如何配置SSH,以便它不会自动尝试所有身份文件?


101

我一直将ssh身份文件放在〜/ .ssh /文件夹中。我大概那里有30个文件。

当我连接到服务器时,我将指定要使用的身份文件,例如

ssh -i〜/ .ssh / client1-identity client1@10.1.1.10

但是,如果我未指定身份文件,则仅使用以下内容:

ssh user123@example.com

我得到错误

user123的身份验证失败太多

我了解这是因为,如果未指定身份文件,并且ssh可以找到身份文件,则它将尝试所有身份文件。

我也了解我可以编辑~/.ssh/config文件并指定类似以下内容的文件:

主机example.com
PreferredAuthentications交互式键盘密码

为了防止该连接尝试已知的身份文件。

因此,我想我可以将身份文件移出~/.ssh/目录,或者可以在配置文件中指定要禁用身份文件身份验证的每个主机,但是有什么方法可以告诉SSH购买默认而不是搜索身份文件?还是指定要搜索的内容?


4
关于“我了解那是因为...”- ssh -v用于确定。
grawity 2011年

Answers:


101

您可以将IdentitiesOnly=yes选项与一起使用IdentityFile(请参见ssh_config手册页)。这样,您可以指定应查找的文件。

在此示例中,ssh将查看ssh_config文件中给出的标识+命令行中列出的4个标识(代理将提供的标识将被忽略):

ssh -o IdentitiesOnly=yes \
    -o IdentityFile=id1.key \
    -o IdentityFile=id2.key \
    -i id3.key \
    -i id4.key \
    user123@example.com

形式-i-o IdentityFile=可以互换。


7
一个例子会很好
rubo77

1
是不是:(IdentitiesOnly yes不带“ =”)?
Dimitrios Mistriotis

3
@DimitriosMistriotis根据ssh_config手册页,任何一种都可以接受:Configuration options may be separated by whitespace or optional whitespace and exactly one '='; the latter format is useful to avoid the need to quote whitespace when specifying configuration options using the ssh, scp, and sftp -o option.
Nick Anderegg

IdentitiesOnly可能并不总是有效,您可能必须专门排除主机;看到superuser.com/questions/859661/...
aexl

79

user76528的简短答案是正确的,但是我只是遇到了这个问题,并认为进行一些详细说明会很有用。如果您想知道“ ssh为什么忽略我的identityfile配置选项”,您可能还会关心此解决方案?

首先,与ssh_config中的所有其他选项不同,ssh不使用IdentityFile它找到的第一个选项。相反,该IdentityFile选项将该文件添加到使用的身份列表中。您可以堆叠多个IdentityFile选项,并且ssh客户端将尝试所有这些选项,直到服务器接受一个或拒绝连接为止。

其次,如果您使用ssh-agent,即使您未在ssh_config的IdentityFile(或-i)选项中使用ssh-agent进行指定,ssh也会自动尝试使用该密钥。这是您可能会收到Too many authentication failures for user错误的常见原因。使用该IdentitiesOnly yes选项将禁用此行为。

如果您将ssh作为多个系统的多个用户使用ssh,建议IdentitiesOnly yes您将ssh_config的全局部分放入,并将每个部分放在IdentityFile适当的Host子部分中。


5
很好地解释了,谢谢。参数'IdentitiesOnly'表示TakeOnlyWhatIExplicitlySpecifyThenFailoverToPassword并不明显。显然,。/ ssh / id_rsa密钥仍然列出。
lImbus 2014年

IdentitiesOnly yes在ssh_config中的全局部分就是为我做。谢谢!
jamix

1
感谢您的详细评论。我曾经使用('\'代表换行符)Host * \ IdentityFile ~/.ssh/mykey作为配置选项,起初,对于一个特定的站点有不同的条目,例如Host special \ IdentityFile ~/.ssh/specialkey \ IdentitiesOnly yes继续提供mykey而不是,这似乎很奇怪specialkey。当然还不清楚,直到我(从您的答案中)意识到,IdentityFile条目按评估顺序堆叠在一起,并且将使用最后定义的条目。删除IdentityFile ~/.ssh/mykey解决了该问题,并使用了正确的单键。
莱德(Ryder)2015年

1
在尝试此操作之前,我注意到我的git pull/push命令正在尝试在代理程序中加载的每个身份。直到有一点我有太多的钥匙,这才不是问题。
sdkks

21

我通常这样做:

$ ssh -o IdentitiesOnly=yes -F /dev/null -i ~/path/to/some_id_rsa root@server.mydom.com

选项如下:

  • -o IdentitiesOnly=yes-告诉SSH仅使用通过CLI提供的密钥,而不使用$HOME/.ssh或通过ssh-agent 提供的密钥
  • -F /dev/null -禁止使用 $HOME/.ssh/config
  • -i ~/path/to/some_id_rsa -您明确要用于连接的密钥

$ ssh -v -o IdentitiesOnly=yes -F /dev/null -i ~/my_id_rsa root@someserver.mydom.com
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
debug1: Reading configuration data /dev/null
debug1: Connecting to someserver.mydom.com [10.128.12.124] port 22.
debug1: Connection established.
debug1: identity file /Users/sammingolelli/my_id_rsa type 1
debug1: identity file /Users/sammingolelli/my_id_rsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH_5*
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA f5:60:30:71:8c:a3:da:a3:fe:b1:6d:0b:20:87:23:e1
debug1: Host 'someserver' is known and matches the RSA host key.
debug1: Found key in /Users/sammingolelli/.ssh/known_hosts:103
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/sammingolelli/my_id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
Authenticated to someserver.mydom.com ([10.128.12.124]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Last login: Tue Dec  8 19:03:24 2015 from 153.65.219.15
someserver$

注意,在上面的输出中,ssh它仅my_id_rsa通过CLI 标识了私钥,并且使用它来连接到某台服务器。

特别是这些部分:

debug1: identity file /Users/sammingolelli/my_id_rsa type 1
debug1: identity file /Users/sammingolelli/my_id_rsa-cert type -1

和:

debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/sammingolelli/my_id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).

1
谢谢,这是唯一完整的解决方案。显然,-F /dev/null是其他答案中缺少的部分。
leden

10

在您有很多密钥的情况下,您总是会遇到“ Too many Authentication Failures”错误。如果您有密码,并且只想使用密码登录,这就是您的操作方法。

要仅使用密码身份验证而不使用公钥,并且不使用有点误导性的“ keyboard-interactive”(包含密码的超集),可以从命令行执行此操作:

ssh -o PreferredAuthentications=password user@example.com

7

使用IdentityFile,但继续使用ssh-agent来避免出现密码提示

公认的using解决方案IdentitiesOnly yes意味着您永远无法利用ssh-agent,从而导致在加载密钥时反复提示您输入密码。

为了继续使用ssh-agent并避免“身份验证失败太多”错误,请尝试以下操作:

  1. 删除所有自动将密钥加载到中的交互式控制台启动脚本ssh-agent

  2. 添加AddKeysToAgent yes到客户端的ssh配置。这将在首次连接时提示您输入密码,然后将密钥添加到代理。

  3. 使用ssh-add -D时,你会得到“太多的验证”的错误。这只是“重置”(删除)您的ssh-agent缓存。然后在同一会话中再次尝试连接。系统将提示您输入密码,一旦被接受,它将被添加到您的代理中。由于代理中只有一把钥匙,因此可以连接。然后,ssh-agent仍在同一会话中以用于将来的连接,以避免再次出现提示。

    Host ex example.com
       User joe
       HostName example.com
       PreferredAuthentications publickey,password
       IdentityFile /path/to/id_rsa
       AddKeysToAgent yes
    

会接受添加到钥匙串的钥匙吗?
vfclists

2

ssh客户端和ssh客户端ssh-agent通过Unix域套接字进行通信,该套接字的名称由SSH_AUTH_SOCK环境变量(由代理在启动时设置)指定给客户端。

因此,为了防止客户端的单次调用查询代理,可以将该变量显式设置为无效值,例如空字符串。

$ SSH_AUTH_SOCK= ssh user@server

像这样的客户端调用将无法与代理通信,并且只能向服务器提供身份~/.ssh/,或者以命令行中指定的任何形式(使用-i)提供给服务器。

debug1: pubkey_prepare: ssh_get_authentication_socket: Connection refused

这是一个很好的答案。当您使用“在幕后”使用SSH的命令(如git)时,它很简单且有效。可惜我不能再投票了。
rsuarez

1

您一直(几乎)有答案:

Host *
PreferredAuthentications keyboard-interactive,password

为我工作。


8
该问题询问有关如何限制使用哪些公钥的问题。此答案将完全禁用公共密钥身份验证。
chrishiestand 2012年

1
我+1了,因为这是我正在谷歌搜索的答案,谢谢@Henry Grebler
matiu 2012年

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.