在过去一周左右的时间里,我一直在解决一个问题,但我的想法已经不多了。
我在我的 Centos 7 VPS 上为 git 服务器添加了一个新用户,并且(根据几篇文章的建议)将用户的主目录放在里面/var而不是/home.
然后,我尝试使用 ssh 登录该用户,它工作正常。但是,公钥身份验证无法正常工作。在调试过程中,我最终使git用户和主用户在各方面都相同——他们都是 sudoers,他们有相同的.ssh目录,相同的authorized_keys文件,我什至将git用户移动到/home,但无济于事。
为了进一步测试,我创建了两个新用户:test1和test2. test1的主目录位于 中/home,而test2的主目录位于/var. 果然,pubkey auth 为test1而不是test2. 我认为这不是权限问题,因为/var具有相同的权限/home,并且用户目录都具有正确的权限。此外,我很困惑原始git用户即使将其移至/home.
如果我在详细模式下运行 ssh,我可以看到在发送密钥后发生了阻塞:
debug1: Offering RSA public key: /home/user/.ssh/foo.key
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
当连接到主用户或 时test1,它的行为不同:
debug1: Offering RSA public key: /home/user/.ssh/foo.key
debug2: we sent a publickey packet, wait for reply
debug1: Server accepts key: pkalg ssh-rsa blen 279
我发现的唯一线索:尝试以不存在的用户身份登录时,我得到了与第一个相同的响应(等待回复,然后跳过 pubkey auth)。那么,机器是否让git用户对外界不可见?为什么会这样做?
我通常可以完成这些事情,但我认为这次我很难过。谢谢你的帮助!
这是 SELinux 的问题。如果您没有这种级别的安全性,在文件系统中移动东西可以正常工作,但是 SELinux 为每个文件设置标签,默认情况下基于它们的路径。
当您移动一些特殊用途的目录时,请确保它们具有适当的标签。在这种情况下,有
chconwith--reference选项,在这种情况下效果很好:更好的方法是编写自定义策略并将其加载到内核中,但这超出了此答案的范围。