Q&A
回答ありがとうございます。
auhorized_keysは確認したのですが、削除しても変わらずログインできてしまいました。
パスワード認証を使うかどうかはこの場合関係なく、単にパスワードが聞かれずにログインできてしまうことを問題視しています。
UbuntuのリモートサーバーのSSH設定を行っているのですが、特定のユーザーのみパスワード認証や鍵認証をせずにアクセスできてしまい困っています。
もちろんそのユーザーにはパスワードを設定しており、sudoや他のユーザーからloginコマンドを使った場合にはそのパスワードが要求されるのですが、ssh時にはパスワードが要求されません。
またsshに関しても、他のユーザーでは期待したとおりに動作するのですが、特定(初期)のユーザーだけがパスワードが要求されないままです。
sshd_configにてパスワード認証のON/OFFなども試行しているのですが上手く行かず、他になにか可能性がありましたらご教示いただけると幸いです。
【動作環境】
サービス: さくらVPS
OS: Ubuntu 14.04
回答3件
0
鍵認証ではないとすると、ホストベース認証が有効になっていないでしょうか。
・/etc/ssh/sshd_config 下記設定が有効になっていないか。 IgnoreRhosts no RhostsRSAAuthentication yes HostbasedAuthentication yes ・(ユーザーのHOME) .shosts, .rhosts ファイルが存在しないか。
あるいは PAM で、"auth sufficient pam_access.so ..." などで許可しているとか。
投稿2016/06/30 07:36
総合スコア12146
0
まずは ssh -v username@hostname でログインした場合の出力を確認すると良いと思います。
例えば、途中に
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
と出力されていればこの4つの認証方式が利用できる状態であることが分かります。
さらにその後
debug1: Authentication succeeded (publickey).
と出力されていれば成功時の認証方式は公開鍵認証 (publickey) であることが分かります。
投稿2016/06/30 07:22
総合スコア14
0
単純に ~/.ssh/authorized_keys にそのユーザのパスフレーズ無しの(秘密鍵に対応する)公開鍵が記載されているとかじゃないんですかね?…というより,そもそも,何故公開鍵認証ではなく脆弱なパスワード認証を使うんでしょうか.
投稿2016/06/30 06:46
編集2016/06/30 06:54
総合スコア5223
後から気づいたんですが,「パスフレーズ」と「パスワード」を混同されてませんか?
(コメントタイミング被りました,失礼)
・authorized_keysに公開鍵が記載されている
・鍵にパスフレーズが設定されていない
こういう場合には何も訊かれずにログインできるのが普通です.
SSH秘密鍵のパスフレーズは(つけるなら)11文字以上にしましょうねという話
http://freak-da.hatenablog.com/entry/20100901/p1
こんな話もあるぐらいで,わりとパスフレーズを使う人は少数派である印象を受けます.秘密鍵が絶対に流出しないように徹底していればそれだけで問題ありませんからね.
すいません、混同して質問文を書いておりました。
正しい意図になるよう、質問文を修正させて頂きました。
安全の度合いでいくと
【パスワード認証】
桁数を非常に長くしなければ脆弱
【パスフレーズ無しの公開鍵認証】
秘密鍵の管理を怠らなければ安全
【パスフレーズ有りの公開鍵認証】
秘密鍵の管理を怠らなければ安全,もし秘密鍵が流出しても多少の猶予はある
※公開鍵とパスワードの両方で認証可能な状態の場合,公開鍵認証が優先されます.
>> 単にパスワードが聞かれずにログインできてしまうことを問題視しています。
authorized_keysを削除してもログインできてしまうのは…普通じゃちょっと考えにくいですね,もうちょっと調べてみます…
ご丁寧に対応していただきありがとうございます。
また何か解決の糸口がございましたら回答いただけますと幸いです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。