一个SSH 公钥登录失败的问题及解决经验

By | 2014/06/07

一直使用阿里云的Centos做服务器,最近在服务器上新建了一个用户,为了免去每次SSH都要输入密码的麻烦,我通过 下面的命令为该用户建立SSH公钥/私钥 登录认证, 本来是个很简单的操作,没想到竟然出现了问题!


//客户端的linux机上

ssh-keygen

scp ~/.ssh/id_rsa.pub    aaa@ServerIP:~

//服务器上

用aaa用户登录

cat ~/id_rsa.pub >> ~/.ssh/authorized_keys 

配置完毕后,在客户机上通过ssh登录,竟然还提示要输入密码!? 因为其实以前已经配置过好几次SSH公钥登录,从来没有出现过问题。这一次很意外。反复检查了几遍也没有找到原因。

通过下面的debug方式得到信息如下:

 ssh -v aaa@serverIP 

Screen Shot 2014-06-07 at 3.45.54 PM

通过上述的SSH -v 命令可以看到,客户机已经把私钥发送到服务器端,但在服务器端没有验证成功,所以问题应该位于服务器端。

通过反复的Google,找到一些线索, 有的说是SELinux的原因, 但阿里云的CentOS服务器上并没有启用SELinux. 有的说是.ssh 目录以及authorized_key的权限问题,我把相关的文件和目录权限放的更加宽松,但还是失败!

没有办法,看log吧。CentOS 6的SSH登录信息记录在/var/log/secure文件中,找到下面的重要信息:
Screen Shot 2014-06-07 at 3.58.49 PM

服务器端的错误: “bad ownership or modes for directory…”

有了具体的错误信息,再次求助于Google, 原来我把 .ssh目录的权限设置成了775 (当时认为权限越宽松越不会有问题,哎),而系统安全方面,对于这个存放公钥的目录的权限要求是只有本人才可以读写的,应该是700!否则,缺省的情况下会拒绝进行authentication. 改成700后,再次SSH登录,问题解决!

通过这个小事情(折腾了我好几个小时其实), 学到了:

1. 仔细看log是发现问题原因的很重要的手段
2. 有的时候,权限不是越宽松就一定不影响具体操作, SSH公钥认证必须设置合适的权限 : .ssh目录的权限为 700, authorized_keys的权限为600

4 thoughts on “一个SSH 公钥登录失败的问题及解决经验

  1. 朱立波

    找了一上午了,找到您这比较靠谱的。非常感谢!!
    权限问题,大了还不行!
    必须是700和600,也是醉了。
    问您个事,debug怎么操作的?

    Reply
  2. 110

    用ssh-copy-id 就不会担心有权限问题了

    Reply

发表评论

电子邮件地址不会被公开。 必填项已用*标注