"ssh user@machine1"에는 암호가 필요하지 않지만 "ssh root@machine2"에는 암호가 필요한 이유는 무엇입니까?

tag-icon tag-icon ssh security
"ssh user@machine1"에는 암호가 필요하지 않지만 "ssh root@machine2"에는 암호가 필요한 이유는 무엇입니까?

이것은 제가 조사한 DigitalOcean 로그인 문제에서 나온 것입니다.공식 DigitalOcean 지원 사이트에서 이 질문을 읽은 후. 나는 내 이니셜로 거절당했습니다.

ssh root@$IP_DO

위의 링크에서 먼저 범위를 다음과 같이 좁혔습니다.

ssh -o "IdentitiesOnly yes" -i ~/.ssh/id_rsa root@$IP_DO

위의 작업을 수행하면 암호를 묻는 메시지가 나타납니다. 비밀번호 관리자를 열었고, 물론 그 키에 비밀번호 문구를 설정해 두었습니다. 그것을 입력하면 들어갑니다.

(중요하다면 Digital Ocean 계정을 설정할 때 공개 키를 입력하고 드롭릿 생성을 위해 공개 키를 선택했습니다.)

약간의 ssh-add ~/.ssh/id_rsa암호를 한 번 입력했는데 이제 DigitalOcean에서 더 이상 암호를 요구하지 않습니다.

그러나 위의 ssh-add를 수행하기 전에도 항상 LAN에 있는 서버의 Virtualbox VM에 SSH를 통해 연결할 수 있었습니다. 이것은 bitnami VM입니다.

두 경우 모두 DigitalO cean과 VM은 ~/.ssh/authorized_keys동일한 내용을 보여줍니다.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC35MyHYQPWgHgxOffs2oI4jAJCTSldYr1tMb/LMogbTXtQW35mSsWexiwYjPIcdkkOl2Zqrt43696U1oZco90ibkFrbbXrqDGZssbaqfqk7

그리고 보면서/etc/ssh/sshd_config

디지털오션:

egrep 'Authentication|PAM|Pass' /etc/ssh/sshd_config | grep -v '^#
RSAAuthentication yes
PubkeyAuthentication yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM yes

uname -rv
4.4.0-93-generic #116-Ubuntu SMP Fri Aug 11 21:17:51 UTC 2017

비트나미 VM

egrep 'Authentication|PAM|Pass' /etc/ssh/sshd_config | grep -v '^#'
RSAAuthentication yes
PubkeyAuthentication yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes

uname -rv
3.16.0-4-amd64 #1 SMP Debian 3.16.43-2+deb8u2 (2017-06-26)

이제 해당 스레드를 더 자세히 읽으면 ssh-add ~/.ssh/id_rsa. 그것은 키의 암호를 요구했습니다.

이제 DigitalOcean과 VM 모두 암호 없이 작동하지만 VM에는 암호가 필요하지 않았는데 DigitalOcean은 왜 필요했는지 궁금합니다.

답변1

좋아요, 문제를 해결했고 무슨 일이 일어났는지 거의 확신합니다.

SSL은 다음에 저장된 원격 public_key를 시도합니다.승인_키챌린지 시스템을 사용하는 로컬 키와 비교합니다. 실제로 시도하는 순서를 알거나 제어할 수 없습니다.

machine1(VM) 루트는 ~/.ssh/authorized_keys암호로 보호되지 않은 내 키 중 하나를 가리킵니다.깃허브. 그것은 또한 가지고 있었다id_rsa, 하지만 이전에 접수되었기 때문에 이에 대해 물어본 적이 없습니다.id_rsa, 사용깃허브.

machine2(Digitalocean) 루트에는 ~/.ssh/authorized_keys내 보호되지 않은 항목에 대한 참조가 포함되어 있지 않습니다.깃허브ID 키를 사용하여 결국id_rsa. 그 이후id_rsa의 신원은 ssh-agent에 로드되지 않았으며 암호로 보호되어 있으므로 암호를 묻는 메시지가 표시되었습니다.

이는 승인된 키가 동일하다는 나의 진술과 모순됩니다. id_rsa의 항목은 두 파일 모두에 있었지만 Bitnami VM에는 다른 공개 키가 있었습니다.

관련 정보