Ubuntu EC2服务器在OpenSSH升级后不接受密钥

我刚刚在EC2 Ubuntu实例上升级了OpenSSH。

sshd -V现在给出：OpenSSH_6.6p1

先前显示：OpenSSH_5.9p1 Debian-5ubuntu1.3

但是，我无法再使用Amazon的.pem文件登录。

它要求输入密码，并且auth.log向我显示以下内容：

Sep  9 16:27:54 ip------0 sshd[31498]: rexec line 89: Unsupported option UsePAM
Sep  9 16:27:55 ip------0 sshd[31498]: User ubuntu not allowed because account is locked
Sep  9 16:27:55 ip------0 sshd[31498]: input_userauth_request: invalid user ubuntu [preauth]

ssh amazon-ec2 ubuntu-12.04

— 亚当e247
source

撤消您的更改，请勿重试。

— 迈克尔·汉普顿

@MichaelHampton好的-我会听取您的建议，然后尝试回滚更改，但是为什么不应该再次尝试呢？

— 亚当e247 2014年

因为它是关键的系统组件，您在尝试重新编译和替换自己之前确实需要彻底了解。更不用说没有理由要这样做了。

— 迈克尔·汉普顿

@MichaelHampton这样做的原因是为了满足安全性要求，并要求我解决这些问题。诚然，我的知识不是很丰富，并在Ubuntu论坛上关注了一个帖子askubuntu.com/questions/461494/update-openssh-server-in-12-04

— adam e247

通常，通过安装发行版本提供的反向移植更新来解决软件包中的任何实际安全问题。同样，没有充分的理由这样做。

— 迈克尔·汉普顿

Answers:

-1

这很清楚：

User ubuntu not allowed because account is locked

SSH不允许使用密钥或密码登录锁定的帐户。解锁用户“ ubuntu”：

passwd -u ubuntu

如果您以前从未为用户设置过密码并且不想使用该密码，请不要将其保留为空。设置一些随机密码，然后忘记它：

passwd    ubuntu

— 尼尔斯·托德曼
source

最佳做法是尽可能使用ssh无密码身份验证。

— csi 2014年

是的-我需要通过.pem文件（最好是原始文件）重新获得访问权限-似乎升级已更改或添加了ssh密钥。

— 亚当e247 2014年

密码未设置为用于登录，而是用于解锁帐户（因此SSH将允许用户使用WITH KEY），而无需使用空密码！

— Nils Toedtmann 2014年

如果我要补充一句：真正的最佳实践是通知安全人员，并在少量失败尝试后阻止进一步的登录尝试，以防止暴力攻击，这基本上消除了基于密码和基于密钥的身份验证的区别。

— Markus W Mahlberg 2014年

尝试查看/ etc / shadow文件。我相信您会!在加密的密码栏中看到第二个密码。我可以通过!从“密码”列中删除来解决此问题。顺便说一句，身份验证日志抱怨帐户被锁定。（!通常用于锁定用户帐户）

/ etc / shadow

ubuntu:!$6$HmV2ibLf$s25xgRnrD6pbOVAcpzl45PPYhWKlyy.OauX2xadGrWWANGDZ66WpeglPryd14kX.IbKiKvFB2OA/CZY6ZG4U0/:15859:0:99999:7:::

它看起来像上面的东西。您!在第二栏中摘下了，您应该能够以ubuntu用户和用于它的密钥再次登录计算机。

您可以通过分离当前实例的根卷并将其附加到另一个测试实例来完成上述所有步骤。将卷挂载为辅助驱动器，然后编辑MOUNT / etc / shadow文件。

— 曼朱纳斯·古达
source