แก้ไขปัญหา SSH authentication
SSH (Secure Shell) เป็นส่วนสำคัญของการรักษาความปลอดภัยเครือข่าย
การจัดการและให้วิธีที่ปลอดภัยในการเข้าถึงเซิร์ฟเวอร์ระยะไกล
การตรวจสอบสิทธิ์ภายใน SSH เป็นกระบวนการที่มีหลายมิติซึ่งเกี่ยวข้องกับ
วิธีการเช่น รหัสผ่าน คีย์สาธารณะ และการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)
เพื่อยืนยันตัวตนของผู้ใช้ การทำความเข้าใจวิธีการรับรองความถูกต้องเหล่านี้และ
เข้าใจปัญหาทั่วไปของพวกเขาเป็นสิ่งสำคัญสำหรับการจัดการเซิร์ฟเวอร์ระยะไกลที่ปลอดภัยและมีประสิทธิภาพ
การเข้าถึง
ข้อกำหนดเบื้องต้น
-
เข้าถึงเซิร์ฟเวอร์ด้วยสิทธิผู้ดูแลระบบเพื่อจัดการการตั้งค่า SSH
และบัญชีผู้ใช้ -
ความคุ้นเคยกับการสร้าง SSH key และกระบวนการตั้งค่าสำหรับ
คีย์สาธารณะและคีย์ส่วนตัว -
ความเข้าใจเกี่ยวกับนโยบายรหัสผ่านและบัญชีของเซิร์ฟเวอร์
ขั้นตอนการจัดการ -
ความรู้เกี่ยวกับการตั้งค่าและแก้ไขปัญหา MFA
-
เข้าถึงไฟล์การตั้งค่า SSH ของเซิร์ฟเวอร์ ซึ่งมักอยู่ที่
at /etc/ssh/sshd_config. -
ความสามารถในการใช้เครื่องมือบรรทัดคำสั่งเพื่อวิเคราะห์บันทึกและ
แก้ไขไฟล์การตั้งค่า -
สำหรับปัญหา SSH agent คุณต้องเข้าใจวิธีการทำงานของ SSH agent และ
เพื่อเพิ่มคีย์ให้กับเอเจนต์
ปัญหา SSH ทั่วไป
ปัญหาการยืนยันตัวตน: คำอธิบายฉบับสมบูรณ์
รหัสผ่าน
การล็อกอินไม่สำเร็จ
ปัญหารหัสผ่านเป็นหนึ่งในปัญหา SSH การพิสูจน์ตัวตนที่พบบ่อยที่สุด
ปัญหา ผู้ใช้อาจป้อนรหัสผ่านไม่ถูกต้องซึ่งอาจนำไปสู่
การล็อคบัญชีเนื่องจากนโยบายความปลอดภัย การหมดอายุรหัสผ่านคือ
อีกด้านหนึ่งที่รหัสผ่านอาจไม่ถูกต้องอีกต่อไปหลังจากผ่านไปแล้งระยะเวลาหนึ่ง
ช่วงเวลา
คีย์สาธารณะ
ปัญหาการพิสูจน์ตัวตน
วิธีการยืนยันตัวตนนี้ปลอดภัยกว่ารหัสผ่าน แต่ก็มีข้อจำกัด
ที่มีความท้าทายของตัวเอง หากคีย์สาธารณะหายไปจากเซิร์ฟเวอร์
.ssh/authorized_keys ไฟล์ หรือ หากคีย์ส่วนตัวอยู่บน
ฝั่งไคลเอนต์ไม่ได้รับการตั้งค่าอย่างถูกต้องหรือมีสิทธิ์การเข้าถึงที่ไม่ถูกต้อง
(ควรเป็น 600) การพิสูจน์ตัวตนจะล้มเหลว ปัญหาทั่วไปอีกประการหนึ่งคือ
ข้อผิดพลาดในรูปแบบใน authorized_keys ไฟล์ ซึ่งอาจ
เกิดขึ้นหากคีย์ถูกคัดลอกไม่ถูกต้อง
หลายปัจจัย
การพิสูจน์ตัวตน (MFA) ความท้าทาย
MFA มีชั้นความปลอดภัยเพิ่มเติมซึ่งโดยปกติจะรวมถึง
รหัสตามเวลาหรือโทเค็นทางกายภาพ ปัญหาทั่วไปกับ MFA ได้แก่ การเลื่อนเวลา
ของโทเค็นที่นำไปสู่การซิงโครไนซ์ที่ล้มเหลว หรือผู้ใช้สูญเสีย
การเข้าถึงอุปกรณ์ MFA ของพวกเขา ซึ่งอาจทำให้พวกเขาถูกล็อกออกจากระบบ
ปัญหาตัวแทน SSH
ตัวแทน SSH มีคีย์ส่วนตัวที่ใช้สำหรับการพิสูจน์ตัวตนด้วยคีย์สาธารณะ
ลดความจำเป็นในการป้อนรหัสผ่าน ปัญหาอาจเกิดขึ้นหากตัวแทน SSH
ไม่ทำงานหรือหากคีย์ไม่ถูกเพิ่มลงในตัวแทนโดย
ssh-addซึ่งอาจนำไปสู่การพร้อมท์รหัสผ่านซ้ำแล้วซ้ำอีก หรือ
ความล้มเหลวในการตรวจสอบสิทธิ์
การทำความเข้าใจปัญหาทั่วไปและผลกระทบของปัญหาเหล่านี้เป็นสิ่งสำคัญ
สำหรับการรักษาสภาพแวดล้อม SSH ที่ปลอดภัย
การวินิจฉัย SSH
ปัญหาการยืนยันตัวตน
เมื่อคุณมีปัญหาการพิสูจน์ตัวตน SSH วิธีการที่เป็นระบบสามารถ
ช่วยคุณระบุสาเหตุหลัก
กำลังวิเคราะห์ข้อผิดพลาด
ข้อความ
SSH มีข้อความแสดงข้อผิดพลาดเฉพาะที่สามารถแนะนำคุณไปยังปัญหา
ตัวอย่างเช่น "Permission denied (publickey)" บ่งชี้ถึงปัญหากับ
การพิสูจน์ตัวตนด้วยคีย์สาธารณะ ในขณะที่ "Access denied" อาจบ่งชี้ถึง
รหัสผ่านที่ผิดพลาดหรือบัญชีที่ถูกล็อก
การตรวจสอบเซิร์ฟเวอร์และ
บันทึกไคลเอนต์
บันทึกของเซิร์ฟเวอร์สามารถให้ข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับการพิสูจน์ตัวตน
ความล้มเหลว ใช้คำสั่งเช่น grep sshd /var/log/auth.log
เพื่อกรองรายการบันทึก SSH ที่เกี่ยวข้องบนเซิร์ฟเวอร์ หรือตรวจสอบ
บันทึกของไคลเอนต์ ซึ่งมักจะอยู่ใน ~/.ssh/ หรือส่งออกไปยัง
terminal เพื่อค้นหาเบาะแสต่างๆ
กำลังตรวจสอบ
การตั้งค่าการยืนยันตัวตน
บนเซิร์ฟเวอร์ ไฟล์กำหนดค่า daemon SSH อยู่ที่
/etc/ssh/sshd_config มีการตั้งค่าสำหรับ
วิธีการยืนยันตัวตน โปรดตรวจสอบว่าการยืนยันด้วยรหัสผ่าน คีย์สาธารณะ
การตรวจสอบสิทธิ์ด้วยคีย์ และตรวจสอบว่าการตั้งค่า MFA เปิดใช้งานอย่างถูกต้องหรือ
ปิดใช้งานตามต้องการ
ด้วยการตรวจสอบพื้นที่เหล่านี้อย่างละเอียด คุณมักจะสามารถระบุได้ว่า
ปัญหาที่ทำให้เกิด SSH authentication issue
แก้ไขปัญหาและ
โซลูชัน
รีเซ็ตรหัสผ่าน
ปัญหา
เมื่อคุณพบปัญหาการพิสูจน์ตัวตนที่เกี่ยวข้องกับรหัสผ่าน SSH การรีเซ็ต
การใช้งาน Cloudzy เป็นกระบวนการที่ตรงไปตรงมา
แผง:
- เข้าถึง Cloudzy Panel:
-
ลงชื่อเข้าใช้แดชบอร์ด Cloudzy ของคุณ
-
ไปที่ การเข้าถึง ส่วนที่เฉพาะเจาะจงของคุณ
แดชบอร์ด VPS
- รีเซ็ตรหัสผ่าน:
-
คลิกที่ รีเซ็ตรหัสผ่าน CLOUD VPS
ปุ่ม -
จะมีหน้าต่างยืนยันการดำเนินการ เมื่อยืนยันแล้ว VPS
จะรีสตาร์ทและส่งรหัสผ่านใหม่ไปที่อีเมลที่ลงทะเบียนของคุณ
ที่อยู่
กำลังซ่อมแซม Public Key
การยืนยันตัวตน
ตรวจสอบว่าคีย์สาธารณะถูกวางในเซิร์ฟเวอร์อย่างถูกต้อง
~/.ssh/authorized_keys ไฟล์ โปรดตรวจสอบว่าไฟล์
สิทธิ์การใช้งานนั้นถูกต้องกับ chmod 600
~/.ssh/authorized_keysบนฝั่งไคลเอนต์ ตรวจสอบว่า
private key ถูกโหลดด้วย ssh-add -l และหากไม่ได้ ให้เพิ่ม
มันกับ ssh-add /path/to/private_key.
แก้ไขการยืนยันตัวตนสองชั้น
ปัญหา
สำหรับปัญหา MFA ให้แน่ใจว่าเวลาบนเซิร์ฟเวอร์และอุปกรณ์การยืนยันตัวตนสอดคล้องกัน
หากอุปกรณ์ MFA สูญหาย ให้รีเซ็ตการตั้งค่า MFA ผ่าน
อินเทอร์เฟซการบริหารจัดการของเซิร์ฟเวอร์ ซึ่งอาจต้องปิดการใช้งาน MFA ชั่วคราว
สำหรับบัญชีที่ได้รับผลกระทบ
สำหรับปัญหาเกี่ยวกับเครื่องมือ Google Authenticator หรือ MFA ที่คล้ายคลึงกัน:
-
เวลาซิงค์ใหม่: ให้แน่ใจว่าเวลาบนเซิร์ฟเวอร์และ
อุปกรณ์ MFA สอดคล้องกัน ใช้ ntpdate คำสั่งเปิด
เซิร์ฟเวอร์หากจำเป็นเพื่อซิงค์กับเซิร์ฟเวอร์เวลา -
เข้าถึงอีกครั้ง: หากคุณสูญหายการเข้าถึง
อุปกรณ์ MFA ให้ใช้รหัสสำรองที่ระบุไว้ตอนตั้งค่า หรือติดต่อผู้ดูแลเซิร์ฟเวอร์
เพื่อปิดการใช้งาน MFA ชั่วคราวสำหรับบัญชีของคุณเพื่อกู้คืนการเข้าถึง
การเข้าถึง
การจัดการปัญหา SSH Agent
Windows กับ PuTTY:
-
เปิด PuTTY
-
ไปที่ Connection -> SSH -> Auth -> Credentials ใน
แผนผังหมวดหมู่ -
คลิกปุ่ม 'Browse' เพื่อเลือกไฟล์ private key ของคุณสำหรับ
การยืนยันตัวตน โดยทั่วไปไฟล์นี้จะมีนามสกุล .ppk หากถูก
แปลงเพื่อใช้กับ PuTTY
-
หากไฟล์คีย์ของคุณมี passphrase คุณจะได้รับแจ้งให้ป้อน
เมื่อคุณเชื่อมต่อ -
บันทึกการตั้งค่าเซสชันของคุณเพื่อใช้ในอนาคต
Windows PowerShell หรือ Command Prompt:
- ตรวจสอบว่าคุณมี ssh-agent บริการกำลังทำงาน:
Get-Service ssh-agent | Set-Service -StartupType Automatic
Start-Service ssh-agent
- เพิ่มกุญแจส่วนตัวของคุณไปยัง ssh-agent:
ssh-add .ssh\id_rsaแทนที่ **.ssh_rsa** ด้วยเส้นทางไปยังไฟล์กุญแจส่วนตัวของคุณหากมันไม่ได้อยู่ใน
ตำแหน่งเริ่มต้น
เทอร์มินัล Linux:
- เริ่มตัวแทน SSH หากยังไม่ได้เรียกใช้:
eval "$(ssh-agent -s)"- เพิ่มกุญแจ SSH ของคุณไปยังตัวแทน:
ssh-add ~/.ssh/id_rsaแทนที่ ~/.ssh/id_rsa ด้วยเส้นทางไปยังไฟล์กุญแจส่วนตัวของคุณ
หากมันไม่ได้อยู่ในตำแหน่งเริ่มต้น
จำไว้ว่าบน Linux ssh-add อาจขอ
วลีรหัสผ่านของกุญแจหากมีวลีรหัสผ่าน นี่เป็นการดำเนินการแบบครั้งเดียวต่อเซสชันหรือ
จนกว่าตัวแทนจะถูกหยุดหรือระบบจะรีสตาร์ท
ด้วยวิธีแก้ปัญหาเหล่านี้ คุณควรจะสามารถจัดการกับปัญหา
การรับรอง SSH ทั่วไปที่สุด ตั้งแต่การรีเซ็ตรหัสผ่านแบบง่ายไปจนถึงปัญหา
MFA และตัวแทน SSH ที่ซับซ้อนมากขึ้น ปฏิบัติตามแนวปฏิบัติด้านความปลอดภัยอย่างดีที่สุดเสมอเมื่อ
แก้ไขปัญหาเหล่านี้เพื่อรักษาความสมบูรณ์ของโปรโตคอลการเข้าถึงเซิร์ฟเวอร์ของคุณ
หากคุณต้องการข้อมูลเพิ่มเติมหรือความช่วยเหลือเพิ่มเติม
อย่าลังเลที่จะติดต่อทีมสนับสนุนของเรา ส่งข้อมูล
ตั๋ว.
ยังอยู่ใน Secure Shell Protocol (SSH)
คู่มือที่เกี่ยวข้อง
ต้องการความช่วยเหลือเรื่องอื่น ๆ หรือไม่
เวลาตอบสนองมัธยฐานต่ำกว่า 1 ชั่วโมง พูดคุยกับคนจริง ไม่ใช่บอต