Вопрос или проблема
Я использую Kitty (клон putty) и агент Keepass (аналог pagent). Агент Keepass содержит 5 ssh-ключей.
Эта настройка работает нормально со всеми linux-системами, с которыми я сталкивался до сих пор,
подключение к нашей новой linux-системе RHEL7 завершается неудачей с сообщением
тип 2 (ошибка протокола):
“Слишком много неудачных попыток аутентификации для …”
Я добавил
MaxAuthTries 6
в /etc/ssh/sshd_config и выполнил
systemctl restart sshd.service
но ошибка не исчезла.
Вход в Kitty показал, что после 5 ssh-ключей
была сделана дополнительная попытка аутентификации GSSAPI
Event Log: Используя SSPI из SECUR32.DLL
Event Log: Попытка аутентификации GSSAPI
это привело к неудаче 6-й попытки.
Установка
MaxAuthTries 10
исправила это.
Как указал Якуйе, увеличение MaxAuthTries не является лучшим подходом, поэтому я отменил это изменение и вернулся к настройкам Kitty, чтобы отключить
невостребованную аутентификацию GSSAPI.
Соединение -> ssh -> аутентификация -> GSSAPI : снимите отметку "Попытаться аутентификацию GSSAPI"
Это решило проблему, не снижая уровень безопасности.
Ответ или решение
Решение проблемы «Слишком много ошибок аутентификации для …» на RHEL7
Проблема, с которой вы столкнулись, представляет собой распространённую ситуацию, возникающую при использовании SSH для подключения к серверу, особенно если у вас есть несколько SSH-ключей и дополнительные методы аутентификации, такие как GSSAPI. Давайте разберем ключевые аспекты вашего случая и предложим эффективное решение.
Описание проблемы
Как вы упомянули, при использовании Kitty (клоны PuTTY) в связке с KeePass Agent, вы получили сообщение об ошибке "Слишком много ошибок аутентификации для …". Это связано с тем, что в процессе аутентификации происходит превышение максимального числа разрешенных попыток.
- Вы настроили MaxAuthTries в файле /etc/ssh/sshd_config на 6, но это изменение не привело к желаемому результату.
- После 5 попыток аутентификации с использованием SSH-ключей, автоматически выполняется дополнительная попытка аутентификации с использованием GSSAPI, что в итоге приводит к шестой попытке, которая и вызывает ошибку.
Решение проблемы с GSSAPI
Вы правильно сделали, увеличив значение MaxAuthTries на некоторое время для проверки работоспособности, но оптимальным решением является отключение ненужных методов аутентификации. После этого вы вернулись к настройкам Kitty и отключили GSSAPI:
- Перейдите в настройки Kitty.
- Найдите раздел Connection -> SSH -> Auth.
- Снимите отметку с опции Attempt GSSAPI authentication.
Это решение позволяет избежать лишних попыток аутентификации, которые не требуются в вашем случае, и улучшает общую безопасность, снижая возможность трудностей с аутентификацией.
Рекомендации по безопасности
-
Минимизация используемых протоколов: Отключайте все методы аутентификации, которые не используются, такие как GSSAPI, если они вам не нужны.
-
Контроль SSH-ключей: Убедитесь, что на KeePass Agent сконфигурированы только необходимые SSH-ключи. Это поможет вам избежать ненужных попыток аутентификации.
-
Мониторинг событий аутентификации: Регулярно проверяйте логи SSH, которые можно найти в
/var/log/secureна RHEL7. Это поможет вам фиксировать любые попытки доступа и уязвимости. -
Обновление и поддержка: Убедитесь, что система и все её компоненты обновлены, чтобы использовать последние фиксированные уязвимости и оптимизации безопасности.
Заключение
Вы успешно нашли решение проблемы, отключив GSSAPI в настройках Kitty, что позволило сохранить безопасность и избежать путаницы с лишними попытками аутентификации. Поддержка оптимальных настроек в SSH и регулярный мониторинг системных логов — это ключевые факторы для поддержки безопасности. Если у вас возникнут дополнительные вопросы или потребуются дальнейшие консультации по SSH и безопасному управлению доступом, не стесняйтесь обратиться за помощью.