“权限被拒绝（公钥、gssapi-keyex、gssapi-with-mic）”AWS .pem 提供

Question

stdcerr

Asked: 2018-11-04 04:50:33 +0800 CST2018-11-04 04:50:33 +0800 CST 2018-11-04 04:50:33 +0800 CST

添加额外的密钥对进行身份验证

我需要一个新的密钥对，用于允许登录到服务器的其他主机（但由于安全原因，我无法共享现有的密钥对）。

现在，我在服务器上创建了一对工作正常的新对ssh-keygen -t rsa -f newkey.key，然后我将它们的密钥复制到客户端并尝试使用登录ssh user@server -i newkey.key但它不会让我进入，而是我得到：

$ ssh user@server -i newkey.key
Warning: Permanently added 'server' (ECDSA) to list ofknown hosts.
Permission denied (publickey).
$

为什么会这样，我该如何进行？newkey.key权限设置为400。

ivanivan · Answer 1 · 2018-11-04T05:19:53+08:00

当人们尝试设置基于密钥的身份验证时，我看到的最常见问题之一是他们忘记将密钥对的公共部分添加到authorized_keys文件中。

在server.example.com您生成公钥/私钥对时 -

user@server:~/ $ ssh-keygen -t rsa -f newkey.key

根据需要设置（或不设置）密码。

然后将公共一半放入authorized_keys文件中 -

user@server:~/ $ cat ~/.ssh/newkey.key.pub >> ~/.ssh/authorized_keys

然后将密钥的私有部分复制到您的客户端计算机，您应该能够连接 -

user@client:~/ $ ls -1 .ssh
authorized_keys
config
newkey.key

user@client:~/ $ ssh -i ~/.ssh/newkey.key user@server

根据@Haxiel和@RubberStamp（以及我自己的）协议进行编辑，私钥不应留在用于访问的服务器上。

请务必从用于连接的服务器中删除私钥，除非您别无选择。这是一个非常容易避免的安全问题。

应该在本地机器上生成密钥，并通过 scp 或 ssh-copy-id 将公钥复制到远程机器 ... 首选后一种选择，因为它确保公钥正确放置在远程 ~/ .ssh/authorized_keys 文件以及对该文件的适当权限