2016年11月3日

SELinuxが有効なサーバーに公開鍵認証でsshする

- SELinux入ってない環境に慈悲はない - SELinux環境下では``restorecon``大事
5

きっかけ

Oauthとかの話を 173210氏としていたら、サーバーの話になった。

私の所属する神楽坂一丁目通信局ではさくらでサーバーを借りている。
で、私のmsys2からでもsshできるようにしようか?という話になって作業に取り掛かった。

検索するとよくひっかかる一般的な公開鍵認証を使ったsshログインまでの道のり

クライアント側で

ssh-keygen -C [メルアド]

してできた公開鍵id_rsa.pub(秘密鍵は誰にも見せてはいけない)をどうにかしてサーバーに持っていく(今回はメールでサーバーのrootにsshできる端末に送ってscpした)

サーバー側でhomeにid_rsa.pubがあるとして

useradd [ユーザー名]
mkdir /home/[ユーザー名]/.ssh
cat ~/id_rsa.pub >> /home/[ユーザー名]/.ssh/authorized_keys
cd /home/[ユーザー名]
chown -R [ユーザー名].[グループ名] .ssh
chmod 700 .ssh
chmod 600 .ssh/authorized_keys

問題

それでも

Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

と言われる

SSH で Permission Denied となる傾向と対策 - Qiita
ログを見たりしたけど(-vvvとかすると詳細にログ見れる)参考になる情報はなし

yumetodo @yumetodo

SSHできねえ。arch linux wikiのトラブルシューティング見てもわからねえ。 @173210 氏と頭をひねってる。 useraddして公開鍵入れて権限いじってるのに・・・

2016-11-03 18:52:55

わからなさすぎて話が脱線

@kagucho_kamioda参戦

kagucho_kamioda「Linuxのコマンドわからねぇ」
私「日々Linuxコマンド叩いていないからそうなるんだよ」
kagucho_kamioda「お前もそんな叩いてないだろ」
私「お前よりは叩いているわ。まあねこの背比べだけどな(どんぐりの背比べといいたかった)」
173210「にゃ~ん」

yumetodo @yumetodo

新出用語 猫の背比べ (正しくはドングリの背比べ) にゃーー

2016-11-03 18:59:36

一同、癒される

その後

rootではsshできるのにほかのユーザーでsshできないのはなぜか?ということでまずユーザーを作るコマンドが悪いのかと調べる

しかし収穫なし。

次にセキュリティー周りを探る。その過程でPAM(Pluggable Authentication Module)を疑う

yumetodo @yumetodo

よく分からないので鯖再起動三回目 twitter.com/yumetodo/statu…

2016-11-03 19:17:23

173210「PAMさっぱりわからねぇ」
私「どうするんです?」
173210「最終手段だ」
私「それは?」
173210「ググる」
私「ここまでもやってたしありきたりだった」

SELinux怪しい説出て来る

調べていたらSELinux下だとSSHできないから無効にしろみたいなサイトを見つける
公開鍵認証でsshが繋がらないときのチェックポイント - takafumi blog

173210「いやSELinux無効とかありえない」
私「せやな」
173210「けど原因はわかった」

yumetodo @yumetodo

selinux enforcementにPAMが影響するらしい

2016-11-03 19:53:03
yumetodo @yumetodo

ようはsepermit書けと。

2016-11-03 19:53:04
yumetodo @yumetodo

Root以外向こうになってたのはそのせいの可能性

2016-11-03 19:53:52
yumetodo @yumetodo

自分のユーザーがsudoできるようにしたことで @173210 が歓喜している

2016-11-03 20:06:00
yumetodo @yumetodo

Linux「sudoには責任が伴います」 @173210 「知るか!(冗談)」

2016-11-03 20:06:39

解決してなかった

yumetodo @yumetodo

悲報:SELinux有効にするの忘れてて有効にしたら再発

2016-11-03 20:14:25

SELinuxが原因か調べるのに無効にしたのを忘れたまま歓喜していた

yumetodo @yumetodo

. @173210 「SELinuxは絶対に有効にするっ!」

2016-11-03 20:14:53

解決する

残りを読む(8)

コメント

yumetodo @yumetodo 2016年11月3日
まとめを更新しました。
0
白山風露 @kazatsuyu 2016年11月3日
猫のくだりは必要なのだろうか……
0