[Comm] Непонятное что-то с ssh клиентом
Alexei V. Mezin
alexei.mezin на gmail.com
Вт Июн 11 01:03:27 MSK 2024
Продолжаю попытки запустить 2FA, на основе google authenticator или
oath. Ничего не помогает :(
pamtester sshd USERNAME authenticate
работает отлично, спрашивает пароль, затем код. То есть PAM работает
ровно так, как ожидается. Значит виноват ssh!
Обнаружил вот такое:
имеется сервер с p10, в /etc/pam.d/sshd включен вызов google
authenticator. При попытке зайти по ssh на этот хост с машины с p10 все
получается. Если попытаться зайти с машины с p11, то залогиниться
невозможною! Как так? Почему от версии клиента зависит возможность входа?!!
Вот что в логах клиента:
с работающей машины
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/alexei/.ssh/id_ed25519
debug1: Trying private key: /home/alexei/.ssh/id_rsa
debug1: Trying private key: /home/alexei/.ssh/id_ecdsa
debug1: Trying private key: /home/alexei/.ssh/id_dsa
debug1: Trying private key: /home/alexei/.ssh/id_xmss
debug2: we did not send a packet, disable method
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Verification code: 423918
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.200.254 ([192.168.200.254]:2022).
а вот с неработающей
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Will attempt key: /home/builder/.ssh/id_ed25519
debug1: Will attempt key: /home/builder/.ssh/id_ed25519_sk
debug1: Will attempt key: /home/builder/.ssh/id_rsa RSA
SHA256:rY52T/bfdmkk3Rs7re8vC1S41STJn437VocwteGAms4
debug1: Will attempt key: /home/builder/.ssh/id_ecdsa
debug1: Will attempt key: /home/builder/.ssh/id_ecdsa_sk
debug1: Will attempt key: /home/builder/.ssh/id_dsa
debug1: Will attempt key: /home/builder/.ssh/id_xmss
debug2: pubkey_prepare: done
debug1: Trying private key: /home/builder/.ssh/id_ed25519
debug1: Trying private key: /home/builder/.ssh/id_ed25519_sk
debug1: Offering public key: /home/builder/.ssh/id_rsa RSA
SHA256:rY52T/bfdmkk3Rs7re8vC1S41STJn437VocwteGAms4
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug1: Trying private key: /home/builder/.ssh/id_ecdsa
debug1: Trying private key: /home/builder/.ssh/id_ecdsa_sk
debug1: Trying private key: /home/builder/.ssh/id_dsa
debug1: Trying private key: /home/builder/.ssh/id_xmss
debug2: we did not send a packet, disable method
debug1: Next authentication method: password
alexei на 192.168.200.254's password:
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
ssh: Permission denied, please try again.
То есть в обоих случаях перечислены одинаковые методы аутентификации
publickey,password,keyboard-interactive
И в обоих случаях сначала проверяется наличие ключа. Но ключа нет. А
потом в работающем случае объявляется, что далее keyboard-interactive, и
запрашивается пароль, затем проверочный код, и в итоге удачный вход в
систему. А во втором случае переходит к password, выдается запрос на
пароль, но даже при верном пароле аутентификации не происходит, и запрос
на ввод кода не появляется. Хотя запрос допжен появляться всегда, даже
при неправильном пароле.
Различия в системах в версии клиента.
Подробная информация о списке рассылки community