问题[sshd](unix)

我正在租用一台运行 CentOS Stream 8 的 VPS，我为用户“foo”设置了 SSH 公钥身份验证。我通过 Windows 上的 PuTTY 访问它。

最近我租用了另一台运行 Rocky Linux 9 的 VPS，并以相同的方式设置了 sshd，然后将文件/home/foo/.ssh/authorized_keys从旧 VPS 复制到新 VPS。这样，我只需克隆 PuTTY 配置文件配置，仅将 IP 地址从旧地址更改为新地址，并重复使用 PuTTY 的 PPK 密钥。

但是，当我通过 PuTTY SSH 连接到新服务器时，出现错误：

Using username "foo".
Authenticating with public key "[email protected]"
Server refused public-key signature despite accepting key!
Using keyboard-interactive authentication.
Password:

我必须输入“foo”用户的密码。但是，我想放弃旧服务器中基于密码的身份验证。

两端的私钥和公钥相同。SELinux 不会干扰这里。~/.ssh和的权限~/.ssh/authorized_keys正确。

请注意，通过公钥从新服务器 SSH 连接到其自身可以完美运行。显然，在这种情况下它使用的是id_rsa，而不是 PuTTY 的 PPK 密钥。

dmesg并且/var/log/messages没有显示任何有用的内容。

可能是什么问题呢？

注意：这不是服务器拒绝公钥签名尽管接受密钥-putty的重复，因为没有一个答案适用。

如果我开始 -

sudo groupadd test_group
sudo useradd -g test_group -s /sbin/nologin test_user
sudo passwd test_user
    ...(some password)...
sudo mkdir -p /testdir/dev

我也有 '/etc/ssh/sshd_config' 如下 -

Include /etc/ssh/sshd_config.d/*.conf
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding no
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp internal-sftp
Match User test_user
        ChrootDirectory /testdir
        PermitTunnel no
        ForceCommand internal-sftp -d /dev
        X11Forwarding no
        AllowTcpForwarding no

也没有任何“iptables”规则，然后我可以成功地从另一台机器进行 SFTP 连接（在这种情况下，它是一台 windows pc，使用 filezilla），指定“test_user”用户名和密码，它会显示并限制我仅到 /testdir/dev 目录的内容。

但是，我注意到 SFTP 会话仅列出目录内容；它没有实际发送/写入文件的权限。即我有 -

drwxr-xr-x  root root ... /testdir
drwxr-xr-x  root root ... /testdir/dev

很公平。所以现在我想加强所有权和权限，以便我的“test_user”可以在“/testdir”下读写，任何“test_group”用户都可以读取，其他人没有任何访问权限。然后我做 -

sudo chown -R test_user:test_group /testdir
sudo chmod -R 640 /testdir

现在，我之前成功的 SFTP 连接现在失败了，说“错误：无法连接到服务器”。

不知道为什么，但更自由、免费的所有权限怎么样 -

sudo chown -R test_user:test_group /testdir
sudo chmod -R 777 /testdir

我的“test_user”连接同样的 sftp 失败。

有点困惑，我把所有权放回原来的情况，但现在有了更广泛的访问权限——

sudo chown -R root:root /testdir
sudo chmod -R 775 /testdir

这仍然无法连接，记住之前使用user:rwx, group:rx, other:rx root root成功，我现在有user:rwx, group:rwx, other:rx root root，它更广泛但现在 SFTP 失败。

然后，为了确认，我通过 -

sudo chown -R root:root /testdir
sudo chmod -R 755 /testdir

我的 sftp/filezilla 'test_user' + pw 连接再次成功，显示 /testdir/dev 目录的内容，尽管仍然不允许写入权限。

我显然误解了所有权和访问权限，可能还有 sftp 服务最终试图在这里做的事情的机制。有人可以解释 -

1. 'chmod -R 640 /testdir' 和所有者 'test_user:test_group' (rw- r-- --- test_user test_group) 情况似乎是我应该需要的（'test_user' 可以读写以及 'test_group' 的其他成员可以阅读）-对吗？- 但是为什么这会导致 sftp 连接失败呢？
2. 如果“d rwx rx rx root root”案例启用成功的 sftp 连接，与用户“test_user”连接，那么为什么只将权限扩大到“d rwx r w x rx root root”（775）然后导致 sftp 连接失败？
3. 什么是允许我的“test_user”通过 SFTP 连接对这些“/testdir/...”目录进行读/写访问而不能访问其他（非 root）用户的正确/最佳方式？
4. 在 sftp 服务器上的整个 SFTP 连接/身份验证阶段，是否有更详细的步骤和过程序列（可能在不同用户下运行）的描述，可以更清晰、更直观地了解这里发生的情况？

我通过 SSH 连接到虚拟机并查看/proc/<pid>/net/tcp我的 zsh shell。我看到这条线

sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode
 ...
 3: 00000000:0016 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 19127 1 0000000000000000 100 0 0 10 0

除非我误解了这是在说什么，否则 zsh 正在侦听端口 22。我知道 zsh 进程是运行 sshd 的进程的后代，但 sshd 在分叉后不会关闭侦听套接字吗？

我正在尝试使用 WinSCP 将文件从本地驱动器复制到 Solaris 11 主机，但失败并显示以下错误消息：

无法初始化 SFTP 协议。主机是否运行 SFTP 服务器？

我还尝试了从 Tectia 工具进行 SFTPing，但它失败了

检查服务器上的日志后，我可以看到我的用户 ID 接受了密码，并且日志中没有捕获到错误消息。

sshd_config 文件有以下条目，我怀疑子系统的-m 117的存在是问题的原因。当我查看手册页时，我只看到 -d 和 -u 作为有效选项。

那么，“-m”是一个无效选项吗？这个错误配置（-m 选项）是问题的原因吗？

子系统 sftp internal-sftp -m 117

匹配组 sftponly
ChrootDirectory %h
ForceCommand internal-sftp

编辑1：

发现 -m 是 RHEL 服务器上的有效选项（有关更多详细信息，请参阅 sftp-server 的手册页）。

因此，这是我们 Solaris 主机上的错误配置。删除它使 SFTP 连接成功。

打开 SSH 隧道时，例如在 Ubuntu 21.10 上如下所示：

$ ssh -f -N -L 1234:127.0.0.1:5678 user@server

引擎盖下使用的默认绑定地址是什么（如果有）？

这是否等同于：

$ ssh -f -N -L 127.0.0.1:1234:127.0.0.1:5678 user@server

或者

$ ssh -f -N -L 0.0.0.0:1234:127.0.0.1:5678 user@server

或类似的东西

$ ssh -f -N -L *:1234:127.0.0.1:5678 user@server

?

我正在尝试使用私钥连接到远程 ssh。但它总是提示输入密码。

密钥文件 id_rsa（这是从服务器 ~//.ssh/id_rsa 文件复制的）：

-----BEGIN OPENSSH PRIVATE KEY-----
xxx
-----END OPENSSH PRIVATE KEY-----

命令：ssh -vvv -i id_rsa root@xxxx

这是日志

 debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug2: resolving "xxxx" port 22
debug2: ssh_connect_direct
debug1: Connecting to xxxx [xx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file id_rsa type -1
debug1: identity file id_rsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.1
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.0
debug1: match: OpenSSH_8.0 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to xxxx:22 as 'root'
debug3: hostkeys_foreach: reading file "/home/xxx/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/xxx/.ssh/known_hosts:3
debug3: load_hostkeys: loaded 1 keys from xxxx
debug3: order_hostkeyalgs: prefer hostkeyalgs: [email protected],[email protected],[email protected],ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-c
debug2: host key algorithms: [email protected],[email protected],[email protected],ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],ssh-ed25519,[email protected],rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: ciphers stoc: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: MACs ctos: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,[email protected],zlib
debug2: compression stoc: none,[email protected],zlib
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ssh-rsa,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: [email protected],[email protected],aes256-ctr,aes256-cbc,[email protected],aes128-ctr,aes128-cbc
debug2: ciphers stoc: [email protected],[email protected],aes256-ctr,aes256-cbc,[email protected],aes128-ctr,aes128-cbc
debug2: MACs ctos: [email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: MACs stoc: [email protected],[email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: compression ctos: none,[email protected]
debug2: compression stoc: none,[email protected]
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: [email protected] MAC: <implicit> compression: none
debug1: kex: client->server cipher: [email protected] MAC: <implicit> compression: none
debug3: send packet: type 30
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug3: receive packet: type 31
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:DmkwRuhDE+dx8IhUpTXWYekQuvummjbjDVWyMasjNw8
debug3: hostkeys_foreach: reading file "/home/xxx/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/xxx/.ssh/known_hosts:3
debug3: load_hostkeys: loaded 1 keys from xxxx
debug3: hostkeys_foreach: reading file "/home/xxx/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/xxx/.ssh/known_hosts:4
debug3: load_hostkeys: loaded 1 keys from 47.241.60.247
debug1: Host 'xxxx' is known and matches the ECDSA host key.
debug1: Found key in /home/xxx/.ssh/known_hosts:3
debug3: send packet: type 21
debug2: set_newkeys: mode 1
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: SSH2_MSG_NEWKEYS received
debug2: set_newkeys: mode 0
debug1: rekey in after 134217728 blocks
debug1: Will attempt key: id_rsa  explicit
debug2: pubkey_prepare: done
debug3: send packet: type 5
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521>
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: id_rsa
debug3: sign_and_send_pubkey: RSA SHA256:AdRGwu8qJ2OWmEuqmKqwdUwEcAWuC4ab8hvHccC2Ha8
debug3: sign_and_send_pubkey: signing using rsa-sha2-512 SHA256:AdRGwu8qJ2OWmEuqmKqwdUwEcAWuC4ab8hvHccC2Ha8
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

我们在 IMX8 设备 (NXP) 上有自己的 yocto 映像。设备互联网由 simcon EU 4G 调制解调器和 IOT sim (Monogoto) 提供服务。使用 libqmi 创建的连接 id 并成功创建了 wwan0。

• sshd 配方保持不变（防止 root 登录除外）
• 对设备的 ssh 访问是按需的，当请求 ngrok 转发 TCP 端口 22 并且在 ngrok 站点上我可以看到我要连接的 URI。

尝试连接时，我成功了。但是，当我尝试使用具有大输出的命令（如 dmesg）或将大型测试文件复制粘贴到 vi 时，终端挂起并且连接关闭。如果我使用 ngrok 连接到普通 PC，则连接保持打开就好了。我想可能是调制解调器。所以我使用类似 USB 的调制解调器（EC25e - 相同的 SIM 提供商）连接到我的 ubuntu，ssh 连接没问题。试图比较和更改sshd_config设置，但我的笔记本电脑版本和 (NXP) 之间的所有设置都不同Compulab并且被更改似乎没有帮助。

关于为什么断开连接的任何想法？有铅吗？谢谢。

我有一台服务器（运行 openssh 8.1p1-2），其 sshd_config 配置如下，仅接受 ed25519 密钥：

PubkeyAcceptedKeyTypes [email protected],ssh-ed25519

这对我们的团队很有用。我们都只使用 ed25519 密钥。并且该指令正常工作，因为其他键类型被拒绝。

但是，现在我需要暂时让一个只能使用 rsa 密钥类型的人进行连接（根据他们无法控制的政策）。

我做了以下更改：

PubkeyAcceptedKeyTypes ssh-rsa,[email protected],[email protected],ssh-ed25519

...并重新启动 sshd：

systemctl restart sshd

根据systemctl status sshd， sshd 状态是没有错误的。但是，当此人尝试连接服务器时，日志显示：

sshd[12345]: userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedKeyTypes [preauth]

客户端的错误很简单：

No more authentication methods to try. user@ip: Permission denied (publickey).

我不明白这个问题，因为ssh-rsa在 PubkeyAcceptedKeyTypes 中。我错过了什么？

我刚刚friend在我的服务器上创建了一个新用户，目标是为我的朋友提供 SFTP 访问权限，以便他可以在那里托管他的网站。

我注意到，通过SFTP与用户连接服务器时friend，默认文件夹是/home/friend/，但是您可以轻松退出/home/friend/ 并访问服务器上具有读取权限的所有文件，例如/home/anotheruser/website2/config.php！我不想要这个。

我被告知将此用户置于“监禁/隔离模式”，因此，在我的默认值结束时sshd_config：

...
Subsystem sftp /usr/lib/openssh/sftp-server

...我添加了这个：

Match User friend
ChrootDirectory /home/friend
ForceCommand internal-sftp

并做到了service sshd restart。

然后我根本无法通过 SFTP 与用户连接服务器friend，哎呀！我也尝试通过替换Subsystem ...，Subsystem sftp internal-sftp但结果是一样的：friend无法再通过 SFTP 连接服务器。

问题：

如何隔离用户，使他无法通过 SFTP/SSHfriend出门？/home/friend/

注意：我已经阅读了如何使用 chroot Jail 将 SFTP 用户限制在主目录中，我如何 chroot 仅 sftp 的 SSH 用户进入他们的家？ ， ETC。

我想在我的一台服务器上配置一个 SSH 守护程序，以便远程客户端上的某些用户可以在服务器上执行某些命令。每个由特定公钥标识的用户必须能够执行特定于他的命令。

一般来说，似乎有很多选择可以做到这一点，其中三个是：

• ForceCommand ...in sshd_config：在我的情况下这不够灵活，因为每个用户（公钥）都应该触发另一个命令。

• command="..."in authorized_keys：这非常适合我的情况，因为每个用户authorized_keys在该服务器上的主目录中都有一个单独的文件，因此每个用户都可以执行自己的单独命令。但是我对该方法有一个理解问题，这导致我提出下面详述的问题。

• 方法：这个/usr/lib/restricted-ssh-commands方法对于我的用例来说有点过大，因为我的每个用户只需要执行一个命令；此外，与此方法一起使用的正则表达式必须非常仔细地制作，否则它们会带来安全风险。

如上所述，我想选择第二种方法。然而，在我读过的每个教程中（很多，例如这个），我们强调我们不仅应该command=...在文件中添加选项，还应该添加authorized_keys更多，如下所示：

command="/bin/foo bar baz",no-port-forwarding,no-x11-forwarding,no-agent-forwarding ssh-rsa ...

现在我担心/etc/ssh/sshd_config（我已经配置了对我系统范围很重要的所有守护程序选项）和authorized_keys文件中的选项之间的关系。

我读过man authorized_keys它给我的印象是authorized_keys优先于sshd_config它们中的选项。但是，没有明确说明（除非我错过了）不在 中authorized_keys但在sshd_config;中的选项会发生什么。他们会被带走sshd_config吗？

举一个真实的例子：no-x11-forwarding是我们可以（并且应该，根据我读过的所有教程）在authorized_keys. 但我已经X11Forwarding no在sshd_config. 那么如果我离开会发生no-x11-forwarding什么authorized_keys？

恕我直言，必须在每个authorized_keys文件中包含所有相关选项有点愚蠢，但我遇到的每个教程再次强调我们应该这样做。

如果有人能对此有所了解，我将不胜感激。