Debian 12 - Não é possível fazer login usando minha chave e ainda consigo fazer login usando a senha, mas está desativado

• pode entrar usando senha

No /etc/ssh/sshd_configarquivo principal, há um comentário:

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin prohibit-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

Se sua configuração não desativou KbdInteractiveAuthentication, ele permite que o PAM execute o equivalente à autenticação de senha por meio de um caminho de código ligeiramente diferente originalmente destinado a módulos de autenticação do tipo desafio/resposta... mas tecnicamente "exibir um prompt de senha" pode ser um desafio, e "digite uma senha válida" uma resposta válida para ela.

A configuração padrão deve incluir um descomentado KbdInteractiveAuthentication no, mas tente

diff -u /usr/share/openssh/sshd_config /etc/ssh/sshd_config

para verificar novamente se seu sshdarquivo de configuração principal atual realmente corresponde ao padrão.

Além disso, observe que o comportamento padrão de sshdquando a autenticação de senha está desativada é ainda exibir um prompt de senha. Nessa situação, o prompt será completamente falso e seu único objetivo é fazer com que um intruso perca seu tempo tentando inutilmente adivinhar senhas. Portanto, se você vir um prompt de senha, isso não significa necessariamente que a autenticação de senha está realmente disponível.

Se você acha que isso não é útil, você pode adicionar AuthenticationMethods publickeyao seu realtebo.confpara parar sshdde oferecer qualquer prompt de senha (nem falso nem real).

• não consigo fazer login usando pubkey

A nova versão tem uma nova configuração PubkeyAcceptedAlgorithms padrão. É longo, mas mais notável no que não inclui (citado de man sshd_config):

PubkeyAcceptedAlgorithms

[...]

O padrão para esta opção é:

           [email protected],
           [email protected],
           [email protected],
           [email protected],
           [email protected],
           [email protected],
           [email protected],
           [email protected],
           ssh-ed25519,
           ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
           [email protected],
           [email protected],
           rsa-sha2-512,rsa-sha2-256

Notavelmente, os antigos modos de espera ssh-rsae ssh-dss, não estão mais lá por padrão. Você ainda pode adicioná-los se precisar e, no seu caso, adicionar ssh-rsapode ajudar ... mas se for esse o caso, você realmente deve atualizar seu cliente SSH para uma versão que suporte os rsa-sha2-*algoritmos de chave pública. Sua chave existente está boa, apenas o algoritmo em que ela é usada precisa de uma atualização.

Então, você pode tentar adicionar duas configurações ao seu /etc/ssh/sshd_config.d/realtebo.conf:

KbdInteractiveAuthentication no
PubkeyAcceptedAlgorithms +ssh-rsa

Se a autenticação de chave pública ainda não funcionar depois disso, use journalctl -u ssh.servicepara visualizar as mensagens registradas por sshdpara ver exatamente por que ela rejeitou sua chave pública.

(Sim, o nome do serviço executado sshdé de fato ssh.serviceno Debian e derivados, e não sshd.serviceno RHEL/Fedora e seus derivados. Razões históricas. Tolice, mas é a vida.)

Observe que você pode visualizar a sshdconfiguração efetiva executando sshd -T. Se sua configuração incluir quaisquer Matchcondicionais, você pode adicionar -C keyword=valueopções de estilo para fornecer as informações necessárias para essas condições, para verificar como a correspondência das condições afeta a configuração efetiva em cada caso. Consulte man sshdpara mais detalhes.