Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps

Диагностика и устранение ошибок аутентификации SSH

Исправляйте ошибки аутентификации SSH с помощью подробных клиентских логов, серверных логов, проверки прав доступа, валидации ключей и настроек sshd.

Диагностика и устранение ошибок аутентификации SSH

Secure Shell (SSH) является основой безопасного удаленного администрирования, обеспечивая зашифрованный доступ к серверам и сетевым устройствам. Однако ошибки аутентификации — распространенная и часто разочаровывающая проблема для системных администраторов и разработчиков. Эти проблемы могут быть вызваны множеством причин, от простых опечаток до сложных проблем с правами доступа или неправильных настроек.

Эта статья представляет собой исчерпывающее руководство по эффективной диагностике и устранению ошибок аутентификации SSH. Мы рассмотрим систематические методы устранения неполадок, уделяя особое внимание критической роли подробного вывода на стороне клиента и анализа журналов на стороне сервера. Понимая, как интерпретировать эти диагностические подсказки, вы сможете определить основную причину большинства проблем с аутентификацией и восстановить безопасный удаленный доступ.

Понимание методов аутентификации SSH

Прежде чем углубляться в устранение неполадок, важно понять основные методы аутентификации, используемые SSH:

  • Аутентификация по паролю: Пользователь предоставляет пароль, который сервер проверяет в своей базе данных пользователей или во внешней службе аутентификации (например, PAM).
  • Аутентификация по открытому ключу: Этот более безопасный метод использует пару криптографических ключей: закрытый ключ, хранящийся на клиенте, и соответствующий открытый ключ, хранящийся на сервере. При аутентификации клиент использует свой закрытый ключ для подтверждения своей личности, никогда не отправляя закрытый ключ по сети.

Ошибки аутентификации могут возникать при любом методе, но шаги по устранению неполадок часто различаются.

Первичные проверки и распространенные ошибки

Прежде чем углубляться в подробные журналы, разумно выполнить несколько базовых проверок, так как многие проблемы часто являются простыми упущениями:

  • Правильное имя пользователя и имя хоста: Перепроверьте, что вы используете правильное имя пользователя и точное имя хоста или IP-адрес целевого сервера.
  • Сетевое подключение: Можете ли вы вообще достичь сервера? Используйте nc -vz host 22 или ssh -vvv для проверки доступности SSH. ping может помочь, но многие серверы блокируют ICMP, даже если SSH работает.
    ping example.com
  • Состояние службы SSH: Действительно ли SSH-сервер (sshd) запущен на целевой машине? Если у вас есть консольный доступ, проверьте его состояние.
    sudo systemctl status sshd # Для систем на systemd (большинство современных Linux)
sudo service sshd status    # Для старых init-систем
  • Порт SSH: Слушает ли демон SSH на порту по умолчанию (22) или на нестандартном порту? Если порт нестандартный, вам нужно указать его с помощью -p.
  • Правила брандмауэра: Есть ли какие-либо брандмауэры (на стороне клиента или сервера), блокирующие порт 22 (или ваш нестандартный порт SSH)? Проверьте серверные брандмауэры, такие как ufw, firewalld или группы безопасности AWS.
    sudo ufw status
sudo firewall-cmd --list-all

Диагностика на стороне клиента: использование подробного режима

SSH-клиент предлагает подробные режимы (-v, -vv, -vvv), которые предоставляют детальную отладочную информацию о процессе подключения и попытках аутентификации. Этот вывод бесценен для понимания того, почему клиент считает, что аутентификация не удалась.

Использование флагов подробности

  • -v: Подробный вывод.
  • -vv: Более подробный вывод.
  • -vvv: Еще более подробный вывод (часто наиболее полезен для проблем с аутентификацией).

Пример команды:

ssh -vvv username@your_server_ip

Интерпретация подробного вывода

При запуске ssh в подробном режиме ищите ключевые строки, указывающие, где происходит сбой процесса аутентификации:

  • debug1: Authentications that can continue:: Эта строка сообщает вам, какие методы аутентификации сервер готов принять. Если ваш желаемый метод (например, publickey) не указан, конфигурация сервера препятствует его использованию.
    debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
  • debug1: Offering public key:: Это указывает, что ваш клиент пытается использовать определенный открытый ключ для аутентификации. Если вы ожидаете аутентификацию по открытому ключу, но не видите этого, ваш клиент не находит или не предлагает ключ.
    debug1: Offering public key: /home/user/.ssh/id_rsa RSA SHA256:...
  • debug3: send_pubkey_test: ... trying private key: /home/user/.ssh/id_rsa: Это подтверждает, что клиент пытается использовать определенный закрытый ключ.
  • debug1: Server accepts key: ...: Это указывало бы на успешную аутентификацию по открытому ключу с точки зрения клиента. Если вы не видите этого, ключ, вероятно, был отклонен сервером.
  • debug1: No more authentication methods to try.: Это часто появляется непосредственно перед ошибкой Permission denied и означает, что клиент исчерпал все доступные методы аутентификации без успеха.
  • debug1: Permission denied (publickey,password).: Это окончательная ошибка на стороне клиента, обобщающая отклонение сервером всех попыток.

Совет: Обратите пристальное внимание на порядок предлагаемых и принимаемых методов аутентификации. Если publickey предлагается, но затем сразу же следует запрос пароля, это часто означает, что сервер отклонил открытый ключ.

Диагностика на стороне сервера: анализ журналов SSH-сервера

В то время как подробный вывод на стороне клиента показывает, что клиент пытается сделать, журналы сервера предоставляют окончательную информацию о том, почему сервер отклонил попытку аутентификации. Это часто является наиболее критическим шагом в анализе первопричин.

Поиск журналов SSH-сервера

Расположение журналов SSH-сервера зависит от операционной системы:

  • Debian/Ubuntu и производные: /var/log/auth.log
  • RHEL/CentOS/Fedora и производные: /var/log/secure
  • Системы на systemd (большинство современных Linux): Также можно использовать journalctl.

Просмотр и фильтрация журналов сервера

Используйте такие инструменты, как tail или journalctl, для мониторинга журналов в реальном времени или фильтрации записей, относящихся к SSH.

Примеры команд:

# Для Debian/Ubuntu
sudo tail -f /var/log/auth.log | grep sshd

# Для RHEL/CentOS
sudo tail -f /var/log/secure | grep sshd

# Для систем на systemd (наиболее надежный способ просмотра текущих журналов)
sudo journalctl -u sshd -f

# Для просмотра всех журналов sshd с начала (полезно, если сбой произошел раньше)
sudo journalctl -u sshd

Распространенные записи в журналах сервера и их значения

Ищите сообщения, связанные с sshd, при попытке подключения. Вот некоторые распространенные записи, указывающие на ошибки аутентификации:

  • Failed password for user from IP port ssh2: Указывает на неудачную попытку аутентификации по паролю. Это может быть связано с неправильным паролем или если пользователю не разрешен вход по паролю.
  • Authentication refused: bad ownership or modes for directory /home/user/.ssh: Это очень распространенная ошибка аутентификации по открытому ключу. Каталог .ssh на сервере имеет неправильные разрешения.
    • Решение: chmod 700 /home/user/.ssh
  • Authentication refused: bad ownership or modes for file /home/user/.ssh/authorized_keys: Еще одна распространенная ошибка открытого ключа, указывающая на то, что файл authorized_keys имеет неправильные разрешения.
    • Решение: chmod 600 /home/user/.ssh/authorized_keys
  • sshd[PID]: error: Permissions 0777 for '/home/user/.ssh/authorized_keys' are too open.: Явно указывает на проблему с излишне разрешительными режимами файлов. SSH очень строг в отношении разрешений по соображениям безопасности.
  • User username from IP not allowed because not listed in AllowUsers: Пользователю не разрешен вход через SSH в соответствии с директивой AllowUsers в /etc/ssh/sshd_config.
  • User username from IP not allowed because listed in DenyUsers: Пользователю явно запрещен доступ по SSH директивой DenyUsers.
  • input_userauth_request: invalid user username: Предоставленное имя пользователя не существует на сервере.
  • Failed publickey for user или повторяющиеся предложенные ключи, за которыми следует пароль: открытый ключ, представленный клиентом, не соответствует принятому ключу для этого пользователя, или сервер отклонил ключ из-за разрешений или политики.
  • Maximum authentication attempts exceeded for user from IP: Клиент попробовал слишком много методов аутентификации или отправил слишком много неверных учетных данных. Контролируется параметром MaxAuthTries в sshd_config.
  • Connection closed by authenticating user IP port 22 [preauth]: Это может произойти, если не был найден приемлемый метод аутентификации или если клиент внезапно закрывает соединение после сбоя.

Распространенные сценарии ошибок аутентификации и их решения

Давайте классифицируем распространенные сбои и их конкретные способы устранения.

1. Ошибки аутентификации по паролю

  • Неправильный пароль: Самая простая проблема. Перепроверьте свой пароль. Учитывайте раскладку клавиатуры, Caps Lock или Num Lock.
  • Пользователь не разрешен: Файл sshd_config (/etc/ssh/sshd_config) может ограничивать вход для определенных пользователей.
    • PermitRootLogin no: Запрещает вход root (настоятельно рекомендуется для безопасности).
    • AllowUsers username1 username2: Только указанные пользователи могут входить.
    • DenyUsers username: Указанные пользователи не могут входить.
    • AllowGroups groupname: Только пользователи указанных групп могут входить.
    • Решение: Отрегулируйте директивы sshd_config и перезапустите sshd.
  • Проблемы с PAM: Если сервер использует подключаемые модули аутентификации (PAM), проблемы с конфигурацией PAM могут препятствовать аутентификации по паролю. Проверьте /var/log/auth.log на наличие ошибок, связанных с PAM. Это менее распространено для базовых настроек SSH.

2. Ошибки аутентификации по открытому ключу

Аутентификация по открытому ключу часто более безопасна, но более подвержена ошибкам, связанным с конфигурацией.

  • Неправильные разрешения файлов/каталогов (на стороне сервера): Это самая распространенная причина. SSH требует строгих разрешений для ~/.ssh и ~/.ssh/authorized_keys в целях безопасности.
    • ~: Домашний каталог пользователя не должен быть доступен для записи всем (chmod 755 ~ обычно безопасно).
    • ~/.ssh: Должен быть 700 (rwx только для владельца).
      chmod 700 ~/.ssh
    • ~/.ssh/authorized_keys: Должен быть 600 (rw только для владельца).
      chmod 600 ~/.ssh/authorized_keys
    • Владелец этих файлов и каталогов должен быть пользователем, пытающимся войти.
      sudo chown -R username:username ~/.ssh
  • Неправильное содержимое authorized_keys: Открытый ключ в ~/.ssh/authorized_keys может быть поврежден, содержать лишние символы или быть в неправильном формате. Каждый ключ должен быть на одной строке. Быстрый способ обеспечить правильный формат — использовать ssh-copy-id с клиента.
    ssh-copy-id -i ~/.ssh/id_rsa.pub username@your_server_ip
    Чтобы проверить отпечаток вашего открытого ключа на стороне клиента, используйте: ssh-keygen -l -f ~/.ssh/id_rsa.pub
  • Клиент не предлагает ключ: Закрытый ключ может находиться не в расположении по умолчанию (~/.ssh/id_rsa), не загружен в ssh-agent, или вы не указали его с помощью -i.
    • Решение: Убедитесь, что ваш закрытый ключ — id_rsa (или id_ed25519 и т.д.) в ~/.ssh и имеет разрешения 600. Если нет, укажите его:
      ssh -i /path/to/your/private_key username@your_server_ip
    • При использовании ssh-agent убедитесь, что ваш ключ добавлен:
      eval "$(ssh-agent -s)"
ssh-add ~/.ssh/your_private_key
  • sshd_config запрещает аутентификацию по открытому ключу: Демон SSH на сервере может быть настроен на запрет аутентификации по открытому ключу.
    • Проверьте PubkeyAuthentication yes в /etc/ssh/sshd_config.
    • Проверьте AuthorizedKeysFile .ssh/authorized_keys, чтобы убедиться, что он указывает на правильный файл. Значение по умолчанию обычно подходит.
    • Решение: Установите PubkeyAuthentication yes и перезапустите sshd.
  • Вмешательство SELinux/AppArmor: В системах с SELinux или AppArmor эти модули безопасности могут иногда блокировать доступ SSH к домашним каталогам пользователей или файлам .ssh, даже если разрешения файлов верны. Проверьте журналы аудита (/var/log/audit/audit.log или sudo ausearch -m AVC -ts recent) на предмет подсказок. Это продвинутый сценарий.

3. Отказ в соединении или тайм-аут

Хотя это не совсем «ошибки аутентификации», они часто предшествуют попыткам аутентификации и препятствуют их началу.

  • Блокировка брандмауэром: Проверьте брандмауэры как на клиенте (например, локальный брандмауэр ОС), так и на сервере (например, ufw, firewalld, облачные группы безопасности, сетевые ACL). Убедитесь, что порт 22 (или нестандартный порт) открыт.
  • SSH-сервер не запущен: Служба sshd может быть неактивна или аварийно завершена.
  • Неправильный порт/IP: Попытка подключиться к неправильному порту или IP-адресу.

Общие советы по отладке

  • Проверьте sshd_config: Всегда просматривайте /etc/ssh/sshd_config на сервере на предмет любых нестандартных настроек, которые могут мешать. После внесения изменений всегда перезапускайте демон SSH: sudo systemctl restart sshd (или sudo service sshd restart).
  • Проверьте с новым пользователем/ключом: Если возможно, создайте нового пользователя и новую пару открытого/закрытого ключа. Попробуйте аутентифицироваться с этой новой настройкой. Если это сработает, проблема связана с конфигурацией исходного пользователя.
  • Изолируйте проблему: Попробуйте подключиться с другой клиентской машины. Если это сработает, проблема связана с клиентом. Если не удается с нескольких клиентов, проблема связана с сервером.
  • Увеличьте LogLevel (на стороне сервера): Для глубокой отладки вы можете временно установить LogLevel DEBUG в /etc/ssh/sshd_config и перезапустить sshd. Не забудьте вернуть эту настройку после устранения неполадок, так как отладочные журналы могут быть очень подробными и занимать место на диске.

Вывод

Используйте ssh -vvv, чтобы увидеть, что предлагает ваш клиент, затем проверьте журналы сервера, чтобы узнать, почему sshd отклонил это. Большинство сбоев открытых ключей сводятся к неправильному ключу, отсутствующей записи в authorized_keys, строгим разрешениям файлов или правилу sshd_config, которое блокирует пользователя или метод.