SSH: Gazda nu verifică cheia privată a clienților?

Tocmai am instalat un Ubuntu 20.04 proaspăt și, de asemenea, openssh-server, dar cumva este posibil să stabilesc o conexiune ssh doar cu parolă.

Există doi utilizatori pe această mașină gazdă. Ambele au un fișier authorized_keys cu cheia lor publică în directorul ~/.ssh/.

Cunosc parola celuilalt utilizator, dar nu am cheia lui privată pe aparatul meu. Cumva mă pot conecta la contul lui. Pentru a fi clar, mi-a dat parola lui pentru a testa asta.

Am descărcat configurația „proaspătă” de la Aici și a comparat diferențele din fișierul sshd_config, deoarece acesta este fișierul de configurare pe partea gazdă.

Din câte știu eu, tocmai am schimbat X11Forwarding la da și l-am decomentat.

Următorul este al meu sshd_config fișier pe mașina gazdă. Este ceva greșit care ar putea fi cauza acestei probleme?

# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $

# Acesta este fișierul de configurare la nivel de sistem al serverului sshd. Vedea
# sshd_config(5) pentru mai multe informații.

# Acest sshd a fost compilat cu PATH=/usr/bin:/bin:/usr/sbin:/sbin

# Strategia folosită pentru opțiunile din sshd_config implicit livrate cu
# OpenSSH este de a specifica opțiunile cu valoarea lor implicită unde
# posibil, dar lăsați-le comentate. Opțiunile necomentate înlocuiesc
# valoare implicită.

Includeți /etc/ssh/sshd_config.d/*.conf

#Portul 22
#AdresaFamiliei orice
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Cifruri și codare
#RekeyLimit implicit nici unul

# Logare
#SyslogFacility AUTH
INFORMAȚII #LogLevel

# Autentificare:

#LoginGraceTime 2m
#PermitRootLogin prohibit-parolă
#StrictModes da
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication da

# Așteptați-vă ca .ssh/authorized_keys2 să fie ignorat implicit în viitor.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile nici unul

#AuthorizedKeysCommand niciunul
#AuthorizedKeysCommandUser nimeni

# Pentru ca acest lucru să funcționeze, veți avea nevoie și de chei de gazdă în /etc/ssh/ssh_known_hosts
#HostbasedAuthentication nr
# Schimbați la yes dacă nu aveți încredere în ~/.ssh/known_hosts pentru
# Autentificare bazată pe gazdă
#IgnoreUserKnownHosts nr
# Nu citiți fișierele ~/.rhosts și ~/.shosts ale utilizatorului
#IgnoreRhosts da

# Pentru a dezactiva parolele de text clar tunelizate, schimbați la nu aici!
#PasswordAuthentication da
#PermitEmptyPasswords nr

# Schimbați la da pentru a activa parolele de răspuns la provocare (feriți-vă la problemele cu
# unele module PAM și fire)
ChallengeResponseAuthentication nr

# Opțiuni Kerberos
#KerberosAuthentication nr
#KerberosOrLocalPasswd da
#KerberosTicketCleanup da
#KerberosGetAFSToken nr

# Opțiuni GSSAPI
#GSSAPIAutentificare nr
#GSSAPICleanupCredentials da
#GSSAPIStrictAcceptorCheck da
#GSSAPIKeyExchange nr

# Setați acest lucru la „da” pentru a activa autentificarea PAM, procesarea contului,
# și procesarea sesiunii. Dacă aceasta este activată, autentificarea PAM va fi
# să fie permis prin ChallengeResponseAuthentication și
# PasswordAuthentication. În funcție de configurația dvs. PAM,
# Autentificarea PAM prin ChallengeResponseAuthentication poate ocoli
# setarea „PermitRootLogin fără parolă”.
# Dacă doriți doar ca contul PAM și verificările de sesiune să ruleze fără
# Autentificare PAM, apoi activați aceasta, dar setați PasswordAuthentication
# și ChallengeResponseAuthentication la „nu”.
Folosește PAM da

#AllowAgentForwarding da
#AllowTcpForwarding da
#GatewayPorts nr
X11 Redirecționare da
#X11DisplayOffset 10
#X11UseLocalhost da
#PermitTTY da
PrintMotd nr
#PrintLastLog da
#TCPKeepAlive da
#PermitUserMediu nr
#Compresia întârziată
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS nr
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel nr
#ChrootDirectory niciunul
#VersionAddendum niciunul

# nicio cale implicită pentru banner
#Banner nici unul

# Permite clientului să transmită variabile de mediu locale
AcceptEnv LANG LC_*

# suprascrie valoarea implicită fără subsisteme
Subsistemul sftp /usr/lib/openssh/sftp-server

# Exemplu de setări de suprascrie pe bază de utilizator
#Match User anoncvs
# X11Redirecționare nr
# AllowTcpForwarding nr
# PermisTTY nr
# Server ForceCommand cvs


 

Intrări comentate în original /etc/ssh/sshd_config fișierul indică valorile implicite. Asa de

#PasswordAuthentication da

înseamnă că, în mod implicit, utilizatorii se pot autentifica folosind parolele lor. The prezenţă a cheilor publice în sine nu anulează acest lucru.

Va trebui să te schimbi în

PasswordAuthentication nr

pentru a preveni asta.