このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

SSHパスワード方式 このメッセージに返信する
日時: 2015/01/07(Wed) 03:09
名前: つむり
URL:
パスワード認証でログインしたいです。

[環境]
CentOS7
openssh-6.7p1


SSHサーバー構築(OpenSSH)のページをみながらSSHを構築したのですが、パスワード認証がアクセス拒否でログインできません。
鍵認証はうまく通りました。

パスワード認証に必要な設定等はあるのでしょうか。

よろしくお願いします。
記事編集 編集
Re: SSHパスワード方式 このメッセージに返信する
日時: 2015/01/07(Wed) 04:12
名前: stranger
URL: http://ja.528p.com/
デフォルトの設定のままなら公開鍵認証、パスワード認証が通ると思うよ
公開鍵認証、パスワード認証の順に認証すると思います

#PasswordAuthentication yes

PasswordAuthentication no
の設定を元に戻す
デフォルトはyes

openssh-6.7p1をtar.gzから作成した場合は
/etc/pam.d/sshdが CentOS 6.6 7.0に対応していないので
PAM authenticationを使う場合は
既存のrpmパッケージのものと置き換えたほうがいいです

openssh-6.7p1は hosts.allow hosts.denyで制御できないので注意
記事編集 編集
Re: SSHパスワード方式 このメッセージに返信する
日時: 2015/01/07(Wed) 22:02
名前: つむり
URL:
コメントありがとうございます。

>デフォルトの設定のままなら公開鍵認証、パスワード認証が通ると思うよ
>公開鍵認証、パスワード認証の順に認証すると思います
>
>#PasswordAuthentication yes
>↓
>PasswordAuthentication no
>の設定を元に戻す
>デフォルトはyes
設定は上記の通り書き換えました。

>
>chroot環境では、パスワード認証を試していないのでわからない
>パスワード認証でアクセスしたいユーザはchrootしない
>
>openssh-6.7p1をtar.gzから作成した場合は
>/etc/pam.d/sshdが CentOS 6.6 7.0に対応していないので
>PAM authenticationを使う場合は
>既存のrpmパッケージのものと置き換えたほうがいいです
置き換えと言うのは元々インストールされているsshからアップグレードでしょうか。
CentOS 7.0 はsshのパスワード認証は推奨していないとの事でしょうか。

色々聞いてしまってすみません。
よろしくお願いします。
記事編集 編集
Re: SSHパスワード方式 このメッセージに返信する
日時: 2015/01/08(Thu) 05:57
名前: stranger
URL: http://ja.528p.com/
openssh-6.7p1をtar.gzから作成した場合は
/etc/pam.d/sshdが下記のようになっていると思う
これは古い形式なのでpam認証できないと思います

#%PAM-1.0
auth required pam_stack.so service=system-auth
account required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth

CentOS6なら下記のように変えてみる
CentOS6のrpmパッケージと比べながら調整します

#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session include system-auth

参考
CentOS7のopenssh-6.4p1でインストールされる /etc/pam.d/sshd
いろいろな制御が追記されています
selinuxで制御しているならpam_selinux.soの部分が必要

#%PAM-1.0
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin

外部からアクセスできるようになっている場合
公開鍵認証をお勧めします
不正アクセスされても、秘密鍵を持っていないと認証できませんし
パスフレーズは相手側に送信されないからです

追記0108
クライアントがlinuxマシンでopensshが入っているなら
-o オプションで公開鍵認証を無効にして接続してみる

ssh -o PubkeyAuthentication=no user@servername

sshd_configで

PasswordAuthentication no

Match Group hogehoge
PasswordAuthentication yes

のように設定してあげれば
hogehogeグループのみパスワード認証を許可することもできます
記事編集 編集
Re: SSHパスワード方式 このメッセージに返信する
日時: 2015/01/08(Thu) 16:35
名前: つむり
URL:
stranger さん。
お世話になっております。
アドバイスありがとうございます。

/etc/pam.d/sshd を指摘されたとおりに修正したところ無事にパスワードでの認証が出来ました。
外部での公開も予定しいますのでこちらは鍵認証でログインします。

解決しましたのでクローズさせて頂きます。
ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -