আমি কীভাবে এসএসএইচ কনফিগার করব যাতে এটি সমস্ত পরিচয় ফাইল স্বয়ংক্রিয়ভাবে চেষ্টা করে না?

আমি আমার sh / .ssh / ফোল্ডারের ভিতরে আমার ssh পরিচয় ফাইলগুলি রাখছি। আমার কাছে সম্ভবত সেখানে প্রায় 30 টি ফাইল রয়েছে।

আমি যখন সার্ভারের সাথে সংযুক্ত থাকি, তখন আমি ব্যবহার করার মতো পরিচয় ফাইলটি নির্দিষ্ট করে দেব

ssh -i ~ / .ssh / ক্লায়েন্ট 1-পরিচয় ক্লায়েন্ট 1@10.1.1.10

তবে, আমি যদি কোনও পরিচয় ফাইল নির্দিষ্ট না করি এবং এই জাতীয় কিছু ব্যবহার করি:

ssh user123@example.com

আমি ত্রুটি পেয়েছি

ব্যবহারকারী 123 এর জন্য অনেক বেশি প্রমাণীকরণ ব্যর্থতা

আমি বুঝতে পেরেছি কারণ যদি কোনও পরিচয় ফাইল নির্দিষ্ট না করা থাকে এবং ssh পরিচয় ফাইলগুলি সন্ধান করতে পারে তবে এটি তাদের সকলের চেষ্টা করবে।

আমি এও বুঝতে পারি যে আমি ~/.ssh/configফাইলটি সম্পাদনা করতে পারি এবং এর মতো কিছু নির্দিষ্ট করতে পারি:

হোস্ট উদাহরণ.কম
পছন্দের প্রমাণীকরণ কীবোর্ড-ইন্টারেক্টিভ, পাসওয়ার্ড

পরিচিতি পরিচয় ফাইল চেষ্টা করে সেই সংযোগটি রোধ করার জন্য।

সুতরাং, আমি অনুমান করি যে আমি আমার পরিচয় ফাইলটি ~/.ssh/ডিরেক্টরি থেকে বাইরে নিয়ে যেতে পারি , বা আমি প্রতিটি হোস্টকে নির্দিষ্ট করে দিতে পারি যে আমি কনফিগার ফাইলে পরিচয়-ফাইল প্রমাণীকরণ অক্ষম করতে চাই, তবে এসএসএইচকে ডিফল্ট কিনতে বলার কোনও উপায় আছে যা অনুসন্ধান না করে পরিচয় ফাইল? বা এটি অনুসন্ধান করবে সেগুলি নির্দিষ্ট করতে?

আপনি IdentitiesOnly=yesবিকল্পটি পাশাপাশি ব্যবহার করতে পারেন IdentityFile( ssh_config ম্যান পৃষ্ঠা দেখুন )। এই পদ্ধতিতে, আপনি কোন ফাইল (গুলি) সন্ধান করতে হবে তা নির্দিষ্ট করতে পারেন।

এই উদাহরণে, ssh কেবল ssh_config ফাইলগুলিতে প্রদত্ত পরিচয়গুলি অনুসন্ধান করবে + কমান্ড লাইনে তালিকাভুক্ত 4 টি (এজেন্টের দেওয়া পরিচয় উপেক্ষা করা হবে):

ssh -o IdentitiesOnly=yes \
    -o IdentityFile=id1.key \
    -o IdentityFile=id2.key \
    -i id3.key \
    -i id4.key \
    user123@example.com

ফর্মগুলি -iএবং -o IdentityFile=বিনিময়যোগ্য।

ব্যবহারকারীর 6565৫২৮ এর সংক্ষিপ্ত উত্তরটি সঠিক, তবে আমার কেবল এই সমস্যা হয়েছিল এবং আমি ভেবেছিলাম যে কিছু বিস্তৃতি কার্যকর হবে। আপনি এই সমাধানটি সম্পর্কেও চিন্তা করতে পারেন যদি আপনি "ভেবে দেখেন যে এসএসএস কেন আমার পরিচয় ফাইল কনফিগারেশন বিকল্পটি উপেক্ষা করছেন"?

প্রথমত, ssh_config এর অন্যান্য বিকল্পগুলির মতো নয়, ssh IdentityFileএটি সন্ধান করা প্রথমটি ব্যবহার করে না । পরিবর্তে IdentityFileবিকল্পটি ব্যবহৃত ফাইলের পরিচয় তালিকায় সেই ফাইলটি যুক্ত করে। আপনি একাধিক IdentityFileবিকল্প স্ট্যাক করতে পারেন এবং সার্ভার কোনওটি গ্রহণ না করে বা সংযোগটি প্রত্যাখ্যান না করা পর্যন্ত ssh ক্লায়েন্ট এগুলি সব চেষ্টা করবে।

দ্বিতীয়ত, আপনি যদি কোনও এসএস-এজেন্ট ব্যবহার করেন তবে ssh স্বয়ংক্রিয়ভাবে এজেন্টের কীগুলি ব্যবহার করার চেষ্টা করবে, এমনকি যদি আপনি সেগুলি ssh_config এর আইডেন্টিটি ফাইল (বা -i) বিকল্পের সাথে নির্দিষ্ট না করে থাকেন। এটি Too many authentication failures for userত্রুটি পেতে পারে এমন একটি সাধারণ কারণ । IdentitiesOnly yesবিকল্পটি ব্যবহার করা এই আচরণটি অক্ষম করবে।

যদি আপনি একাধিক সিস্টেমে একাধিক ব্যবহারকারী হিসাবে ssh করেন তবে আমি আপনাকে IdentitiesOnly yesssh_config এর বিশ্বব্যাপী বিভাগে রাখার এবং প্রতিটিটিকে IdentityFileযথাযথ হোস্ট সাবেকশনের মধ্যে রাখার পরামর্শ দিচ্ছি ।

আমি সাধারণত এটি পছন্দ করি:

$ ssh -o IdentitiesOnly=yes -F /dev/null -i ~/path/to/some_id_rsa root@server.mydom.com

বিকল্পগুলি নিম্নরূপ:

• -o IdentitiesOnly=yes- এসএসএইচকে কেবল কীগুলি ব্যবহার করতে বলে যা সি এল এলির মাধ্যমে সরবরাহ করা হয় এবং এসএসএইচ $HOME/.ssh-এজেন্টের মাধ্যমে বা সরবরাহ করা হয় না
• -F /dev/null - এর ব্যবহারকে অক্ষম করে $HOME/.ssh/config
• -i ~/path/to/some_id_rsa - সংযোগের জন্য আপনি কীটি স্পষ্টভাবে ব্যবহার করতে চান

উদাহরণ

$ ssh -v -o IdentitiesOnly=yes -F /dev/null -i ~/my_id_rsa root@someserver.mydom.com
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
debug1: Reading configuration data /dev/null
debug1: Connecting to someserver.mydom.com [10.128.12.124] port 22.
debug1: Connection established.
debug1: identity file /Users/sammingolelli/my_id_rsa type 1
debug1: identity file /Users/sammingolelli/my_id_rsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH_5*
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA f5:60:30:71:8c:a3:da:a3:fe:b1:6d:0b:20:87:23:e1
debug1: Host 'someserver' is known and matches the RSA host key.
debug1: Found key in /Users/sammingolelli/.ssh/known_hosts:103
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/sammingolelli/my_id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
Authenticated to someserver.mydom.com ([10.128.12.124]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Last login: Tue Dec  8 19:03:24 2015 from 153.65.219.15
someserver$

উপরের আউটপুটটিতে লক্ষ্য করুন যা sshকেবলমাত্র my_id_rsaসিএলআইয়ের মাধ্যমে ব্যক্তিগত কী চিহ্নিত করেছে এবং এটি এটি কোনওর সাথে সংযোগ করতে ব্যবহার করে।

বিশেষত এই বিভাগগুলি:

debug1: identity file /Users/sammingolelli/my_id_rsa type 1
debug1: identity file /Users/sammingolelli/my_id_rsa-cert type -1

এবং:

debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/sammingolelli/my_id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).

আপনার যেখানে অনেকগুলি কী আছে সেই দৃশ্যে আপনি অবিচ্ছিন্নভাবে "অনেক বেশি প্রমাণীকরণ ব্যর্থতা" ত্রুটিতে চলে যাবেন। আপনার যদি পাসওয়ার্ড থাকে এবং লগইন করার জন্য পাসওয়ার্ডটি সহজেই ব্যবহার করতে চান তবে আপনি এটি কীভাবে করবেন তা এখানে।

কেবলমাত্র পাসওয়ার্ড প্রমাণীকরণ ব্যবহার করতে এবং পাবলিক-কী ব্যবহার না করা এবং কিছুটা বিভ্রান্তিকর "কীবোর্ড-ইন্টারেক্টিভ" (যা পাসওয়ার্ড সহ একটি সুপারসেট) ব্যবহার না করে আপনি কমান্ড লাইন থেকে এটি করতে পারেন:

ssh -o PreferredAuthentications=password user@example.com

আইডেন্টিটিফিল ব্যবহার করুন তবে পাসফ্রেজ পুনরায় জমা এড়াতে ssh-এজেন্ট ব্যবহার করা চালিয়ে যান

ব্যবহারের স্বীকৃত সমাধানটির IdentitiesOnly yesঅর্থ আপনি কখনই ssh-এজেন্টের সুবিধা নিতে পারবেন না, এর ফলে আপনার কীটি লোড করার সময় আপনার পাসফ্রেজের জন্য বারবার অনুরোধ জানানো হবে।

ssh-agent'প্রচুর পরিমাণে প্রমাণীকরণ ব্যর্থতা' ত্রুটি ব্যবহার এবং এড়াতে এটিকে চেষ্টা করুন:

1. কোনও ইন্টারেক্টিভ কনসোল স্টার্টআপ স্ক্রিপ্ট সরিয়ে ফেলুন যা স্বয়ংক্রিয়ভাবে কীগুলি লোড করে ssh-agent।

2. যোগ AddKeysToAgent yesআপনার ক্লায়েন্টের SSH কনফিগ করতে। এটি আপনাকে প্রথমে সংযোগের সময় পাসফ্রেজের জন্য অনুরোধ করবে, তবে তারপরে আপনার এজেন্টে কীটি যুক্ত করবে।

3. ssh-add -Dআপনি যখন 'অনেক বেশি প্রমাণীকরণ' ত্রুটি পান তখন ব্যবহার করুন । এটি আপনার এসএস-এজেন্ট ক্যাশে কেবল 'পুনরায় সেট' (মুছে ফেলা) করে। তারপরে একই সেশনের মধ্যে আবার সংযোগ চেষ্টা করুন। আপনাকে একটি পাসফ্রেজের জন্য অনুরোধ করা হবে এবং একবার স্বীকৃত হয়ে গেলে এটি আপনার এজেন্টে যুক্ত হবে। যেহেতু আপনার এজেন্টে আপনার কাছে কেবল একটি চাবি রয়েছে তাই আপনাকে সংযোগ করার অনুমতি দেওয়া হবে। পুনরায় জমা এড়ানোর জন্য ssh-এজেন্ট এখনও একই অধিবেশনে ভবিষ্যতের সংযোগের জন্য রয়েছে।

   Host ex example.com
      User joe
      HostName example.com
      PreferredAuthentications publickey,password
      IdentityFile /path/to/id_rsa
      AddKeysToAgent yes
   

Ssh ক্লায়েন্ট এবং এটি ssh-agentএকটি ইউনিক্স ডোমেন সকেটের মাধ্যমে যোগাযোগ করছে যার নাম ক্লায়েন্টের কাছে SSH_AUTH_SOCKপরিবেশ পরিবর্তনশীল দ্বারা নির্দিষ্ট করা হয়েছে (এজেন্ট দ্বারা সেটআপ করার পরে)।

সুতরাং, ক্লায়েন্টের একক অনুরোধকে এজেন্টকে জিজ্ঞাসাবাদ থেকে বিরত রাখতে এই চলকটি খালি স্ট্রিংয়ের মতো স্পষ্টভাবে অবৈধ কিছুতে সেট করা যেতে পারে;

$ SSH_AUTH_SOCK= ssh user@server

এর মতো ক্লায়েন্টের অনুরোধ এজেন্টের সাথে যোগাযোগ করতে ব্যর্থ হবে এবং কেবলমাত্র সার্ভারে ফাইল হিসাবে উপস্থিত কোনও পরিচয় ~/.ssh/বা কমান্ড লাইনে নির্দিষ্ট কোনও পরিচয় অফার করতে সক্ষম হবে -i।

debug1: pubkey_prepare: ssh_get_authentication_socket: Connection refused

আপনার কাছে উত্তরটি ছিল (প্রায়):

Host *
PreferredAuthentications keyboard-interactive,password

আমার জন্য কাজ করেছেন।

~/.ssh/configনন কনফিগার সার্ভারগুলির জন্য কী ব্যবহারের রোধ করতে ফাইলের শেষে এটি যুক্ত করুন:

Host *
IdentitiesOnly=yes