问题描述
我在 NAT 后面有一个 SSH 服务器(CentOS 7.9
、SSH openssh-server-7.4
,两者都完全更新)。路由器进行必要的端口转发,在本例中为 22/tcp
。
我做了一些测试,使用私钥/公钥从 3 个不同的位置连接到该服务器(我想禁用密码访问,因为我每天有近 10000 次尝试闯入:-(,但我需要密钥访问权限才能工作这样做):
- 局域网:工作正常
- 来自 ISP A 提供商的 WAN:运行良好
- 来自 ISP B 提供商的 WAN:不起作用,退回要求输入密码。
测试 2 和 3 使用完全相同的计算机/一对密钥进行。
我注意到每次尝试从 WAN B 站点访问时,/var/log/secure
都会在服务器中向我显示:
reverse mapping checking getaddrinfo for <AAAA>.<BBBB>.<CCCC>.<dddd> [xxxx.yyyy.wwww.zzzz] Failed - POSSIBLE BREAK-IN ATTEMPT!
我启用了原始 SSH 数据包日志记录,并且我注意到,当从成功的 ISP A(测试 #2)访问时,客户端从服务器获取此消息:
Incoming packet #0x4,type 51 / 0x33 (SSH2_MSG_USERAUTH_FAILURE)
00000000 00 00 00 2f 70 75 62 6c 69 63 6b 65 79 2c 67 73 .../publickey,gs
00000010 73 61 70 69 2d 6b 65 79 65 78 2c 67 73 73 61 70 sapi-keyex,gssap
00000020 69 2d 77 69 74 68 2d 6d 69 63 2c 70 61 73 73 77 i-with-mic,passw
00000030 6f 72 64 00 ord.
当从失败的 ISP B(测试 #3)访问时,该消息仅:
Incoming packet #0x4,type 51 / 0x33 (SSH2_MSG_USERAUTH_FAILURE)
00000000 00 00 00 2f 70 75 62 6c 69 63 6b 65 79 2c 67 73 .../gs
00000010 73 61 70 69 2d 6b 65 79 65 78 2c 67 73 73 61 70 sapi-keyex,passw
00000030 6f 72 64 00 ord.
即,在第二种情况下,甚至没有为客户端提供 publickey 选项作为替代方案,因此回退请求密码。
显然(尽管这可能只是巧合)我认为“可能的入侵尝试!”消息与公钥未作为访问方法提供的事实有关。
如果是这种情况,是否有办法取消该设置并强制服务器将公钥作为有效选项提供给客户端?
如果情况并非如此(即,这只是巧合),有没有人知道为什么服务器拒绝提供公钥作为身份验证方法?
最后一点要考虑:如果我将服务器移动到另一个非标准端口(例如 2222/tcp
),那么来自 ISP B 的连接(测试 #3)工作正常并且计算机能够连接使用公钥。
非常感谢您的帮助。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)