10

我有一个使用 Perceus Cluster Software ( http://perceus.org ) 的共享 /home 设置用于我们的集群。节点使用 CentOS 6.1 x86_64。/home 由 nfs (NFSv4) 从头到节点共享。

root@head~]$ cat /etc/exports 
/var/lib/perceus/ 10.10.10.0/255.255.255.0(ro,no_root_squash,async)
/home/ 10.10.10.0/255.255.255.0(rw,no_root_squash,no_all_squash,async)

这是每个节点上的 /etc/fstab (都一样)。

...
10.10.10.2:/var/lib/perceus/ /var/lib/perceus/ nfs ro,soft,bg 0 0
10.10.10.2:/home/ /home nfs rw,soft,bg 0 0

节点上的 /etc/fstab 是具有相同 UID:GID 的 head/master 的副本。

我使用以下方法创建了密钥对:

$ cd ~
$ rm -rf .ssh
$ mkdir .ssh
$ chmod 700 .ssh
$ ssh-keygen -t dsa -P ""
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa):
Your identification has been saved in /home/user/.ssh/id_dsa.
Your public key has been saved in /home/user/.ssh/id_dsa.pub.
The key fingerprint is:
[SNIPPED] user@head
The key's randomart image is:
+--[ DSA 1024]----+
[SNIPPED]
$ cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys
$ chmod 400 ~/.ssh/authorized_keys

这是问题所在。 当我尝试 ssh 进入每个节点时,我收到“连接已关闭”错误。这是调试输出。

$ ssh node01
Connection closed by 10.10.10.101

$ ssh node01 -vvv
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to node01 [10.10.10.101] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug3: Not a RSA1 key file /home/user/.ssh/id_dsa.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug2: key_type_from_name: unknown key type '-----END'
debug3: key_read: missing keytype
debug1: identity file /home/user/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
.... SNIPPED ...
debug2: dh_gen_key: priv key bits set: 139/256
debug2: bits set: 482/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: Wrote 144 bytes for a total of 981
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 1
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 1
debug1: Host 'node01' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:1
debug2: bits set: 501/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: Wrote 16 bytes for a total of 997
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug3: Wrote 48 bytes for a total of 1045
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/user/.ssh/identity ((nil))
debug2: key: /home/user/.ssh/id_rsa ((nil))
debug2: key: /home/user/.ssh/id_dsa (0x7f79b940f650)
debug3: Wrote 64 bytes for a total of 1109
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
... [SNIPPED]...
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug3: no such identity: /home/user/.ssh/identity
debug1: Trying private key: /home/user/.ssh/id_rsa
debug3: no such identity: /home/user/.ssh/id_rsa
debug1: Offering public key: /home/user/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug3: Wrote 528 bytes for a total of 1637
debug1: Server accepts key: pkalg ssh-dss blen 434
debug2: input_userauth_pk_ok: SHA1 fp 46:a2:c3:86...........
debug3: sign_and_send_pubkey
debug1: read PEM private key done: type DSA
debug3: Wrote 592 bytes for a total of 2229
Connection closed by 10.10.10.101

我确保 /etc/ssh/sshd_config 允许基于密钥的身份验证(PubkeyAuthentication yes)。我已确保 /home 上的权限(一旦安装在节点上)是正确的。用户已正确验证。我已经尝试过使用和不使用“no_all_squash”重新启动 nfs、rpcidmap、rpcbind 和 nfslock 来安装 nfs。

我已经在具有不同主/头节点的节点上安装了 CentOS5。CentOS6 似乎给我带来了额外的问题。

如果我不创建密钥,当然会提示我输入密码。

我的 hosts.allow/deny 在客户端和服务器上都是空的。

root 用户可以连接。Perceus 为 root 用户处理密钥生成,因为它是虚拟文件系统的一部分。我猜我的密钥生成有问题,但我不知道问题是什么。

4

6 回答 6

13

正确的解决方案是解决问题,而不是禁用 pam,因为您可能隐藏了安全问题。

ssh 失败是因为 PAM 通过一些检查失败来拒绝用户登录。验证/etc/pam.d/sshd您有哪些规则以及可能失败的内容。

最常见的问题是用户没有密码(与 比较/etc/passwd/etc/shadow或检查您的/etc/nsswitchand/etc/pam.d/*以查看用户和身份验证的来源),但也没有主目录,缺少一些额外的身份验证配置,UID 太低或太高等。

如果它丢失了密码,至少要确保你在/etc/ssh/sshd_config

PermitEmptyPasswords no

这会阻止 ssh 以允许没有密码的用户登录(但对其他协议没有任何作用,如 telnet、ftp、http 和登录)。

于 2013-01-20T02:22:53.227 回答
4

解决方案:

按照下面的建议,我检查/var/log/security了节点(主机)。这显示了:

fatal: Access denied for user user by PAM account configuration

然后我编辑/etc/ssh/sshd_config更改:

UsePAM yes


UsePAM no

重新启动节点,我现在可以执行无密码登录。

谢谢!

于 2012-04-11T14:14:55.287 回答
1

使用无密码授权是不好的。selinux 是否打开了这些服务器?如果是,那么您必须关闭 selinux,或者通过“restorecon -R -v /home/user/”恢复默认的 selinux 策略。 这是一个已知问题

于 2013-07-31T19:20:11.480 回答
1

我有一个和你非常相似的问题。

事实证明,我的问题,也可能是你的问题,是因为我的主目录是NFS挂载的,并且selinux(在 CentOS 7 上)抛出了一些错误(很难追踪)。修复很简单。

setsebool -P use_nfs_home_dirs 1
于 2016-09-26T13:57:38.077 回答
0

就我而言,我没有使用 useradd 创建用户,而是在 /etc/passwd 文件中添加了用户,并为用户创建了包含所有必需文件的主目录。

在用户的主目录中创建 .ssh 目录后,使用 useradd 创建用户并将 pub 密钥添加到 authorized_keys 文件中,问题得到解决。

顺便说一句,我使用的是 centos 7

希望这对某人有所帮助。

于 2015-04-27T18:09:38.863 回答
0

对我来说,我有损坏的 pam.d 文件。我从类似的服务器复制了一套新的,一切都很好。我没有花时间寻找具体的损坏,但我想我会添加我的 2 位,以防将来有人读到这个并需要更多的想法。

于 2016-01-06T17:45:00.737 回答