вторник, 18 сентября 2012 г.

sshd не принимает ключ

Надо было нагиосу сделать вход по ключу на очередной ноде. Сделал - не пускает. Несколько раз сверил права на .ssh, на authorized_keys, на хомяки - всё правильно. Но не принимает ключ, давай пароль и всё тут. Самое забавное - таких серверов полно, все настроены одинакого - ходит нагиос по ключику. Попробовал себе ключ сделать - пускает.
-vvv ничего интересного кроме очевидного не показал:
 
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /var/spool/nagios/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

Врубил DEBUG3 в конфиге демона:

debug3: mm_answer_keyallowed entering
debug3: mm_answer_keyallowed: key_from_blob: 0xaaaabbbbcc60
debug1: temporarily_use_uid: 333/333 (e=0/0)
debug1: trying public key file /home/nagios/.ssh/authorized_keys
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 333/333 (e=0/0)
debug1: trying public key file /home/nagios/.ssh/authorized_keys2
debug1: restore_uid: 0/0
Failed publickey for nagios from 178.111.22.33 port 58970 ssh2
debug3: mm_answer_keyallowed: key 0xaaaabbbbcc60 is not allowed
И это через гугл навело на selinux )) Вот и все дела. Отключил и заработало.

2 комментария:

Satan come and kill your family and you комментирует...

А разве для этого нет готовых предустановок selinux? Устанавливая подобную защиту всегда где-то в жопе испытываю сильнейшее желание понатыкать как можно больше готовых правил, чтобы потом эта самая жопа не болела -)

AccessD комментирует...

Так вот сразу не наткнулся. Вообще, если понатыкать как можно больше готовых правил - то получится примерно то, что можно сделать одной командой:
# setenforce 0 ))
Что, собственно, и делаю )
Хотя недавно на сайте то ли шапки, то ли центоса видел призыв не вырубать selinux. Но меня пока вполне устраивает дискретная модель в виде acl на ФС.