У меня есть определенный пользователь (давайте называть его userтак в этом посте) на хосте, который выдает следующие ошибки при попытке подключения по SSH через аутентификацию с открытым ключом:
PTY allocation request failed on channel 0
Direct login access is disallowed
Первую ошибку я могу устранить с помощью ssh user@host "/bin/bash -i", но вторую ошибку обойти не могу.
Что я пробовал:
- Я могу
sudo -s(илиsudo -iпользователю root на хосте напрямую). - Пользователь заблокирован (
passwd -l user), я разблокировал и назначил пользователю пароль. Та же проблема. Однако я могу,su - userкак и любой другой пользователь, после того, как учетная запись разблокирована и применен пароль. - Я проверил
/etc/ssh/sshd_configна сервере, нет записей дляAllowUsers,AllowGroups,DenyUsers,DenyGroups. - Я могу подключиться по ssh напрямую как root без проблем.
- Я создал нового пользователя и могу подключаться к нему напрямую по SSH.
- Подтверждено, что выбор ключа SSH и authorized_keys настроены правильно, однако я не думаю, что это ключевая проблема.
/etc/passwdпоказывает, что пользователь/bin/bashустановил для своей оболочки./etc/security/access.confполностью закомментирован и не имеет никаких настроек.- перезапускал sshd много раз.
- Файла нет
/etc/login.blocks. /var/log/secure,/var/log/messages, ниjournalctl -fu sshdтолько показыватьSession openтогдаSession closed for user userssh user@host -vvvvvvvпросто показываетDirect login access is disallowed- перезагрузил хост.
Примечание: это система Rhel, в которой подписки пока не включены.
Что дает? Почему я не могу получить доступ к этому
решение1
Разобрался. Это был скрипт, который кто-то написал и который ограничивал доступ к хосту. Скрипт запускался после того, как кто-то подключался к пользователю через ssh.
Это было реализовано в user's ~/.ssh/authorized_keys.
Вот строка, которая отображалась в файле:
command="/home/user/script/that/was/causing/problems.sh", ssh-rsa ABC123hugepubliccipher==
После удаления command=раздела пользователи снова смогли войти по SSH.