GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Wie konfiguriere ich SSH, damit nicht alle Identitätsdateien automatisch ausprobiert werden?

Sie können den IdentitiesOnly=yes verwenden Option zusammen mit IdentityFile (siehe Manpage ssh_config). Auf diese Weise können Sie angeben, nach welchen Dateien gesucht werden soll.

In diesem Beispiel wird ssh nur Sehen Sie sich die in den ssh_config-Dateien angegebenen Identitäten + die 4 auf der Befehlszeile aufgelisteten an (die vom Agenten bereitgestellten Identitäten werden ignoriert):

ssh -o IdentitiesOnly=yes \
    -o IdentityFile=id1.key \
    -o IdentityFile=id2.key \
    -i id3.key \
    -i id4.key \
    [email protected]

Die Formen -i und -o IdentityFile= sind austauschbar.

In .ssh/config , können Sie die Konfiguration wie folgt einfügen:

Host example
User user123
Hostname example.com
IdentityFile ~/.ssh/id_rsa_example
IdentityFile ~/.ssh/id_rsa_example2
IdentitiesOnly yes

Die kurze Antwort von user76528 ist richtig, aber ich hatte gerade dieses Problem und dachte, eine Ausarbeitung wäre nützlich. Diese Lösung könnte Sie auch interessieren, wenn Sie sich gefragt haben:„Warum ignoriert ssh meine Identitätsdatei-Konfigurationsoption“?

Erstens verwendet ssh im Gegensatz zu jeder anderen Option in ssh_config nicht den ersten IdentityFile dass es findet. Stattdessen die IdentityFile Option fügt diese Datei einer Liste der verwendeten Identitäten hinzu. Sie können mehrere IdentityFile stapeln Optionen, und der ssh-Client probiert sie alle aus, bis der Server eine akzeptiert oder die Verbindung ablehnt.

Zweitens, wenn Sie einen ssh-Agenten verwenden, wird ssh automatisch versuchen, die Schlüssel im Agenten zu verwenden, selbst wenn Sie sie nicht mit der Option IdentityFile (oder -i) von ssh_config angegeben haben. Dies ist ein häufiger Grund, warum Sie möglicherweise den Too many authentication failures for user erhalten Error. Mit IdentitiesOnly yes Option wird dieses Verhalten deaktivieren.

Wenn Sie als mehrere Benutzer zu mehreren Systemen ssh, empfehle ich, IdentitiesOnly yes einzugeben in Ihrem globalen Abschnitt von ssh_config und setzen Sie jeden IdentityFile innerhalb der entsprechenden Host-Unterabschnitte.


Ich mache es generell so:

$ ssh -o IdentitiesOnly=yes -F /dev/null -i ~/path/to/some_id_rsa [email protected]

Die Optionen sind wie folgt:

  • -o IdentitiesOnly=yes - weist SSH an, nur Schlüssel zu verwenden, die über die CLI bereitgestellt werden, und keine von $HOME/.ssh oder per ssh-agent
  • -F /dev/null - deaktiviert die Verwendung von $HOME/.ssh/config
  • -i ~/path/to/some_id_rsa - den Schlüssel, den Sie ausdrücklich für die Verbindung verwenden möchten

Beispiel

$ ssh -v -o IdentitiesOnly=yes -F /dev/null -i ~/my_id_rsa [email protected]
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
debug1: Reading configuration data /dev/null
debug1: Connecting to someserver.mydom.com [10.128.12.124] port 22.
debug1: Connection established.
debug1: identity file /Users/sammingolelli/my_id_rsa type 1
debug1: identity file /Users/sammingolelli/my_id_rsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH_5*
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA f5:60:30:71:8c:a3:da:a3:fe:b1:6d:0b:20:87:23:e1
debug1: Host 'someserver' is known and matches the RSA host key.
debug1: Found key in /Users/sammingolelli/.ssh/known_hosts:103
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/sammingolelli/my_id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
Authenticated to someserver.mydom.com ([10.128.12.124]:22).
debug1: channel 0: new [client-session]
debug1: Requesting [email protected]
debug1: Entering interactive session.
Last login: Tue Dec  8 19:03:24 2015 from 153.65.219.15
someserver$

Beachten Sie in der obigen Ausgabe, dass ssh hat nur den my_id_rsa identifiziert privaten Schlüssel über die CLI und dass es ihn verwendet, um sich mit einem Server zu verbinden.

Insbesondere diese Abschnitte:

debug1: identity file /Users/sammingolelli/my_id_rsa type 1
debug1: identity file /Users/sammingolelli/my_id_rsa-cert type -1

und:

debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/sammingolelli/my_id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).

Linux

  1. So konfigurieren Sie die SSH-Schlüssel-basierte Authentifizierung in Linux

  2. So ändern Sie die Identität eines Linux-Systems

  3. Wie ändere ich die Erweiterung mehrerer Dateien?

  4. Wie konfiguriere ich Bashrc so, dass alle Tmux-Sitzungen geschlossen werden, wenn ich das Terminal schließe?

  5. Wie führe ich automatisch Befehle bei der SSH-Anmeldung aus?

So übertragen Sie Dateien mit Rsync über SSH

So finden Sie Dateien mit dem fd-Befehl in Linux

So speichern Sie heruntergeladene Dateien automatisch in Brave Browser

So ändern Sie den SSH-Port in CentOS

So konfigurieren Sie Timeout auf SSH-Client-Putty

Wie lösche ich die Anmeldeinformationen in AWS Configure?