo uma senha)
  2. Login de senha de teste
  3. Bloquear conta
  4. Login de senha de teste
  5. Adicionar chave ssh à conta do usuário
  6. Testar login da chave ssh

  1. Adicionar novo usuário: 

    [centos@ip-172-31-80-91 ~]$ sudo useradd -c "Demo User" -m demo_user
[centos@ip-172-31-80-91 ~]$ sudo passwd demo_user
Changing password for user demo_user.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

  2. Login de senha de teste: 

    [guzzijason@macbook ]$ ssh [email protected]
[email protected]'s password:
[demo_user@ip-172-31-80-91 ~]$

  3. Bloquear conta no servidor 

    [centos@ip-172-31-80-91 ~]$ sudo passwd -l demo_user
Locking password for user demo_user.
passwd: Success

  4. Teste o login da senha (novamente; deve falhar neste momento) 

    [guzzijason@macbook ]$ ssh [email protected]
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
[email protected]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

  5. Adicione a chave ssh à conta do usuário no servidor: 

    [centos@ip-172-31-80-91 ~]$ sudo su -
Last login: Mon Sep 17 22:07:43 UTC 2018 on pts/0
[root@ip-172-31-80-91 ~]# umask 077
[root@ip-172-31-80-91 ~]# mkdir /home/demo_user/.ssh
[root@ip-172-31-80-91 ~]# echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDT+PautYetQxI+J8jshx2bZkMyuxd7dHBlCKjgIr9Y869RP+xzgvFFs1oCzAo/Q8Tn3Pz2htI4VN9h3LVsX+JuK3Omf+/vs6I21rIpDE2m/qhO5JH+2gflrsmhHRziHCbokoIr/LYIgkWAzgpiJ4tr2NWc8b32NggepIljfXBMm9TuuorYFNKqG8hpiHAsj5OugBiJUPyuBzPUlvFYdXuT0ireVlNgQcidi873psOWL9QQMrxTZYjd+Ucphk48otp/x7q3LD2luKXkfEsKyMgyVSApSfjdakh2ihJnfvhAfstAN+iuFPu1EYg5+4mUj0Z028TbxSn1hO5ijpgQDh8h guzzijason@macbook" >>/home/demo_user/.ssh/authorized_keys
[root@ip-172-31-80-91 ~]# chown -R demo_user /home/demo_user/.ssh
[root@ip-172-31-80-91 ~]# ls -ld $(find /home/demo_user/.ssh)
drwx------. 2 demo_user root  29 Sep 18 02:25 /home/demo_user/.ssh
-rw-------. 1 demo_user root 400 Sep 18 02:25 /home/demo_user/.ssh/authorized_keys
[root@ip-172-31-80-91 ~]#

  6. Teste o login da chave ssh 

    [guzzijason@macbook ]$ ssh -i .ssh/demo_user [email protected]
Last login: Tue Sep 18 02:28:18 2018 from xxx
[demo_user@ip-172-31-80-91 ~]$

NOTA: um erro comum ao configurar chaves ssh para um usuário não é ter a propriedade ou as permissões corretas no diretório .ssh e authorized_keys . Isso é muito importante! Se essas permissões não forem definidas estritamente, a autenticação da chave ssh falhará.

TAMBÉM: PasswordAuthentication yes foi definido no meu sshd_config para tudo isso.

    
por 18.09.2018 / 04:50

Tags

Mantenha as configurações longas do template ou apenas as partes alteradas? Prática recomendada para agrupar um script “.sh” que lança outro script “.sh” on-line de qualquer distribuição do Linux?