Eu segui a prática comum de permitir apenas login de chave pública com SSH no Debian, então de alguma forma eu acidentalmente mudei a permissão da pasta ~/.ssh/ (acho que ela pertence ao root), depois disso o openSSH se recusou a me logar! (e o servidor estava em um país diferente, sem console remoto/KVM)
Acho essa configuração bastante frágil. Existe uma maneira de evitar isso e talvez apenas me avisar no próximo login?
Se não houver solução, terei que configurar uma senha de login forte como backup, não importa o que todos digam.
Encontrou uma pergunta de bloqueio semelhante, mas a alteração do iptable/configuração foi a causa raiz: Evite ser bloqueado ao configurar SSH e iptables Não mudei a configuração, então não esperava um bloqueio.
Responder1
Os hosts precisam de um método de acesso alternativo para serem recuperados. O ssh pela Internet exige que tudo funcione normalmente: acesso à rede, regra de permissão de firewall, sshd em execução e configurado, arquivos de chave protegidos. Qualquer uma dessas interrupções não pode entrar. O acesso fora de banda mais confiável não depende da rede IP no host para funcionar.
Se for uma VM, talvez desligue-a e anexe o disco a alguma outra instância funcional para repará-la. Não é o ideal, mas requer apenas que você tenha acesso ao disco.
Um backup dos dados fora do host permite criar um novo host substituto. Pode parecer bobagem destruir e reconstruir só porque o acesso ssh foi perdido, mas continua sendo uma opção de recuperação.
Para evitar o problema em primeiro lugar, uma verificação de sintaxe da configuração do sshd ( sshd -T -fpara OpenSSH) não detectará tudo. O teste ponta a ponta pode ser feito iniciando outro sshd, em uma porta diferente, com tudo igual, exceto o número da porta. Conecte-se remotamente para testar se tudo está funcionando. Infelizmente, mesmo tomar esse cuidado não irá detectar coisas não intencionais, como uma alteração de permissões nos diretórios iniciais que acidentalmente torna os arquivos ssh inseguros. Ou uma mudança no IP que possa alterar o efetivo ssh_configdevido às Matchpalavras-chave.
As senhas continuam sendo um mecanismo de autenticação terrível.