Início / server / Perguntas / 759821
Accepted
user1700494
Asked: 2016-02-26 09:32:32 +0800 CST

Login root sem senha com ssh tectia negado pela política

  • 772

Eu preciso configurar o acesso root sem senha com ssh tectia. Eu fiz o seguinte:

  • par de chaves criado via ssh-keygen como de costume
  • chave privada copiada para *source_host*:/etc/opt/SSHtectia/keys/root. Também criei o arquivo /etc/opt/SSHtectia/keys/root/identificatione especifiquei a chave privada lá.
  • chave pública copiada para *target_host*:/etc/opt/SSHtectia/keys/root. Também criei o arquivo /etc/opt/SSHtectia/keys/root/authorizatione especifiquei a chave pública lá.

Quando tentei fazer login, vejo que a chave foi aceita, mas o login foi negado

    Feb 25 11:52:42 targethost ssh-server-g3: 400 Connect, Policy name: connection, Src: sourcehost.my.domain,sourcehost, Src IP: x.x.7.131, Dst IFace: default, Dst IP: x.x.7.151, Src Port: 38158, Dst Port: 22, Ver: SSH-2.0-6.3.8.79 SSH Secure Shell, Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 1002 Algorithm_negotiation_success, "kex_algorithm=diffie-hellman-group1-sha1, hostkey_algorithm=ssh-rsa, cipher=aes128-cbc/aes128-cbc, mac=hmac-sha1/hmac-sha1, compression=none/none", Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 703 Auth_methods_available, Username: root, Auth methods: publickey, Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 707 Publickey_auth_success, Username: root, Algorithm: publickey, "The user's public key matched the key (/etc/opt/SSHtectia/keys/root/authorized_11.pub, fingerprint xozel-pezer-sacok-vunud-horim-ropuc-milaf-nobip-setuc-zedar-boxex/bd7afcbc846e24252f8b29181f3940ac771f49b0) in the user's authorization file (/etc/opt/SSHtectia/keys/root/authorization)", Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 700 Auth_method_success, Username: root, Auth method: publickey, Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 702 Auth_methods_completed, Username: root, Auth methods: publickey, Src IP: x.x.7.131, Src Port: 38158, Ver: SSH-2.0-6.3.8.79 SSH Secure Shell, Session-Id: 288135 
    Feb 25 11:52:42 targethost ssh-server-g3: 410 Login_success, Username: root, Src: sourcehost.my.domain,sourcehost, Src IP: x.x.7.131, Dst IFace: default, Dst IP: x.x.7.151, Src Port: 38158, Dst Port: 22, Ver: SSH-2.0-6.3.8.79 SSH Secure Shell, Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 420 Session_channel_open, Username: root, Error: Denied by policy, Command: shell, Sub ID: 0, Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 421 Session_channel_close, Username: root, Sub ID: 0, Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 412 Logout, Username: root, Reason: By application, Src: sourcehost.my.domain,sourcehost, Src IP: x.x.7.131, Dst IFace: default, Dst IP: x.x.7.151, Src Port: 38158, Dst Port: 22, "Connection discarded by broker, Remote Disconnect", Session-Id: 288135
    Feb 25 11:52:42 targethost ssh-server-g3: 402 Disconnect, Reason: By application, Src: sourcehost.my.domain,sourcehost, Src IP: x.x.7.131, Dst IFace: default, Dst IP: x.x.7.151, Src Port: 38158, Dst Port: 22, "Connection discarded by broker, Remote Disconnect", Session-Id: 288135

ssh-broker-config.xml

ssh-server-config.xml

Os logins sem senha não root estão funcionando bem.

ssh

1 respostas

  1. Best Answer

    Do erro que você está recebendo:

    Feb 25 11:52:42 targethost ssh-server-g3: 410 Login_success, Username: root, Src: sourcehost.my.domain,sourcehost, Src IP: x.x.7.131, Dst IFace: default, Dst IP: x.x.7.151, Src Port: 38158, Dst Port: 22, Ver: SSH-2.0-6.3.8.79 SSH Secure Shell, Session-Id: 288135
Feb 25 11:52:42 targethost ssh-server-g3: 420 Session_channel_open, Username: root, Error: Denied by policy, Command: shell, Sub ID: 0, Session-Id: 288135

    Parece que a autenticação funciona, mas o usuário tem negado um shell ou acesso ao terminal.

    Isso ocorre porque no grupo de regras para administradores você tem: terminal action="deny".

    Você precisa alterar terminal actionpara "allow" in the ssh-server-config.xml forrule group="admins"`.

    <rule group="admins" idle-timeout="0" print-motd="no">
      <environment allowed-case-sensitive="TERM,PATH,TZ,LANG,LC_*" />
      <terminal action="allow" />
      <subsystem type="sftp" action="allow" application="sft-server-g3" />
      <command action="allow" />
      <tunnel-agent action="deny" />
      <tunnel-x11 action="deny" />
      <tunnel-local action="deny" />
      <tunnel-remote action="deny" />
    </rule>

    Conforme mencionado em Definições de configuração em ssh-server-config.xml , o usuário não tem acesso a um shell de comando quando o acesso ao terminal é negado.

    Restringir acesso ao terminal

    Você pode restringir o acesso ao terminal para que seja permitido apenas para usuários no grupo admin. Para desabilitar o acesso ao terminal de todos os outros, faça as seguintes configurações no arquivo ssh-server-config.xml, no bloco services:

    <rule group="admin">
      <terminal action="allow" />
    ...
    </rule>

    <rule group="SFTP-users">
      <terminal action="deny" />
    ...
    </rule>

    <rule>
      <terminal action="deny" />
    ...
    </rule>

    Essa configuração também nega o encaminhamento de X11 e do agente e comandos shell para o grupo especificado (a menos que alguns comandos sejam explicitamente permitidos).

    Os usuários poderão utilizar SFTP e outros subsistemas definidos na configuração do SSH Tectia Server. Quaisquer outras solicitações "exec" e "shell" serão negadas para os usuários. Isso inclui comandos forçados com chaves públicas e a mudança de senha de estilo herdado quando executada como um comando forçado.

    • 1

relate perguntas