Paramiko AuthenticationException проблема - PullRequest
11 голосов
/ 09 ноября 2010

У меня проблема с подключением к устройству с ssh-клиентом Paramiko (версия 1.7.6-2):

$ python
Python 2.6.5 (r265:79063, Apr 16 2010, 13:09:56) 
[GCC 4.4.3] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import paramiko
>>> ssh = paramiko.SSHClient()
>>> ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
>>> ssh.connect("123.0.0.1", username="root", password=None)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/usr/lib/pymodules/python2.6/paramiko/client.py", line 327, in connect
    self._auth(username, password, pkey, key_filenames, allow_agent, look_for_keys)
  File "/usr/lib/pymodules/python2.6/paramiko/client.py", line 481, in _auth
    raise saved_exception
paramiko.AuthenticationException: Authentication failed.
>>> 

Когда я использую ssh из командной строки, он работает нормально:

ssh root@123.0.0.1


BusyBox v1.12.1 (2010-11-03 13:18:46 EDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.

# 

Кто-нибудь видел это раньше?

Edit 1

Вот подробный вывод команды ssh:

:~$ ssh -v root@123.0.0.1
OpenSSH_5.3p1 Debian-3ubuntu4, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 123.0.0.1 [123.0.0.1] port 22.
debug1: Connection established.
debug1: identity file /home/waffleman/.ssh/identity type -1
debug1: identity file /home/waffleman/.ssh/id_rsa type -1
debug1: identity file /home/waffleman/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.1
debug1: match: OpenSSH_5.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '123.0.0.1' is known and matches the RSA host key.
debug1: Found key in /home/waffleman/.ssh/known_hosts:3
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentication succeeded (none).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = en_US.utf8

Редактировать 2 Вот вывод Python с выводом отладки:

Python 2.6.5 (r265:79063, Apr 16 2010, 13:09:56) 
[GCC 4.4.3] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import paramiko, os
>>> paramiko.common.logging.basicConfig(level=paramiko.common.DEBUG)
>>> ssh = paramiko.SSHClient()
>>> ssh.load_system_host_keys()
>>> ssh.load_host_keys(os.path.expanduser('~/.ssh/known_hosts'))
>>> ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
>>> ssh.connect("123.0.0.1", username='root', password=None)
DEBUG:paramiko.transport:starting thread (client mode): 0x928756cL
INFO:paramiko.transport:Connected (version 2.0, client OpenSSH_5.1)
DEBUG:paramiko.transport:kex algos:['diffie-hellman-group-exchange-sha256', 'diffie-hellman-group-exchange-sha1', 'diffie-hellman-group14-sha1', 'diffie-hellman-group1-sha1'] server key:['ssh-rsa', 'ssh-dss'] client encrypt:['aes128-cbc', '3des-cbc', 'blowfish-cbc', 'cast128-cbc', 'arcfour128', 'arcfour256', 'arcfour', 'aes192-cbc', 'aes256-cbc', 'rijndael-cbc@lysator.liu.se', 'aes128-ctr', 'aes192-ctr', 'aes256-ctr'] server encrypt:['aes128-cbc', '3des-cbc', 'blowfish-cbc', 'cast128-cbc', 'arcfour128', 'arcfour256', 'arcfour', 'aes192-cbc', 'aes256-cbc', 'rijndael-cbc@lysator.liu.se', 'aes128-ctr', 'aes192-ctr', 'aes256-ctr'] client mac:['hmac-md5', 'hmac-sha1', 'umac-64@openssh.com', 'hmac-ripemd160', 'hmac-ripemd160@openssh.com', 'hmac-sha1-96', 'hmac-md5-96'] server mac:['hmac-md5', 'hmac-sha1', 'umac-64@openssh.com', 'hmac-ripemd160', 'hmac-ripemd160@openssh.com', 'hmac-sha1-96', 'hmac-md5-96'] client compress:['none', 'zlib@openssh.com'] server compress:['none', 'zlib@openssh.com'] client lang:[''] server lang:[''] kex follows?False
DEBUG:paramiko.transport:Ciphers agreed: local=aes128-ctr, remote=aes128-ctr
DEBUG:paramiko.transport:using kex diffie-hellman-group1-sha1; server key type ssh-rsa; cipher: local aes128-ctr, remote aes128-ctr; mac: local hmac-sha1, remote hmac-sha1; compression: local none, remote none
DEBUG:paramiko.transport:Switch to new keys ...
DEBUG:paramiko.transport:Trying discovered key b945197b1de1207d9aa0663f01888c3c in /home/waffleman/.ssh/id_rsa
DEBUG:paramiko.transport:userauth is OK
INFO:paramiko.transport:Authentication (publickey) failed.
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/usr/lib/pymodules/python2.6/paramiko/client.py", line 327, in connect
    self._auth(username, password, pkey, key_filenames, allow_agent, look_for_keys)
  File "/usr/lib/pymodules/python2.6/paramiko/client.py", line 481, in _auth
    raise saved_exception
paramiko.AuthenticationException: Authentication failed.
>>> 

Ответы [ 7 ]

7 голосов
/ 18 ноября 2010

Сервер ssh на удаленном устройстве отклонил вашу аутентификацию. Убедитесь, что вы используете правильный ключ, открытый ключ присутствует в authorized_keys, права доступа .ssh указаны правильно, права доступа authorized_keys указаны правильно, и у устройства нет других ограничений доступа. Трудно сказать, что происходит без логов с сервера.

[РЕДАКТИРОВАТЬ] Я только что просмотрел ваш вывод, вы аутентифицируетесь с использованием None аутентификации. Обычно это никогда не разрешается и используется для определения того, какие методы авторизации разрешены сервером. Возможно, ваш сервер использует аутентификацию на основе хоста (или ее вообще нет).

Поскольку auth_none() используется редко, он недоступен из класса SSHClient, поэтому вам нужно будет использовать Transport напрямую.

transport.auth_none('root') 
5 голосов
/ 07 октября 2015

Как очень поздний ответ на этот вопрос, я полагаю, что столкнулся с той же проблемой, что и waffleman, в контексте ограниченной сети.

Подсказка об использовании auth_none на *Объект 1004 * оказался весьма полезным, но я немного озадачился тем, как это реализовать.Дело в том, что, по крайней мере, сегодня я не могу получить объект Transport объекта SSHClient, пока он не подключится;но он не будет подключаться в первую очередь ...

Так что в случае, если это полезно для других, моя работа вокруг ниже.Я просто переопределил метод _auth.

Хорошо, это хрупко, так как _auth это личное дело.Мои другие альтернативы были - на самом деле все еще есть - вручную создавать объекты Transport и Channel, но в настоящее время я чувствую, что мне намного лучше, когда все это еще под капотом.

from paramiko import SSHClient, BadAuthenticationType

class SSHClient_try_noauth(SSHClient):

    def _auth(self, username, *args):
        try:
            self._transport.auth_none(username)
        except BadAuthenticationType:
            super()._auth(username, *args)
2 голосов
/ 17 октября 2014

Убедитесь, что разрешения для файлов открытого и закрытого ключей (и, возможно, для содержащей их папки) установлены на очень строгие ограничения (например, chmod 600 id_rsa). Оказывается, это требуется (операционная система?), Чтобы использовать файлы в качестве ключей SSH. Об этом узнал мой полезный коллега :) Также убедитесь, что вы используете правильное имя пользователя для данного ключа SSH.

0 голосов
/ 10 октября 2018

Могут быть разные причины на стороне сервера (sshd, к которому вы подключаетесь), поэтому отладка на стороне клиента может быть затруднена.

Например, tail -f /var/log/secure:

9 октября 15:50:26 pc1udatahgw04 sshd [27501]: Отказ в аутентификации: неправильное владение или режимы для каталога / home / testuser

При запуске ls -lad /home/testuser чтобы увидеть разрешения, вы увидите, например, в нашем случае:

$ ls -lad /home/testuser
drwxrwxr-x 16 testuser  testgroup 57344 Oct  9 15:23 /home/testuser

Обратите внимание на второй w бит.Домашний каталог был открыт для групповой записи.sshd в этом случае отклоняет аутентификацию на основе ключа.

Снова проверьте журнал sshd на стороне server .Могут быть и другие проблемы, такие как уже упоминавшийся

  • / home / user / .ssh Каталог слишком открыт
  • / home / user / .ssh / id_rsa Файл слишком открыт
  • / home / user / .ssh / id_rsa.pub файл слишком открыт
  • / home / user / .ssh / id_ecdsa файл слишком открыт
  • / home / user / .sshФайл /id_ecdsa.pub слишком открыт

и т. д.

0 голосов
/ 09 декабря 2014

Я попытался удалить папку ~. / Ssh, тогда она работает хорошо

0 голосов
/ 09 января 2012

Я получаю похожую ошибку, когда сервер использует аутентификацию AD.Я думаю, что это ошибка Paramiko.Я узнал, что мне нужно установить ssh-ключи перед использованием paramiko.

0 голосов
/ 09 ноября 2010

SSHClient * Paramiko имеет load_system_host_keys метод, который можно использовать для загрузки пользовательского набора ключей.Как показано в примере в документации, его необходимо запустить перед подключением к серверу.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...