10周年のSPコンテンツ!
5
きっかけ

Oauthとかの話を 173210氏としていたら、サーバーの話になった。

私の所属する神楽坂一丁目通信局ではさくらでサーバーを借りている。
で、私のmsys2からでもsshできるようにしようか?という話になって作業に取り掛かった。

検索するとよくひっかかる一般的な公開鍵認証を使ったsshログインまでの道のり

クライアント側で

ssh-keygen -C [メルアド]

してできた公開鍵id_rsa.pub(秘密鍵は誰にも見せてはいけない)をどうにかしてサーバーに持っていく(今回はメールでサーバーのrootにsshできる端末に送ってscpした)

サーバー側でhomeにid_rsa.pubがあるとして

useradd [ユーザー名]
mkdir /home/[ユーザー名]/.ssh
cat ~/id_rsa.pub >> /home/[ユーザー名]/.ssh/authorized_keys
cd /home/[ユーザー名]
chown -R [ユーザー名].[グループ名] .ssh
chmod 700 .ssh
chmod 600 .ssh/authorized_keys
問題

それでも

Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

と言われる

SSH で Permission Denied となる傾向と対策 - Qiita
ログを見たりしたけど(-vvvとかすると詳細にログ見れる)参考になる情報はなし

yumetodo-鳥の氷河から逃げる @yumetodo
SSHできねえ。arch linux wikiのトラブルシューティング見てもわからねえ。 @173210 氏と頭をひねってる。 useraddして公開鍵入れて権限いじってるのに・・・
わからなさすぎて話が脱線

@kagucho_kamioda参戦

kagucho_kamioda「Linuxのコマンドわからねぇ」
私「日々Linuxコマンド叩いていないからそうなるんだよ」
kagucho_kamioda「お前もそんな叩いてないだろ」
私「お前よりは叩いているわ。まあねこの背比べだけどな(どんぐりの背比べといいたかった)」
173210「にゃ~ん」

yumetodo-鳥の氷河から逃げる @yumetodo
新出用語 猫の背比べ (正しくはドングリの背比べ) にゃーー

一同、癒される

その後

rootではsshできるのにほかのユーザーでsshできないのはなぜか?ということでまずユーザーを作るコマンドが悪いのかと調べる

しかし収穫なし。

次にセキュリティー周りを探る。その過程でPAM(Pluggable Authentication Module)を疑う

173210「PAMさっぱりわからねぇ」
私「どうするんです?」
173210「最終手段だ」
私「それは?」
173210「ググる」
私「ここまでもやってたしありきたりだった」

SELinux怪しい説出て来る

調べていたらSELinux下だとSSHできないから無効にしろみたいなサイトを見つける
公開鍵認証でsshが繋がらないときのチェックポイント - takafumi blog

173210「いやSELinux無効とかありえない」
私「せやな」
173210「けど原因はわかった」

yumetodo-鳥の氷河から逃げる @yumetodo
selinux enforcementにPAMが影響するらしい
yumetodo-鳥の氷河から逃げる @yumetodo
Root以外向こうになってたのはそのせいの可能性
yumetodo-鳥の氷河から逃げる @yumetodo
自分のユーザーがsudoできるようにしたことで @173210 が歓喜している
yumetodo-鳥の氷河から逃げる @yumetodo
Linux「sudoには責任が伴います」 @173210 「知るか!(冗談)」
解決してなかった
yumetodo-鳥の氷河から逃げる @yumetodo
悲報:SELinux有効にするの忘れてて有効にしたら再発

SELinuxが原因か調べるのに無効にしたのを忘れたまま歓喜していた

解決する
残りを読む(8)

コメント

白山風露@ᘇΩᗢ @kazatsuyu 2016年11月3日
猫のくだりは必要なのだろうか……
ログインして広告を非表示にする
ログインして広告を非表示にする