过去一周左右我一直在解决一个问题,但我已经没有什么主意了。
我在我的 Centos 7 VPS 上为 git 服务器添加了一个新用户,并且(根据几篇文章的建议)将用户的主目录放在里面/var而不是/home。
然后,我尝试使用 ssh 登录该用户,并且一切正常。然而,公钥认证确实不是正常工作。在调试过程中,我最终使用户git和主用户在各个方面都相同 - 他们都是 sudoers,他们拥有相同的.ssh目录,拥有相同的authorized_keys文件,我甚至将git用户移动到/home,但无济于事。
为了进一步测试,我创建了两个新用户:test1和test2。test1的主目录在/home,test2的主目录在/var。 果然,pubkey auth 对 和 都有效test1, 却不行test2。 我不认为这是权限问题,因为/var具有与 相同的权限/home,并且用户目录都具有正确的权限。 此外,我很困惑,即使将原始git用户移动到 后,它也不接受 pubkey auth /home。
如果我以详细模式运行 ssh,我可以看到在发送密钥后发生了延迟:
debug1: Offering RSA public key: /home/user/.ssh/foo.key
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
当连接到主用户或时test1,它的行为有所不同:
debug1: Offering RSA public key: /home/user/.ssh/foo.key
debug2: we sent a publickey packet, wait for reply
debug1: Server accepts key: pkalg ssh-rsa blen 279
我发现的唯一线索是:当我尝试以不存在的用户身份登录时,我得到了与第一个相同的响应(等待回复,然后跳过公钥认证)。那么,机器是否让用户git对外界不可见?它为什么要这样做?
我通常可以解决这些问题,但我觉得这次我几乎被难住了。谢谢大家的帮助!
答案1
这是 SELinux 的问题。如果您没有这种级别的安全性,在文件系统中移动文件是可以的,但 SELinux 会根据每个文件的路径默认设置标签。
当你移动一些特殊用途的目录时,确保它们有正确的标签。在这种情况下,chcon使用--reference选项,这在本例中很适用:
chcon --reference /home/user/.ssh/ -R /var/user/.ssh/
更好的方法是编写自定义策略并将其加载到内核中,但这超出了本答案的范围。