Q&A
情報が足りないので下記を追記してください
- sshしようとしているユーザ
- sshする際に使っている鍵名
- sshの鍵が置いてあるディレクトリ(どのユーザのホームディレクトリにあるか)
AWSのec2インスタンスにssh接続し、追加したユーザーでログインし
terminal
1$ sudo su AAAA 2$ sudo git init --bare --share
という作業をしたためか、それ以降
terminal
1permission denied
となりssh接続できなくなりました。
2週間、解決策を調べて様々な方法を試しているのですが、全く進捗がありません。
こちら解決方法がお分かりになる方、アドバイス頂けませんでしょうか・。
よろしくお願い致します。
debug1: Reading configuration data /Users/AAAA/.ssh/config debug1: /Users/AAAA/.ssh/config line 11: Applying options for IP debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 48: Applying options for * debug1: Connecting to IP [IP] port 22. debug1: Connection established. debug1: identity file APP.pem type -1 debug1: identity file APP.pem-cert type -1 debug1: identity file /Users/AAAA/.ssh/id_rsa type 0 debug1: identity file /Users/AAAA/.ssh/id_rsa-cert type -1 debug1: Local version string SSH-2.0-OpenSSH_7.9 debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4 debug1: match: OpenSSH_7.4 pat OpenSSH_7.0*,OpenSSH_7.1*,OpenSSH_7.2*,OpenSSH_7.3*,OpenSSH_7.4*,OpenSSH_7.5*,OpenSSH_7.6*,OpenSSH_7.7* compat 0x 04000002 debug1: Authenticating to IP as 'ec2-user' debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: algorithm: curve25519-sha256 debug1: kex: host key algorithm: ecdsa-sha2-nistp256 debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none debug1: expecting SSH2_MSG_KEX_ECDH_REPLY debug1: Server host key: ecdsa-sha2-nistp256 SHA256:2OnJxo4rMEk6h2il26pyo/fBIxqa81zTyiDYUTpIew4 debug1: Host 'IP' is known and matches the ECDSA host key. debug1: Found key in /Users/AAAA/.ssh/known_hosts:7 debug1: rekey after 134217728 blocks debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: rekey after 134217728 blocks debug1: Will attempt key: /Users/AAAA/.ssh/id_rsa RSA SHA256:m4yBNbZPQD9mrkdmhT5axPTeMQQynIGT335ParcXCyY explicit agent debug1: Will attempt key: APP.pem explicit debug1: SSH2_MSG_EXT_INFO received debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512> debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Next authentication method: publickey debug1: Offering public key: /Users/AAAA/.ssh/id_rsa RSA SHA256:m4yBNbZPQD9mrkdmhT5axPTeMQQynIGT335ParcXCyY explicit agent debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Trying private key: APP.pem debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: No more authentication methods to try. ec2-user@IP: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
sshしようとしてるユーザーはAAAA
鍵名はAPP.pem
鍵はAAAAのホームディレクトリにあります!
EC2インスタンスに対してAAAAユーザでSSHログインしたいということですか?
もともとEC2インスタンスにはAAAAユーザとしてSSHでログインできていたんですか?
sshログイン時のコマンドを具体的に記載してください。(IPやホストはマスクしてください。)
EC2インスタンスにec2-userでログインし、AAAAにアカウント切り替えを行うことが目的です。
以前はEC2インスタンスにec2-userdeでログインし、AAAAに切り替えができていました。
以前下記のコマンドを行って以降、sshログインができなくなりました。
$ ssh -i APP.pem ec2-user@IP
[ec2-user@IP 〜]$ sudo su AAAA
[AAAA@IP 〜]$ sudo git init --bare --share
そして現在以下のコマンドでsshログインしようとすると拒否されてしまいます。
$ ssh -i APP.pem ec2-user@IP
ec2-user@IP: Permission denied (publickey, gssapi-keyex, gssapi-with-mic).
↑エラー文
なにかお分かりになる部分がございましたら、アドバイス頂けると助かります。
よろしくお願い致します。
回答3件
0
ベストアンサー
sudo git init --bare --share
これによってec2-userのホームディレクトリの権限が変わってしまったのが原因です。(多分正しくは--sharedと指定したのだと思いますが…。)
[ec2-user@IP 〜]$ sudo su BBBB
このコマンドを打つと、ユーザが変わりますがディレクトリは遷移しません。
(ユーザ変更時に変更後のユーザのホームディレクトリに合わせて遷移するにはsudo su - BBBBのように-を指定します。)
つまり、その後の
[BBBB@IP 〜]$ sudo git init --bare --share
ではec2-userのホームディレクトリを共有ディレクトリにして権限を付与しています。(手元の環境ではグループへの書き込み権限が付与されました)
しかしSSHログインしようとするユーザのホームディレクトリの権限が過剰だと、SSHログインする際に権限エラーで弾かれます。
ホームディレクトリの.sshディレクトリの権限についてはよく言われるところですが、ホームディレクトリの権限も過剰であってはいけません。
対処としては別のユーザでログインしてec2-userのホームディレクトリの権限をもとに戻す(元々の700が妥当ですかね。)か、面倒ならインスタンスを作り直してしまうのも手です。
また、上述の理由によりそもそもホームディレクトリを共有ディレクトリにするのはやめてください。
別の共有用ディレクトリを作成してそちらを使用しましょう。
投稿2020/10/12 06:59
総合スコア7588
丁寧なご解答ありがとうございます。
ec2-userのホームディレクトリの権限をもとに戻す方法を試してみましたが、完全に理解していない部分が多く上手くいかなかったため、インスタンスを作り直すことにしました。
詳しく教えていただきありがとうございました。
0
これは似ているかもです。試してみる価値ありそうです。
http://qiita.com/yo_instead_what/items/2ba25310e73646ce96aa
投稿2020/10/09 16:02
総合スコア902
0
あっさりインスタンス作り直せばどお?
投稿2020/10/09 15:57
総合スコア88042
あなたの回答
tips
プレビュー
