แก้ไขปัญหาการตรวจสอบสิทธิ์ ssh
SSH (Secure Shell) เป็นส่วนสำคัญของเครือข่ายที่ปลอดภัย
การดูแลระบบและมอบวิธีการที่ปลอดภัยในการเข้าถึงเซิร์ฟเวอร์ระยะไกล
การรับรองความถูกต้องภายใน SSH เป็นกระบวนการที่เกี่ยวข้องกับหลายแง่มุม
วิธีการต่างๆ เช่น รหัสผ่าน กุญแจสาธารณะ และการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)
เพื่อยืนยันตัวตนของผู้ใช้ ทำความเข้าใจวิธีการรับรองความถูกต้องเหล่านี้และ
ปัญหาทั่วไปของพวกเขาถือเป็นสิ่งสำคัญสำหรับเซิร์ฟเวอร์ระยะไกลที่ปลอดภัยและมีประสิทธิภาพ
เข้าถึง.
ข้อกำหนดเบื้องต้น
-
สิทธิ์การเข้าถึงเซิร์ฟเวอร์ระดับผู้ดูแลระบบเพื่อจัดการการกำหนดค่า SSH
และบัญชีผู้ใช้ -
ความคุ้นเคยกับการสร้างคีย์ SSH และกระบวนการตั้งค่า
กุญแจสาธารณะและส่วนตัว -
ความเข้าใจนโยบายและบัญชีรหัสผ่านของเซิร์ฟเวอร์
ขั้นตอนการจัดการ -
ความรู้เกี่ยวกับการกำหนดค่าและการแก้ไขปัญหาการตั้งค่า MFA
-
เข้าถึงไฟล์การกำหนดค่า SSH ของเซิร์ฟเวอร์ ซึ่งโดยทั่วไปจะอยู่ที่
at /etc/ssh/sshd_config.php. -
ความสามารถในการใช้เครื่องมือบรรทัดคำสั่งสำหรับการวิเคราะห์บันทึกและ
การแก้ไขไฟล์การกำหนดค่า -
สำหรับปัญหาของตัวแทน SSH โปรดทำความเข้าใจว่าตัวแทน SSH ทำงานอย่างไรและอย่างไร
เพื่อเพิ่มคีย์ให้กับตัวแทน
SSH ทั่วไป
อธิบายปัญหาการรับรองความถูกต้องแล้ว
รหัสผ่าน
ความล้มเหลวในการรับรองความถูกต้อง
ปัญหาเกี่ยวกับรหัสผ่านเป็นหนึ่งในการตรวจสอบสิทธิ์ SSH ที่พบบ่อยที่สุด
ปัญหา. ผู้ใช้อาจใส่รหัสผ่านไม่ถูกต้องอาจนำไปสู่
การล็อคบัญชีเนื่องจากนโยบายความปลอดภัย รหัสผ่านหมดอายุคือ
อีกแง่มุมหนึ่งที่รหัสผ่านอาจใช้ไม่ได้อีกต่อไปหลังจากผ่านไประยะหนึ่ง
ระยะเวลา.
กุญแจสาธารณะ
ปัญหาการรับรองความถูกต้อง
การรับรองความถูกต้องรูปแบบนี้มีความปลอดภัยมากกว่ารหัสผ่าน แต่มา
ด้วยความท้าทายของตัวเอง หากรหัสสาธารณะหายไปจากเซิร์ฟเวอร์
.ssh/authorized_keys ไฟล์หรือถ้าคีย์ส่วนตัวบน
ฝั่งไคลเอ็นต์ไม่ได้รับการกำหนดค่าอย่างถูกต้องหรือมีสิทธิ์ที่ไม่ถูกต้อง
(ควรเป็น 600) การรับรองความถูกต้องจะล้มเหลว ปัญหาทั่วไปอีกประการหนึ่งคือ
ข้อผิดพลาดของรูปแบบใน ได้รับอนุญาต_คีย์ ไฟล์ซึ่งสามารถ
เกิดขึ้นหากคัดลอกคีย์ไม่ถูกต้อง
หลายปัจจัย
ความท้าทายในการรับรองความถูกต้อง (MFA)
MFA จัดให้มีชั้นการรักษาความปลอดภัยเพิ่มเติมซึ่งโดยปกติจะรวมถึง
รหัสตามเวลาหรือโทเค็นทางกายภาพ ปัญหาทั่วไปเกี่ยวกับ MFA ได้แก่ เวลา
ลอยไปบนโทเค็นที่นำไปสู่การซิงโครไนซ์ล้มเหลว หรือผู้ใช้สูญเสีย
เข้าถึงอุปกรณ์ MFA ซึ่งสามารถล็อคพวกเขาออกจากระบบได้
ปัญหาตัวแทน SSH
เอเจนต์ SSH เก็บคีย์ส่วนตัวที่ใช้สำหรับการรับรองความถูกต้องของคีย์สาธารณะ
ลดความจำเป็นในการป้อนรหัสผ่าน ปัญหาอาจเกิดขึ้นได้หาก SSH
ตัวแทนไม่ทำงานหรือหากไม่ได้เพิ่มคีย์ให้กับตัวแทนด้วย
ssh-เพิ่ม. ซึ่งอาจนำไปสู่การแจ้งรหัสผ่านซ้ำหรือ
การรับรองความถูกต้องล้มเหลว
การทำความเข้าใจปัญหาทั่วไปเหล่านี้และผลที่ตามมาเป็นสิ่งสำคัญ
เพื่อรักษาสภาพแวดล้อม SSH ที่ราบรื่นและปลอดภัย
กำลังวินิจฉัย SSH
ปัญหาการรับรองความถูกต้อง
เมื่อคุณมีปัญหาในการรับรองความถูกต้อง SSH แนวทางที่เป็นระบบสามารถทำได้
ช่วยคุณในการระบุสาเหตุที่แท้จริง:
กำลังวิเคราะห์ข้อผิดพลาด
ข้อความ
SSH มีข้อความแสดงข้อผิดพลาดเฉพาะที่สามารถแนะนำคุณเกี่ยวกับปัญหาได้
ตัวอย่างเช่น “การอนุญาตถูกปฏิเสธ (คีย์สาธารณะ)” บ่งบอกถึงปัญหาด้วย
การรับรองความถูกต้องของคีย์สาธารณะ ในขณะที่ "การเข้าถึงถูกปฏิเสธ" อาจบ่งบอกถึงข้อผิดพลาด
รหัสผ่านหรือบัญชีที่ถูกล็อค
กำลังตรวจสอบเซิร์ฟเวอร์และ
บันทึกของลูกค้า
บันทึกของเซิร์ฟเวอร์สามารถให้ข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับการตรวจสอบสิทธิ์
ความล้มเหลว ใช้คำสั่งเช่น grep sshd /var/log/auth.log
เพื่อกรองรายการบันทึกที่เกี่ยวข้องกับ SSH บนเซิร์ฟเวอร์ ในทำนองเดียวกันให้ตรวจสอบ
บันทึกของไคลเอ็นต์ ซึ่งมักจะพบใน ~/.ssh/ หรือส่งออกไปที่
สถานีปลายทางเพื่อค้นหาเบาะแส
กำลังยืนยัน
การตั้งค่าการรับรองความถูกต้อง
บนเซิร์ฟเวอร์ ไฟล์คอนฟิกูเรชัน SSH daemon ที่
/etc/ssh/sshd_config.php มีการตั้งค่าสำหรับ
วิธีการรับรองความถูกต้อง ตรวจสอบให้แน่ใจว่าการตรวจสอบรหัสผ่านสาธารณะ
การรับรองความถูกต้องของคีย์ และการตั้งค่า MFA ใด ๆ ถูกเปิดใช้งานอย่างถูกต้องหรือ
ปิดการใช้งานตามความจำเป็น
ด้วยการตรวจสอบพื้นที่เหล่านี้อย่างรอบคอบ คุณมักจะสามารถระบุตำแหน่งที่แน่นอนได้
ปัญหาที่ทำให้เกิดปัญหาการตรวจสอบสิทธิ์ SSH
การแก้ไขปัญหาและ
โซลูชั่น
การแก้ไขรหัสผ่าน
ปัญหา
เมื่อคุณประสบปัญหาการตรวจสอบสิทธิ์ SSH ที่เกี่ยวข้องกับรหัสผ่าน ให้ทำการรีเซ็ต
ข้อมูลรับรองของคุณเป็นกระบวนการที่ไม่ซับซ้อนโดยใช้ Cloudzy
แผงหน้าปัด:
- เข้าถึงแผง Cloudzy:
-
ลงชื่อเข้าใช้แดชบอร์ด Cloudzy ของคุณ
-
นำทางไปยัง เข้าถึง ส่วนเฉพาะของคุณ
แดชบอร์ด VPS
- รีเซ็ตรหัสผ่าน:
-
คลิกที่ รีเซ็ตรหัสผ่านคลาวด์ VPS
ปุ่ม. -
ข้อความยืนยันจะปรากฏขึ้น เมื่อได้รับการยืนยันแล้ว VPS
จะรีสตาร์ทและรหัสผ่านใหม่จะถูกส่งไปยังอีเมลที่ลงทะเบียนของคุณ
ที่อยู่.
การแก้ไขคีย์สาธารณะ
การรับรองความถูกต้อง
ตรวจสอบว่าคีย์สาธารณะถูกวางไว้อย่างถูกต้องในเซิร์ฟเวอร์
~/.ssh/authorized_keys ไฟล์. ตรวจสอบให้แน่ใจว่าไฟล์
สิทธิ์ถูกต้องด้วย chmod 600
~/.ssh/authorized_keys. ในฝั่งไคลเอ็นต์ ให้ตรวจสอบว่า
มีการโหลดรหัสส่วนตัวด้วย ssh-เพิ่ม -l และถ้าไม่ใช่ให้เพิ่ม
มันด้วย ssh-add /path/to/private_key.
ที่อยู่ของ MFA
ปัญหา
สำหรับปัญหา MFA ตรวจสอบเวลาของเซิร์ฟเวอร์และอุปกรณ์ตรวจสอบสิทธิ์
ได้รับการซิงโครไนซ์ หากอุปกรณ์ MFA สูญหาย ให้รีเซ็ตการตั้งค่า MFA ผ่าน
อินเทอร์เฟซการดูแลระบบของเซิร์ฟเวอร์ ซึ่งมักต้องใช้การชั่วคราว
การปิดใช้งาน MFA สำหรับบัญชีที่ได้รับผลกระทบ
สำหรับปัญหาเกี่ยวกับ Google Authenticator หรือเครื่องมือ MFA ที่คล้ายกัน:
-
เวลาซิงค์ซ้ำ: ตรวจสอบเวลาบนเซิร์ฟเวอร์ของคุณและ
อุปกรณ์ MFA ได้รับการซิงโครไนซ์แล้ว ใช้ ntpdate คำสั่งบน
เซิร์ฟเวอร์หากจำเป็นเพื่อซิงค์กับเซิร์ฟเวอร์เวลา -
เข้าถึงได้อีกครั้ง: หากคุณสูญเสียการเข้าถึงของคุณ
อุปกรณ์ MFA ใช้รหัสสำรองที่ให้ไว้ตอนตั้งค่าหรือติดต่อเซิร์ฟเวอร์
ผู้ดูแลระบบเพื่อปิดการใช้งาน MFA ชั่วคราวเพื่อให้บัญชีของคุณได้รับคืน
เข้าถึง.
การจัดการปัญหาเอเจนต์ SSH
Windows พร้อม PuTTY:
-
เปิดตัว PuTTY
-
ไปที่การเชื่อมต่อ -> SSH -> การรับรองความถูกต้อง -> ข้อมูลประจำตัวใน
ต้นไม้หมวดหมู่ -
คลิกที่ปุ่ม 'เรียกดู' เพื่อเลือกไฟล์คีย์ส่วนตัวของคุณ
การรับรองความถูกต้อง โดยทั่วไปไฟล์นี้จะมีนามสกุล .ppk หากเป็นเช่นนั้น
ถูกแปลงเพื่อใช้กับ PuTTY
-
หากไฟล์คีย์ของคุณมีข้อความรหัสผ่าน คุณจะได้รับแจ้งให้ป้อนรหัสผ่าน
เมื่อคุณเชื่อมต่อ -
บันทึกการตั้งค่าเซสชันของคุณเพื่อใช้ในอนาคต
Windows PowerShell หรือพร้อมท์คำสั่ง:
- ตรวจสอบให้แน่ใจว่าคุณมี ssh-ตัวแทน บริการกำลังทำงานอยู่:
Get-Service ssh-agent | Set-Service -StartupType Automatic
Start-Service ssh-agent
- เพิ่มรหัสส่วนตัวของคุณไปที่ ssh-ตัวแทน:
ssh-add .ssh\id_rsaแทนที่ **.ssh_rsa** ด้วยเส้นทางไปยังไฟล์คีย์ส่วนตัวของคุณหากเป็นเช่นนั้น
ไม่ได้อยู่ในตำแหน่งเริ่มต้น
เทอร์มินัลลินุกซ์:
- เริ่มต้นเอเจนต์ SSH หากยังไม่ได้ทำงาน:
eval "$(ssh-agent -s)"- เพิ่มคีย์ SSH ของคุณให้กับตัวแทน:
ssh-add ~/.ssh/id_rsaแทนที่ ~/.ssh/id_rsa พร้อมเส้นทางสู่ความเป็นส่วนตัวของคุณ
ไฟล์คีย์หากไม่ได้อยู่ในตำแหน่งเริ่มต้น
จำไว้ว่าบน Linux ssh-เพิ่ม อาจจะถามหาคุณ
ข้อความรหัสผ่านของคีย์หากมี นี่เป็นการดำเนินการเพียงครั้งเดียวต่อเซสชันหรือ
จนกว่าเอเจนต์จะหยุดหรือระบบรีสตาร์ท
ด้วยโซลูชันเหล่านี้ คุณจะสามารถจัดการกับปัญหาที่พบบ่อยที่สุดได้
ปัญหาการตรวจสอบสิทธิ์ SSH ตั้งแต่การรีเซ็ตรหัสผ่านแบบง่ายไปจนถึงซับซ้อนมากขึ้น
ปัญหาเอเจนต์ MFA และ SSH ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยเสมอเมื่อ
แก้ไขปัญหาเหล่านี้เพื่อรักษาความสมบูรณ์ของการเข้าถึงเซิร์ฟเวอร์ของคุณ
โปรโตคอล หากคุณต้องการข้อมูลเพิ่มเติมหรือความช่วยเหลือเพิ่มเติม โปรดรู้สึก
สามารถติดต่อทีมสนับสนุนของเราได้ฟรีโดย ส่ง
ตั๋ว.
นอกจากนี้ใน Secure Shell Protocol (SSH)
คู่มือที่เกี่ยวข้อง
ต้องการความช่วยเหลือเรื่องอื่นไหม?
เวลาตอบกลับเฉลี่ยน้อยกว่า 1 ชั่วโมง มนุษย์จริง ไม่ใช่บอท