SElinux type 引起的SSH认证免密登陆失败总结

最新推荐文章于 2025-04-14 19:47:21 发布
最新推荐文章于 2025-04-14 19:47:21 发布
阅读量2.4k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 计算机 文章标签: linux ssh免密登陆 ssh认证 SElinux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/neigedg/article/details/77451854
本文介绍了解决从一台客户机通过SSH免密登录到另一台服务器的问题过程。问题出现在服务器端,由于SElinux的安全策略导致无法正确读取公钥文件。通过对SElinux标签的调整,最终实现了免密登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一,环境描述
       服务器机器A:
       Red Hat Enterprise Linux Server release 6.3 (Santiago)
       Linux crmapp-t 2.6.32-279.el6.x86_64 #1 SMP
gcc version 4.4.6 20120305 (Red Hat 4.4.6-4) (GCC)

客户机器B: 
CentOS release 6.5 (Final)
Linux hk5-tmp-ocs1 2.6.32-431.el6.x86_64 #1 SMP
gcc version 4.7.4 (GCC) 

二,问题现象描述
        1,计划从 客户B ssh免密登陆 服务器A;
2,做好配置文件并重启服务器A的ssh服务之后,依然提示需要输入密码,无法实现免密登陆,
  通过下一节排查中的方法1,2,3,4都没有解决问题,直到方法5解决了问题;
  

三,排查

        1,测试问题是否出在服务器上,
  
       检查配置文件
  /etc/ssh/sshd_config
  PubkeyAuthentication yes
  RSAAuthentication yes
  AuthorizedKeysFile .ssh/authorized_keys
  StrictModes yes
  客户B 跟 服务器A 的配置相同;
  
  用相同的操作步骤,可以实现从 服务器A 到 客户B 的ssh免密登陆,
  从而确定问题出在服务器A上;
  
2,免密登陆失败,最常见的原因在于StrictModes yes并且相关文件对非授权用户给的权限过高,
  排查后发现符合要求,没有问题:
  目录/inter                      权限700
  目录/inter/.ssh                 权限700
  文件/inter/.ssh/authorized_keys 权限600
  
  tail -n 20 /var/log/secure 也没有发现关于权限的报错,
  如果权限有问题,会出现 bad ownership or modes for directory 的日志
  
3,从客户B 可以 ssh输入密码登陆 服务器A,所以不是服务器A防火墙的问题;

4,日志调试
  在服务器A上执行命令 ssh -vvv inter@192.168.10.103
      摘取部分日志如下
      debug1: Next authentication method: publickey
      debug1: Trying private key: /inter/.ssh/identity
      debug3: no such identity: /inter/.ssh/identity
      debug1: Trying private key: /inter/.ssh/id_rsa
      debug3: no such identity: /inter/.ssh/id_rsa
      debug1: Offering public key: /inter/.ssh/id_dsa
      debug3: send_pubkey_test
      debug2: we sent a publickey packet, wait for reply
      debug3: Wrote 528 bytes for a total of 1637
      debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
      debug2: we did not send a packet, disable method
      debug3: authmethod_lookup password
      debug3: remaining preferred: ,password
      debug3: authmethod_is_enabled password
      debug1: Next authentication method: password
      inter@192.168.10.103's password: 
  
      发现debug2: we sent a publickey packet, wait for reply之后,没有服务器的响应,
  初步估计是服务器A读取不到authorized_keys文件,最终跳到方法5,解决问题
  
    5, cd /inter/.ssh
   ls -laZ

--->
-rw-------. inter inter unconfined_u:object_r:default_t:s0 authorized_keys

   cat /etc/selinux/config

--->
SELINUX=enforcing

   估计着似乎找到问题了
   SElinux 的类型标签:
   default_t:文件或目录的selinux属性与file-context配置文件定义的模式不匹配
   file_t:文件没有selinux属性
   这两种的类型的文件或目录,受限制的域的程序均不能访问

   尝试修复:
   chcon -R -t ssh_home_t /inter/.ssh

   免密登陆成功

四,总结
          4.1 /etc/selinux/config 中 SELINUX=enforcing 则表示SElinux安全子模块开启,
         如果文件的SElinux 的类型标签是default_t,则应用进程没有权限读取该文件;
         修改文件的SElinux 类型标签为相应进程的类型域即可,本例即修改为ssh_home_t;

  4.2 如果新建用户不是挂载在/home目录下而是直接挂载在根目录下,

         会出现该用户$HOME/.ssh的SElinux的类型标签是default_t,产生这种情况的机制还没弄清楚。



如有错误,恳请指正。

SELinu引起的SSH登录失败
h.liu Studio的博客
04-14 1157
前言:记一次部署集群时,集群之间ssh登录配置无法成功的经历。 配置各节点间SSH安全通信协议 第一步:创建文件目录 [hadoop@master ~]$ mkdir .ssh 第二步:进入.ssh目录,生成公钥文件 [hadoop@master .ssh]$ ssh-keygen -t rsa (备注:一路回车即可) 第三步:将生成的公钥文件添加至认证文件 [hadoop@master .ssh]$ cat id_rsa.pub >>authorized_keys 第四步:赋予文件权
进行hadoop 集群的搭建,设置VMware网段,创建虚拟机,配置主机ip,克隆虚拟机,进行finalshell连接,进行ssh登录,jdk的环境部署,上传,关闭防火墙,关闭SElinux
wanglaoliu888的博客
12-24 1675
进行hadoop 集群的搭建,设置VMware网段,创建虚拟机,配置主机ip,克隆虚拟机,进行finalshell连接,进行ssh登录,jdk的环境部署,上传,关闭防火墙,关闭SElinux 修改时区
selinux 没有关闭导致ssh 无法连接问题
青山绿水
04-14 341
在机器B上: 通过也可以自已编写或修改te文件。
更改主机名,进行ip地址和主机名的映射,关闭selinuxSSH码登录
c1523456的博客
07-13 1183
/etc/sysconfig/network//更改主机名的配置文件更改完后重启虚拟就就ok了。为了我们在各个虚拟机中不用输入ip地址就能相互连接,我们就得进行ip地址和主机名的映射了。/etc/hosts//ip地址和主机名映射的配置文件192.168.52.250 xxx1 192.168.52.251 xxx2 192.168.52.252 xxx3 关闭selinuxselinux这个东西...
linux码登录 selinux,安全性 – SELinux阻止无SSH登录
weixin_36435766的博客
04-29 123
我不使用Git所以我可能错了,但如果我的问题得到解决,你可能完全手工创建用户(即编辑/ etc / passwd),不要让系统知道/ var / git是用户主目录.它通常将相关目录放在/etc/selinux/targeted/contexts/files/file_contexts.homedirs中.例如,我有相同的设置但使用/ var / svn,添加了useradd,这里是该文件的摘录,...
ssh登陆慢的深度排查
rainharder的专栏
05-29 775
ssh登陆慢的深度排查方法
使用type指令添加服务器免密登陆
最新发布
07-19
回顾引用内容,我们注意到引用[5]提到了“SElinux type 引起的SSH认证免密登陆失败”,其中“type”指的是SELinux的上下文类型(context type),而不是一个命令。因此,用户可能实际上是想配置SELinux相关的设置以...
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
10-16 3875
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份钥和码来简化用户身份验证过程。一旦这些钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入码或码,从而提供流畅的单点登录(SSO)体验,从而减少常规码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
Linux使用总结(持续更新)
lixinkuan的博客
07-29 3968
一、Linux 安装 参考《02_Linux安装.docx》,目录 bin (binaries)存放二进制可执行文件 sbin (super user binaries)存放二进制可执行文件,只有root才能访问 etc (etcetera)存放系统配置文件 usr (unix shared resources)用于存放共享的系统资源 home 存放用户文件的根目录 roo.........
21_linux笔记-ssh服务
cPen_web的博客
11-15 2651
文章目录知识点1 公钥认证排错示例知识点2 登录方式知识点3 登录验证原理 - 码登录知识点4 登录验证原理 - 公钥认证登录知识点5 总结知识点5.1 SSH服务介绍知识点5.2 公钥加体系知识点6 数据加知识点7 数字签名知识点8 SSH身份验证过程知识点9 电子邮件数字签名过程知识点10 OpenSSH示例1:查看命令属于哪个包下载的示例2:启动sshd服务的实际上是执行行的服务启动脚本文件 /usr/sbin/sshd(真正执行服务的脚本)示例3:直接执行脚本/usr/sbin/sshd 启动
SSH公钥认证失败排错
diaobao3822的博客
11-07 2380
我用ssh-copy-id [host]成功添加公钥到远程主机后,ssh [host]依旧需要输入码,ssh -vvv,发现 debug2: we sent a publickey packet, wait for reply debug3: receive packet: type 51 公钥确实发出去了,但是服务器拒绝了。现在来debug sshd 首先将sshd的log改为DEBUG模式: #SyslogFacility AUTHPRIV LogLevel DEBUG 然后重启sshdsyste
SSH 调试信息--仅作自己使用
maoxiao_jsd的专栏
10-22 1802
//前面消息均正常 debug3: send_pubkey_test debug2: we sent a publickey packet, wait for reply debug1: Authentications that can continue: publickey,password debug1: Trying private key: /home/hadoop/.ssh/id
Linux | ssh服务原理、配置及操作
m0_59388634的博客
02-23 2219
小时候看到别人进行远程登录操作的你是否会羡慕?学会这一篇SSH服务原理及操作,远程操作不再难!
ssh报错:no such identity: /xxx/xxx/.ssh/id_rsa: No such file or directory解决方案
大数据开发、JAVA开发、人工智能AI
08-21 9078
ssh报错:no such identity: /xxx/xxx/.ssh/id_rsa: No such file or directory.Permission denied (publickey)解决方案
【大数据开发运维解决方案】做SSH通信后仍需输入码问题解决
热门推荐
赵延东的一亩三分地
02-01 11万+
同事对分配的三台服务器服务器a、b、c三台机器做ssh通信,但是b机器做ssh通信后访问c节点仍需输入码,问题解决!
SSH失败并报错:no mutual signature algorithm
IT民工金鱼哥,专注运维技术。
09-13 7902
运维要时刻关注漏洞情况并根据现在的版本而进行知识的更新。
记录ssh免密登陆踩坑
nameless_cat的博客
09-23 376
ssh登录大致流程与踩的坑
Linux基本防护 用户切换与提权 SSH访问控制 SElinux安全
jon_stark的博客
05-17 1454
一 用户帐号安全 1--设置帐号有效期 chage -l lisi //查看lisi用户的有效信息 chage -d 0 lisi //下次登陆必须更改码 chage -E 2020-5-14 lisi //设置码有效期 chage...
服务器怎么连接不上显示码错误,windows xp ssh服务器连接不上,提示认证失败...
weixin_33162568的博客
08-06 1877
debug1: Next authentication method: publickeydebug1: Trying private key: /root/.ssh/identitydebug3: no such identity: /root/.ssh/identitydebug1: Offering public key: /root/.ssh/id_rsadebug3: send_pubk...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值