Giải quyết sự cố xác thực SSH

SSH (Secure Shell) là một khía cạnh quan trọng của bảo mật mạng
quản trị và cung cấp một phương pháp an toàn để truy cập các máy chủ từ xa.
Xác thực trong SSH là một quy trình đa chiều liên quan đến
các phương pháp như mật khẩu, khóa công khai và xác thực đa yếu tố (MFA)
để xác minh danh tính người dùng. Hiểu các phương pháp xác thực này và
những vấn đề phổ biến của chúng là điều cần thiết để truy cập máy chủ từ xa an toàn và hiệu quả.
truy cập

Điều kiện tiên quyết

1. Quyền truy cập quản trị viên vào máy chủ để quản lý các cấu hình SSH
   và tài khoản người dùng.

2. Quen thuộc với cách tạo khóa SSH và quy trình thiết lập
   khóa công khai và khóa riêng tư.

3. Hiểu rõ chính sách mật khẩu của máy chủ và các yêu cầu tài khoản.
   quy trình quản lý.

4. Kiến thức về cách cấu hình và khắc phục sự cố thiết lập MFA.

5. Truy cập vào các tệp cấu hình SSH của máy chủ, thường nằm trong
   at /etc/ssh/sshd_config.

6. Khả năng sử dụng các công cụ dòng lệnh để phân tích nhật ký và
   chỉnh sửa tệp cấu hình.

7. Đối với các sự cố với agent SSH, hiểu cách các agent SSH hoạt động và cách
   thêm khóa vào agent.

SSH phổ biến
Vấn đề Xác thực Được Giải Thích

Mật khẩu
Lỗi Xác Thực

Vấn đề mật khẩu là một trong những sự cố xác thực SSH phổ biến nhất.
Người dùng có thể nhập mật khẩu không chính xác dẫn đến
khóa tài khoản do các chính sách bảo mật. Hết hạn mật khẩu là
một khía cạnh khác nơi mật khẩu có thể không còn hợp lệ sau một khoảng thời gian nhất định.
kỳ.

Khóa công khai
Sự cố xác thực

Hình thức xác thực này an toàn hơn mật khẩu nhưng đi kèm
với những thách thức riêng. Nếu khóa công khai bị thiếu khỏi tệp
.ssh/authorized_keys trên máy chủ hoặc nếu khóa riêng tư trên
phía máy khách không được cấu hình chính xác hoặc có quyền hạn không chính xác
(nên là 600), xác thực sẽ thất bại. Một vấn đề thường gặp khác là
lỗi định dạng trong authorized_keys tệp, có thể
xảy ra nếu khóa được sao chép không chính xác.

Đa yếu tố
Thách thức Xác thực (MFA)

MFA cung cấp một lớp bảo mật bổ sung thường bao gồm một
mã dựa trên thời gian hoặc một token vật lý. Các vấn đề phổ biến với MFA bao gồm sai lệch thời gian
trên các token dẫn đến đồng bộ hóa không thành công, hoặc người dùng mất
quyền truy cập vào thiết bị MFA của họ, có thể khóa họ khỏi hệ thống.

Vấn đề Tác nhân SSH

Tác nhân SSH lưu giữ các khóa riêng được sử dụng cho xác thực khóa công khai,
giảm nhu cầu nhập mật khẩu. Các vấn đề có thể xảy ra nếu tác nhân SSH
không chạy hoặc nếu các khóa không được thêm vào tác nhân với
ssh-add. Điều này có thể dẫn đến nhắc mật khẩu lặp đi lặp lại hoặc
lỗi xác thực.

Hiểu rõ các vấn đề phổ biến này và tác động của chúng là rất quan trọng
để duy trì một môi trường SSH an toàn và ổn định.

Chẩn đoán SSH
Vấn đề xác thực

Khi bạn gặp phải vấn đề xác thực SSH, một cách tiếp cận có hệ thống có thể
giúp bạn xác định nguyên nhân gốc rễ:

Đang phân tích lỗi
Tin nhắn

SSH cung cấp các thông báo lỗi cụ thể có thể hướng dẫn bạn tìm vấn đề.
Ví dụ, "Permission denied (publickey)" cho thấy một vấn đề với
xác thực khóa công khai, trong khi "Access denied" có thể chỉ ra một
mật khẩu sai hoặc một tài khoản bị khóa.

Kiểm tra Máy chủ và
Nhật ký Khách hàng

Nhật ký của máy chủ có thể cung cấp thông tin chi tiết về xác thực
không thành công. Sử dụng các lệnh như grep sshd /var/log/auth.log
để lọc các mục nhật ký liên quan đến SSH trên máy chủ. Tương tự, kiểm tra
nhật ký của máy khách, thường được tìm thấy trong ~/.ssh/ hoặc xuất ra
terminal, để tìm manh mối.

Đang xác minh
Cài đặt Xác thực

Trên máy chủ, tệp cấu hình daemon SSH tại
/etc/ssh/sshd_config chứa các cài đặt cho
các phương thức xác thực. Đảm bảo rằng xác thực mật khẩu, xác thực khóa công khai
và bất kỳ cài đặt MFA nào đều được bật hoặc
tắt theo yêu cầu.

Bằng cách kiểm tra kỹ lưỡng những khu vực này, bạn thường có thể xác định chính xác
vấn đề gây ra sự cố xác thực SSH.

Khắc phục sự cố và
Giải pháp

Đang khôi phục mật khẩu
Vấn đề

Khi gặp sự cố xác thực SSH liên quan đến mật khẩu, việc đặt lại
thông tin xác thực của bạn là một quá trình đơn giản bằng cách sử dụng Cloudzy
Bảng điều khiển:

1. Truy cập Bảng điều khiển Cloudzy:

• Đăng nhập vào bảng điều khiển Cloudzy của bạn.

• Điều hướng tới Truy cập phần của tài khoản cụ thể của bạn
  Bảng điều khiển VPS.

2. Đặt Lại Mật Khẩu:

• Nhấp vào ĐẶT LẠI MẬT KHẨU CLOUD VPS
  nút

• Một lời nhắc xác nhận sẽ xuất hiện. Sau khi xác nhận, VPS
  sẽ khởi động lại và mật khẩu mới sẽ được gửi đến email đã đăng ký của bạn
  địa chỉ

Sửa chữa khóa công khai
Xác thực

Xác minh rằng khóa công khai được đặt chính xác trong
~/.ssh/authorized_keys tệp trên máy chủ. Đảm bảo rằng tệp
có quyền truy cập chính xác với chmod 600
~/.ssh/authorized_keys. Ở phía máy khách, kiểm tra xem
khóa riêng được tải với ssh-add -l và nếu chưa có, hãy thêm
nó với ssh-add /path/to/private_key.

Xử lý MFA
Vấn đề

Để khắc phục sự cố MFA, hãy đảm bảo đồng hồ trên máy chủ và thiết bị xác thực được đồng bộ hóa.
Nếu thiết bị MFA bị mất, hãy đặt lại cài đặt MFA thông qua
giao diện quản trị của máy chủ, thường yêu cầu tạm thời
vô hiệu hóa MFA cho tài khoản bị ảnh hưởng.

Để khắc phục sự cố với Google Authenticator hoặc các công cụ MFA tương tự:

• Thời gian đồng bộ lại: Đảm bảo đồng hồ trên máy chủ và
  thiết bị MFA được đồng bộ hóa. Sử dụng ntpdate lệnh bật
  máy chủ nếu cần thiết để đồng bộ hóa với các máy chủ thời gian.

• Khôi phục Quyền Truy Cập: Nếu bạn mất quyền truy cập vào
  thiết bị MFA, hãy sử dụng mã sao lưu được cung cấp khi thiết lập hoặc liên hệ với quản trị viên máy chủ
  để tạm thời vô hiệu hóa MFA cho tài khoản của bạn để khôi phục quyền truy cập.
  truy cập

Khắc phục Sự cố SSH Agent

Windows với PuTTY:

1. Khởi chạy PuTTY.

2. Điều hướng đến Connection -> SSH -> Auth -> Credentials trong
   cây danh mục.

3. Nhấp vào nút 'Browse' để chọn tệp khóa riêng của bạn để
   xác thực. Tệp này thường sẽ có phần mở rộng .ppk nếu nó
   đã được chuyển đổi để sử dụng với PuTTY.

4. Nếu tệp khóa của bạn có mật khẩu, bạn sẽ được nhắc nhập nó
   khi bạn kết nối.

5. Lưu cài đặt phiên của bạn để sử dụng trong tương lai.

Windows PowerShell hoặc Command Prompt:

1. Đảm bảo bạn có ssh-agent dịch vụ đang chạy:

Get-Service ssh-agent | Set-Service -StartupType Automatic

Start-Service ssh-agent

2. Thêm khóa riêng của bạn vào ssh-agent:

ssh-add .ssh\id_rsa

Thay thế **.ssh_rsa** bằng đường dẫn tới tệp khóa riêng của bạn nếu cần
không ở vị trí mặc định.

Thiết bị đầu cuối Linux:

1. Khởi động agent SSH nếu nó chưa được chạy:

eval "$(ssh-agent -s)"

2. Thêm khóa SSH của bạn vào agent:

ssh-add ~/.ssh/id_rsa

Thay thế ~/.ssh/id_rsa với đường dẫn tới khóa riêng của bạn
tệp khóa nếu nó không ở vị trí mặc định.

Hãy nhớ rằng trên Linux, ssh-add có thể yêu cầu bạn cung cấp
khóa nếu có. Đây là một hành động một lần cho mỗi phiên hoặc
cho đến khi agent dừng hoặc hệ thống khởi động lại.

Với các giải pháp này, bạn có thể xử lý được những trường hợp phổ biến nhất
Các vấn đề xác thực SSH, từ đặt lại mật khẩu đơn giản đến các vấn đề phức tạp hơn
MFA và SSH có vấn đề với agent. Luôn tuân theo các thực tiễn bảo mật tốt nhất khi
giải quyết những vấn đề này để đảm bảo tính an toàn của quyền truy cập máy chủ
giao thức. Nếu bạn cần thêm thông tin hoặc hỗ trợ thêm, vui lòng liên hệ
liên hệ với đội hỗ trợ của chúng tôi tại đang gửi
vé.