Не может SSH без пароля к порту по умолчанию 22 с использованием аутентификации с открытым / закрытым ключом
Я правильно настроил аутентификацию с закрытым / открытым ключом для целевого сервера. Он работал до того, как я сделал обновление. Сервер является сервером GitLab CE, на котором запущен универсальный дистрибутив из репозитория Ubuntu 16.04. Проблема была обнаружена сразу после завершения процесса обновления, когда я не смог выполнить push / pull на целевом сервере. Оказывается, главная проблема может быть не из-за GitLab. Я использую версию GitLab GitLab CE 12.1.3
- Я проверил разрешение каталога
${HOME_USER}/.ssh/как для обычного пользователя, так и для/var/opt/gitlab/.ssh/, домашнего каталога по умолчанию Гитлаб. Он был настроен как700. - Файл
authorized_keysтакже был настроен как600 - , оба каталога
.ssh/полностью принадлежат его пользователю (например, пользователь git) - Я попытался повторно -сгенерировать также закрытый / открытый ключ, используя несколько типов из
ed25519, а также изrsa - Я проверил
/etc/ssh/sshd_config, а также/etc/ssh/ssh_config, он просто настроен как обычно, и он должен работать как есть - Я обнаружил, что это странное поведение, журнал не запускает аутентификацию с помощью публичной клавиши, если я использую порт по умолчанию (22), но он отлично работает с другим портом
- Нет настроек
ufw,firewall,fail2ban,selinuxи т. Д.
Ниже приведен журнал, который я получил при попытке подключиться через порт 22
MacBook-Pro-2:.ssh urhen$ ssh -vT git@gitlab-ce.example.com
OpenSSH_7.8p1, LibreSSL 2.6.2
debug1: Reading configuration data /Users/urhen/.ssh/config
debug1: /Users/urhen/.ssh/config line 2: Applying options for gitlab-ce.example.com
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 48: Applying options for *
debug1: /etc/ssh/ssh_config line 52: Applying options for *
debug1: Connecting to gitlab-ce.example.com port 22.
debug1: Connection established.
debug1: identity file /Users/urhen/.ssh/gitlab/id_rsa type 0
debug1: identity file /Users/urhen/.ssh/gitlab/id_rsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_7.8
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.2p2 Ubuntu-4ubuntu2.8
debug1: match: OpenSSH_7.2p2 Ubuntu-4ubuntu2.8 pat OpenSSH_7.0*,OpenSSH_7.1*,OpenSSH_7.2*,OpenSSH_7.3*,OpenSSH_7.4*,OpenSSH_7.5*,OpenSSH_7.6*,OpenSSH_7.7* compat 0x04000002
debug1: Authenticating to gitlab-ce.example.com:22 as 'git'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256@libssh.org
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:mDG0M8BFZ4vMyAD1OKjgC1/RHORl1WtalFqfDMthWLA
debug1: Host 'gitlab-ce.example.com' is known and matches the ECDSA host key.
debug1: Found key in /Users/urhen/.ssh/known_hosts:47
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: password
debug1: Next authentication method: password
git@gitlab-ce.example.com's password:
Пользовательский порт имеет следующий журнал, который позволяет аутентифицировать его с помощью открытого ключа
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512>
debug1: SSH2_MSG_SERVICE_ACCEPT received
, в то время как порт по умолчанию (22) всегда заканчивается аутентификацией с паролем без имея любой другой вариант. Я приложил полный журнал success.txt (пользовательский порт) и unsucessful.txt (порт 22) здесь
Я приветствую возможность «человеческой ошибки» и ценим внимание и предложение от вас, ребята. Ранее я писал на неправильном форуме , я считаю, что это правильный форум.
РЕДАКТИРОВАТЬ: Я нашел решение, на самом деле основную причину, оказалось, что есть межсетевой экран / шлюз, обеспечивающий особую политику, которая принимает только аутентификацию по паролю для порта 22 в передней части сеть. Он был применен в сети компании, которые легче воспроизвести здесь. Это на самом деле работает, как только политика снята и с использованием существующей конфигурации.