Почему ssh запрашивает пароль, если в настройках это выключено?

Question

[historydev]

/etc/ssh/sshd_config:

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
PermitRootLogin no

При обращении ssh user@host просит ввести пароль, один раз получалось достичь сообщения "host key not accepted" или как-то так.

Хочу чтобы можно было обращаться только с ssh ключём, не хочу настраивать на каждой виртуалке fail2ban.

Сеть у них одна и они должны иметь доступ друг к другу по ssh.

Comments

[res2001]

Сам ключ может быть запаролен, в этом случае ssh требует пароль от ключа.
При создании ключа можно задать пароль (или не задавать).

[Drno]

fail2ban настраивается 1 командой -
sudo apt-get install fail2ban -y

[historydev]

res2001, не задавал passphrase

[historydev]

Drno, в моём случае debian 12 based, пришлось заменять logpath на journal и backend на systemd.

[Сергей Соколов]

ssh -vvv user@host выведет подробные дебажные сообщения, что он там пытался и что пошло не так.
Длинный лог можно и сюда в комменты, если не возникнет идей. Самое интересное в конце лога.

[historydev]

Сергей Соколов, вывел verbose в комментариях к ответу AlexVWill

[historydev]

Сергей Соколов, 2 способа предлагает, через ключ или через пароль

Answer 1

[historydev]

Нашёл проблему, у меня в файле подключался ещё один конфиг Include /etc/ssh/sshd_config.d/*.conf

Он включает вход по паролю, мои настройки шли после подключения этого файла, однако они не перезаписали его почему-то.

Comments

[Oleg P.]

добавь к вызову `ssh` ключ `-v`, все настройки увидишь сразу

Answer 2

[AlexVWill]

Давай начнем с простого:
sudo service sshd restart
делал?
Ключи то для доступа, надеюсь сделал? Вообще, пока не настроен доступ по ключу для какого то пользователя, блокировать доступ по паролю не рекомендуется.
Сделай еще строку вида:
AllowUsers user0 user1 user2
Чтобы только указанные пользователи могли аутентифицироваться, сразу отсеешь 90% пионерских атак.

не хочу настраивать на каждой виртуалке fail2ban

А fail2ban ты рассматриваешь только как способ защиты от подбора пароля ssh сессии?

Comments

[historydev]

Разумеется делал, всеми возможными пособами:

/init/что-то там
systemctl restart ssh
service restart ssh

Машину перезапускал тоже.

f2b да, не знаю какие у него ещё функции есть, пока не важно.

Буквально вчера узнал о нём.

[Everything_is_bad]

historydev,

/init/что-то там
systemctl restart ssh
service restart ssh

ну это же какой-то фейл, ты не знаешь что у тебя стоит что-ли? Достаточно одного способа, почти у всех современных это systemctl, кроме этого надеюсь там был всё таки sshd, а не ssh

[historydev]

Everything_is_bad, разницы нет между ssh и sshd, один и тот-же ssh.service

[AlexVWill]

historydev,
а покажи, ты точно так ssh user@host команду вводишь? Без указания ключа пароль просит, и зайти дает при этом?
Путь для ключа не вводишь? В базу ключей добавил все? Возможно просто просит пароль от ключа?

[pfg21]

Как вариант ключ сгенерирован с защитой паролем ??

[historydev]

AlexVWill,

C:\Users\USER\Desktop\ssh_keyses>ssh -v -p 6122 nginx-user@192.168.0.106
OpenSSH_for_Windows_8.6p1, LibreSSL 3.4.3
debug1: Authenticator provider $SSH_SK_PROVIDER did not resolve; disabling
debug1: Connecting to 192.168.0.106 [192.168.0.106] port 6122.
debug1: Connection established.
debug1: identity file C:\\Users\\USER/.ssh/id_rsa type 0
debug1: identity file C:\\Users\\USER/.ssh/id_rsa-cert type -1
debug1: identity file C:\\Users\\USER/.ssh/id_dsa type -1
debug1: identity file C:\\Users\\USER/.ssh/id_dsa-cert type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ecdsa type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ecdsa-cert type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ecdsa_sk type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ed25519 type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ed25519-cert type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ed25519_sk type -1
debug1: identity file C:\\Users\\USER/.ssh/id_ed25519_sk-cert type -1
debug1: identity file C:\\Users\\USER/.ssh/id_xmss type -1
debug1: identity file C:\\Users\\USER/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_for_Windows_8.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.9p1 Ubuntu-3ubuntu0.6
debug1: compat_banner: match: OpenSSH_8.9p1 Ubuntu-3ubuntu0.6 pat OpenSSH* compat 0x04000000
debug1: Authenticating to 192.168.0.106:6122 as 'nginx-user'
debug1: load_hostkeys: fopen C:\\Users\\USER/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen __PROGRAMDATA__\\ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen __PROGRAMDATA__\\ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:sLMdLpcorlIwSavaXvaF9MBEh1ikSWrtObFoo6HB11Q
debug1: load_hostkeys: fopen C:\\Users\\USER/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen __PROGRAMDATA__\\ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen __PROGRAMDATA__\\ssh/ssh_known_hosts2: No such file or directory
debug1: Host '[192.168.0.106]:6122' is known and matches the ED25519 host key.
debug1: Found key in C:\\Users\\USER/.ssh/known_hosts:1
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 134217728 blocks
debug1: pubkey_prepare: ssh_get_authentication_socket: No such file or directory
debug1: Will attempt key: C:\\Users\\USER/.ssh/id_rsa RSA SHA256:M3fuaCRaMaLX/C9+Ql2PLrrrPZ/+2OHbLydx1H11KlI
debug1: Will attempt key: C:\\Users\\USER/.ssh/id_dsa
debug1: Will attempt key: C:\\Users\\USER/.ssh/id_ecdsa
debug1: Will attempt key: C:\\Users\\USER/.ssh/id_ecdsa_sk
debug1: Will attempt key: C:\\Users\\USER/.ssh/id_ed25519
debug1: Will attempt key: C:\\Users\\USER/.ssh/id_ed25519_sk
debug1: Will attempt key: C:\\Users\\USER/.ssh/id_xmss
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,sk-ssh-ed25519@openssh.com,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,webauthn-sk-ecdsa-sha2-nistp256@openssh.com>
debug1: kex_input_ext_info: publickey-hostbound@openssh.com (unrecognised)
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key: C:\\Users\\USER/.ssh/id_rsa RSA SHA256:M3fuaCRaMaLX/C9+Ql2PLrrrPZ/+2OHbLydx1H11KlI
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: C:\\Users\\USER/.ssh/id_dsa
debug1: Trying private key: C:\\Users\\USER/.ssh/id_ecdsa
debug1: Trying private key: C:\\Users\\USER/.ssh/id_ecdsa_sk
debug1: Trying private key: C:\\Users\\USER/.ssh/id_ed25519
debug1: Trying private key: C:\\Users\\USER/.ssh/id_ed25519_sk
debug1: Trying private key: C:\\Users\\USER/.ssh/id_xmss
debug1: Next authentication method: password
nginx-user@192.168.0.106's password:

[historydev]

pfg21, нет, на этапе выбора passphrase просто enter нажимал

[res2001]

historydev, По умолчанию используется приватный ключ C:\\Users\\USER/.ssh/id_rsa
Если это не то что нужно, то задайте файл ключа вручную с помощью опции -i.
Парный публичный ключ должен лежать на стороне сервера в ~/.ssh/authorized_keys с соответствующими правами и владельцем.

[historydev]

res2001, чтобы сработала настройка должен быть ключ в authorized_keys?

[historydev]

res2001,

Я закинул публичный ключ на сервер, если я передаю аргументом приватный ключ, меня спокойно подключает.

Если я не указываю, я ожидаю сообщения о том, что у меня нет ключа и отклонение запроса, а мне предлагает ввести пароль от юзера.

[res2001]

historydev,

Если я не указываю, я ожидаю сообщения о том, что у меня нет ключа и отклонение запроса, а мне предлагает ввести пароль от юзера.

Странно. На вскидку вроде бы в конфиге сервера опции в норме, но я сейчас не могу проверить.
Как вариант - сервер использует какой-то другой конфиг, где разрешены оба варианта.

[AlexVWill]

конфиг покажи целиком?