一直使用阿里云的Centos做服务器,最近在服务器上新建了一个用户,为了免去每次SSH都要输入密码的麻烦,我通过 下面的命令为该用户建立SSH公钥/私钥 登录认证, 本来是个很简单的操作,没想到竟然出现了问题!
[code]
//客户端的linux机上
ssh-keygen
scp ~/.ssh/id_rsa.pub aaa@ServerIP:~
//服务器上
用aaa用户登录
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
[/code]
配置完毕后,在客户机上通过ssh登录,竟然还提示要输入密码!? 因为其实以前已经配置过好几次SSH公钥登录,从来没有出现过问题。这一次很意外。反复检查了几遍也没有找到原因。
通过下面的debug方式得到信息如下:
[code] ssh -v aaa@serverIP [/code]
通过上述的SSH -v 命令可以看到,客户机已经把私钥发送到服务器端,但在服务器端没有验证成功,所以问题应该位于服务器端。
通过反复的Google,找到一些线索, 有的说是SELinux的原因, 但阿里云的CentOS服务器上并没有启用SELinux. 有的说是.ssh 目录以及authorized_key的权限问题,我把相关的文件和目录权限放的更加宽松,但还是失败!
没有办法,看log吧。CentOS 6的SSH登录信息记录在/var/log/secure文件中,找到下面的重要信息:
服务器端的错误: “bad ownership or modes for directory…”
有了具体的错误信息,再次求助于Google, 原来我把 .ssh目录的权限设置成了775 (当时认为权限越宽松越不会有问题,哎),而系统安全方面,对于这个存放公钥的目录的权限要求是只有本人才可以读写的,应该是700!否则,缺省的情况下会拒绝进行authentication. 改成700后,再次SSH登录,问题解决!
通过这个小事情(折腾了我好几个小时其实), 学到了:
1. 仔细看log是发现问题原因的很重要的手段
2. 有的时候,权限不是越宽松就一定不影响具体操作, SSH公钥认证必须设置合适的权限 : .ssh目录的权限为 700, authorized_keys的权限为600
找了一上午了,找到您这比较靠谱的。非常感谢!!
权限问题,大了还不行!
必须是700和600,也是醉了。
问您个事,debug怎么操作的?
ssh -v
用ssh-copy-id 就不会担心有权限问题了
太感谢了
感谢感谢成功了