一个有意思的SSH登陆案例

最新推荐文章于 2024-05-27 14:01:08 发布
转载 最新推荐文章于 2024-05-27 14:01:08 发布 · 218 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/540769
文章标签:

#运维 #操作系统 #ldap

本文介绍了一个特殊案例,针对SSH登录失败且提示密码不正确的故障进行了详细的排查与解决过程。涉及系统C库文件损坏、网络干扰因素排除、配置文件检查、空密码验证等内容,并最终定位到PAM验证模块的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是一个特殊的案例,在修复ssh登陆之前,这个系统还经历了系统C库文件损坏,系统无法启动的恢复操作。

问题现象:

通过控制台管理终端可以登陆到系统内部,ssh登陆提示密码不正确,无论修改成什么密码,ssh都提示密码不正确。

在问题排查之前,我们先看下SSH 登录关联因素示意图:

1

问题排查:

1. 确保密码正确性:
      尝试手动修改密码(通过管理终端执行passwd命令修改,我有轻微强迫症,密码还是自己改一下觉得可靠些),修改密码后对比/etc/shadow里面root用户的密文确实有变化,但是SSH依然无法登陆,提示密码不正确,而系统日志/var/log/secure日志也仅有一条failed passwd的提示 (也可以通过退出管理终端重新登录进行验证)
      PASS
2. 排除网络干扰因素:
     通过管理终端在系统内部执行 ssh root@localhost,(排查了系统加载的模块lsmod,没有安全狗,云锁之类的模块,hosts.deny,iptables也不存在问题) 
     PASS
3. 检查配置文件:
     查看ssh配置文件,对比正常的文件也没有发现明显异常   
     PASS
4. 空密码验证:
      清空root密码并允许空密码登陆ssh,本机以及外部测试依然提示密码不对  
      PASS
5. 登陆模块排查:
     视线回归到ssh的登陆过程,空密码提示密码错误说明实际并没有到密码验证的阶段,应是/etc/pam.d下面的验证模块(常见如 system-auth ,passwd,login,sshd等)的问题  
     FAILED

确认原因:

    排查过程中发现/etc/pam.d/sshd文件为空,找一台同系统版本的实例对比恢复,测试后恢复正常

疑问:

  为什么/etc/pam.d/sshd文件为空就一直提示密码不对呢?
  
  这个文件的内容又是什么?
        
  SSH登陆验证的顺序是怎样的 ?

探秘:

为了排查这个问题,我们需要先了解一下什么是PAM?

PAM(插入式验证模块(Pluggable Authentication Module,PAM))
简单来说,就是提供了一组身份验证、密码验证的统一抽象接口,应用程序员可以使用这些API接口来实现与安全性相关的功能,例如:

1) 用户验证
2) 数据加密
3) LDAP

PAM 模块的基本流程

PAM 模块的基本流程

PAM 模块是按模块类型归类的。任何给定的模块至少要实现四种模块类型功能之一:

1. 验证模块(auth): 用于验证用户或设置/销毁凭证
2. 帐户管理模块(account): 将执行与访问、帐户及凭证有效期、密码限制/规则等有关的操作
3. 会话管理模块(session): 用于初始化和终止会话。
4. 密码管理模块(password)将执行与密码更改/更新有关的操作

我们看下这个文件的内容(/etc/pam.d/sshd):

#%PAM-1.0
auth       required    pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth

做一个小实验,修改/etc/ssh/sshd_config中的验证方式

UsePAM=yes/no 
PasswordAuthentication=yes

在清空/etc/pam.d/sshd以及PasswordAuthentication=yes的情况下:

  1. 设置UsePAM=yes,提示验证失败(实际验证的时候发现不同的系统版本提示不太一样,客户端是Authentication failed.secure日志有所不同,failed passwd ,pam提示都有)
    1
  2. 设置UsePAM=no,使用正确的passwd登录成功
    2

通过这个测试可以确定,当开启UsePAM的时候,先去找验证模块,由验证模块决定下一步的验证

(如/etc/pam.d/sshd文件里面的auth include password-auth)即使密码是正确的,如果验证模块自身有问题也无法登录

即PAM检验的优先级高于PasswordAuthentication(密码验证)
参考文献:

https://help.aliyun.com/knowledge_detail/52874.html

https://www.ibm.com/developerworks/cn/linux/l-pam/

CentOS8升级sshd服务后,账户登陆失败问题
bigwood99的博客
01-19 4526
CentOS8通过编译安装升级sshd服务后,使用ssh客户端登陆,账户登陆失败。 提示:Access denied 密码肯定是没问题的。 检查配置文件,选项:UsePAM是yes 将它修改为no后,使用ssh客户端登陆成功了。 那么开启UsePAM为何就无法登陆了能? 继续检查配置。 /etc/pam.d/下发现缺少一个文件sshd 创建这个文件,并写入如下配置信息: auth required /usr/lib64/security/pam_faillock.so ...
SSH从原理到配置
暖风吹起云之博客
04-16 1637
远程连接服务器 SSH原理 SSH配置
SSH案例(一)
荒的博客
09-17 459
项目结构如下: 导包如下: 该项目中spring版本4.1.6,若采用4.3.8可能会造成jar包的冲突 web.xml文件: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://ja...
通过SSH通道穿越防火墙访问内网的机器!
喝茶,听音乐,写程序!
10-24 3139
        长夜漫漫,无心睡眠,就躺在床上看书《聚焦黑客-攻击手段与防护策略》翻倒了讲SSH/SSL的方面。才发现自己平时使用的SecureCRT功能不仅仅是个telnet的客户端,它还可以建立ssh通道,通过ssh通道可以安全的基于公网访问内网的机器。        redhat linux9版本以上默认安装后是不启动telnet,取而代之为SSH即SecureShell。它监听22端口。同
Linux | ssh服务原理、配置及操作
m0_59388634的博客
02-23 2219
小时候看到别人进行远程登录操作的你是否会羡慕?学会这一篇SSH服务原理及操作,远程操作不再难!
Linux常用服务认识
qq_61173488的博客
11-01 439
1、SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;2、SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;3、SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。4、和ssh一样的通信协议还有telnet(端口号23),和ssh不一样的是ssh是密文传输数据,而telnet则是明文传输,所以相对而言ssh的安全性更高一点。
中级运维这么学才有意思
Da_Bao_zi的博客
08-26 1247
1.atd和crond两个任务管理程序的区别 2.指定在2022/08/26 09:00将时间写入testmail.txt文件中 3.指定在每天凌晨4:00将该时间点之前的系统日志信息备份到个目录下(/var/log/messages ),备份后日志文件名显示格式logfileYY-MM-DD HH-MM 4.在当前主机添加两块网卡,将两块网卡绑定实现网卡冗余操作。.....................
【腾讯云 Cloud studio 实战训练营】开发一个基于Vue的开心消消乐
2301_79449292的博客
09-14 337
哇咔呀!各位开发兄弟,今天让我来给你们科普科普IDE开发史!为什么要讲这个呢?接着往下看就知道了!!还记得我们曾经是怎么样编写代码的吗,一个一个打字输入行行代码,那时候也没现在这么智能化,能自动解析依赖什么。后来开发出IDE,引导自动补全之类功能,可算解决我们编码效率的难题了。之后IDE功能越来越强大,比如慢慢有了直接在ide中debug和通过ide进行版本管理。可是我们的开发场所还是局限在本机,一旦电脑出问题就GG了!时移今日,随着云计算兴起,"云端开发"这一概念相继来袭。
【OrangePi AIpro】从开箱到第一个AI应用开发
HHzdh的博客
05-27 1827
感谢优快云官方邀请,本文开箱并测试 OrangePi AIpro开发板的功能,同时体验了0-1从烧录到搭建第一个AI应用的过程并做相应记录。
OPENSSH服务
heibaikong6的博客
05-14 1403
文章目录0.什么是OpenSSH Secure Shell(SSH)1.远程连接服务器1.1什么是远程连接服务器1.2远程连接服务器的功能1.3常见的远程管理工具方式2. SSH3. TELNET4. 如何实现加密4.1 SSH算法4.2 SSL4.3加密技术4.3.1非对称加密4.3.2CA4.3.3密钥技术证书作用4.3.4PFX5. ssh两种验证级别6. 解读SSH服务配置信息7.ssh特...
SSH配置文件详解
weixin_33743880的博客
11-29 277
整理下SSH Server的配置文件中各项对其进行解释。一、sshd配置文件是:/etc/ssh/sshd_config,去掉注释后全文基本如下:Port22#设置ssh监听的端口号,默认22端口 ListenAddress:: ListenAddress0.0.0.0#指定监听的地址,默认监听所有; Protocol2,1#指定支持的S...
OpenSSH配置文件解析
子曰小玖的博客
05-11 2508
下面是对SSH配置文件的一些选项的分解说明,ssh_config是OpenSSH客户端的配置文件,sshd_config是OpenSSH服务器端的配置文件。 ssh_config的内容如下: # This is the ssh client system-wide configuration file. See ssh_config(5) for more information. This file provides defaults for users, and the values can be
Linux权限维持
weixin_41949487的博客
07-01 3160
在渗透过程中拿到目标权限只是开始,通常会留下后门以便再次访问(简称APT)。所以需要进行权限维持,隐藏后门。常见的Linux后门有cron后门、ssh后门、vim后门、隐藏文件、添加超级用户、alias后门等等,本文将对Linux下常见的权限维持后门技术进行解析。 添加用户 添加uid=0的用户 创建用户,并修改/etc/passwd文件 useradd tide;echo 'tide:123456' | chpasswd # 创建用户tide并修改密码为123456 vi /etc/passwd
Cent os ssh启动问题
老中医
06-02 6478
/etc/init.d/sshd 开启秘钥认证的UsePAM yes 选项,重启ssh服务 会报下面的错误 /etc/init.d/sshd restart Stopping sshd:                                             [  OK  ] Starting sshd: /etc/ssh/sshd_config line 97: Unsu
SSH常用功能介绍-高级功能
runqu的博客
05-12 1368
SSH(Secure Shell)是一种用于远程登录和执行命令的网络协议,它提供了加密的连接,保证了数据的安全性。除了基本的远程登录功能外,SSH还提供了许多高级功能,以下是一些常用的高级功能介绍:端口转发(Port Forwarding):通过SSH可以进行端口转发,将本地机器上的端口映射到远程机器上,或者将远程机器上的端口映射到本地机器上。这样可以实现在不直接访问远程机器的情况下,访问远程机器上的服务。
Linux:启动sshd服务的时候提示错误Unsupported option UsePAM
hhd1988的专栏
07-27 7855
Linux:启动sshd服务的时候提示错误Unsupported option UsePAM
Linux SSH 登录其他机器
ypf3027的专栏
02-14 4371
ssh命令用于远程登录上Linux主机。 常用格式:ssh [-l login_name] [-p port] [user@]hostname更详细的可以用ssh -h查看。 举例 不指定用户: ssh 192.168.0.11 指定用户: ssh -l root 192.168.0.11 ssh root@192.168.0.11 如果修改过ssh登...
用户认证总结
Wiil的博客
04-06 2400
客户实施过程中,遇到通过LDAP认证登陆计算节点,密码登陆一直失败,通过一顿的查资料才解决问题。解决后才发现有更简单的方法,记录如下。三个配置文件登陆计算节点,查看一下三个配置文件,该配置文件涉及用户认证方式。 /etc/pam_ldap.conf /etc/pam.d/sshd /etc/nslcd.conf
如何实现网络设备自动运维
最新发布
07-06
<think>嗯,用户这次聚焦在网络设备自动化运维的实现方法上,看来ta对基础设施层的自动化特别关注。之前我给出的通用运维方案里提到过Ansible,但用户显然需要更专业的网络设备管理方案。 用户引用的资料很有意思:[1]强调Python工具开发,[2]专门讲网络自动化,[3]展示了一个用Python实现的运维系统案例。这三点恰好构成完整解决方案:开发语言+专业方法+实践项目。尤其注意到[3]里用Ansible管理KVM集群的案例,这和网络设备自动化有共通之处。 网络设备自动化有特殊挑战:不同厂商的CLI差异大(思科IOS和华为VRP命令完全不同),需要兼容多协议(SSH/Netconf/API)。工具选型要重点考虑: - 基础层必须支持网络协议栈,比如Paramiko库处理SSH,ncclient处理Netconf - 配置管理要能解析差异化的设备配置,Napalm这类抽象层工具就很有必要 - 安全方面需特别注意,毕竟网络设备权限过高,推荐Vault加密凭据 用户可能没意识到的是,网络自动化其实分三个阶段:最基础的自动备份配置(用Python+Paramiko就能做),中级的配置合规检查(需Diff工具),高级的闭环自愈(要结合监控系统)。从ta提问方式看,可能还处于初级阶段。 那个用Redis做任务锁的案例[^3]很实用,网络设备批量更新时确实需要防并发冲突。不过要提醒用户,交换机固件升级这类高风险操作,即使全自动化也应该设置人工审批节点。</think>实现网络设备自动化运维的核心在于**标准化配置管理、状态监控自动化、故障自愈**三大支柱。以下是具体方法和工具推荐,结合Python开发能力构建高效体系: --- ### 一、配置自动化管理 #### 1. **网络设备配置标准化** - **工具**:`Netmiko`(Python库) + `Napalm`(多厂商API抽象层) - **原理**: - 通过SSH/Telnet/API连接设备 - 使用YAML或Jinja2模板生成标准化配置 - 批量推送并验证配置一致性 ```python # 示例:使用Netmiko批量配置交换机VLAN from netmiko import ConnectHandler devices = [ {"device_type": "cisco_ios", "ip": "192.168.1.1", "username": "admin", "password": "pass"}, {"device_type": "huawei", "ip": "192.168.1.2", "username": "admin", "password": "pass"} ] for device in devices: with ConnectHandler(**device) as conn: conn.send_config_set(["vlan 10", "name Sales"]) print(f"{device['ip']} 配置完成") ``` #### 2. **配置版本控制** - **工具**:`Git` + `Ansible` - **流程**: - 设备配置存储于Git仓库 - Ansible Playbook调用Napalm比对运行配置与仓库配置 - 自动修复配置漂移(参考[^3]) --- ### 二、智能监控与告警 #### 1. **实时状态采集** | 监控指标 | 采集工具 | 关键用途 | |----------------|-------------------|-----------------------------------| | 端口状态 | SNMP + Prometheus | 端口UP/DOWN实时告警 | | CPU/内存 | Telegraf | 性能瓶颈预测 | | BGP会话状态 | PySNMP库 | 网络连通性监控[^2] | #### 2. **拓扑自动发现** - **工具**:`NAPALM` + `NetworkX` ```python # 使用NAPALM获取设备LLDP邻居 from napalm import get_network_driver driver = get_network_driver('ios') with driver('192.168.1.1', 'admin', 'pass') as device: lldp_neighbors = device.get_lldp_neighbors() # 自动构建拓扑图[^1] ``` --- ### 三、故障自愈与编排 #### 1. **自动化故障处理** **场景案例**:端口异常关闭自愈 ```mermaid graph LR A[监控系统检测端口DOWN] --> B{是否持续5分钟?} B -->|是| C[Ansible执行端口重启] C --> D[验证端口状态] D -->|恢复| E[发送恢复通知] D -->|失败| F[触发二级告警] ``` #### 2. **网络编排引擎** - **工具**:`Nornir`(Python框架) + `StackStorm` - **能力**: - 故障场景预定义工作流 - 联动防火墙/负载均衡设备(如自动封禁攻击IP) --- ### 四、安全合规自动化 1. **配置审计** - 使用`PyATS`解析配置,检测密码强度、ACL策略违规 2. **漏洞扫描** - 集成`Anchore`检查设备固件CVE漏洞 --- ### 五、典型工具链组合方案 ```mermaid graph TD A[设备] -->|SNMP/Netconf| B(Prometheus+Telegraf) B --> C{Grafana仪表盘} A -->|SSH| D[Netmiko/Nornir] D --> E[Git配置仓库] F[Ansible] -->|调用| D G[ELK日志] -->|分析| H[自动告警规则] ``` --- ### 实施路径建议 1. **初级阶段**:先用Python+Netmiko实现配置备份自动化 2. **中级阶段**:引入Napalm统一多厂商设备,建立配置版本控制 3. **高级阶段**:集成Prometheus+告警平台,实现故障自愈闭环 > **关键挑战应对**: > - **厂商兼容性问题**:用NAPALM抽象层支持Cisco/Juniper/Huawei等设备 > - **操作风险**:通过Git回滚机制+预发布环境测试 > - **安全加固**:使用Ansible Vault加密凭证(参考[^3]的敏感数据加密) --- **相关问题** 1. 如何避免网络设备自动化配置中的误操作风险? 2. 多厂商设备环境如何统一监控指标? 3. 网络自动化运维需要哪些关键技能储备? 4. 如何验证自动化运维流程的有效性? 5. 传统CLI-based设备如何向API驱动转型?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值