使用SSH命令登录Linux实例时出现“User root not allowed because not listed in”错误
使用SSH连接Linux系统的ECS实例时,客户端或服务端的secure日志中可能会出现类似如下信息,用户无法正常登录。 - Permission denied, please try again.
- User test from 192.X.X.1 not allowed because not listed in AllowUsers.
- User test from 192.X.X.1 not allowed because listed in DenyUsers.
- User root from 192.X.X.1 not allowed because a group is listed in DenyGroups.
- User test from 192.X.X.1 not allowed because none of user's groups are listed in AllowGroups.
问题原因该问题通常是由于SSH服务启用了用户登录控制参数,对可登录用户进行限制所致,参数说明如下。 - AllowUsers:允许登录的用户白名单,只有该参数标注的用户可以登录。
- DenyUsers:拒绝登录的用户黑名单,该参数标注的用户都拒绝登录。
- AllowGroups:允许登录的用户组白名单,只有该参数标注的用户组可以登录。
- DenyGroups:拒绝登录的用户组黑名单,该参数标注的用户组都拒绝登录。
拒绝策略优先级高于允许策略,如下所示。 - 如果“AllowUsers”和“DenyUsers”参数包含了同一个用户,则拒绝策略优先,所以最终该用户还是无法登录。
- 如果“AllowUsers”中的用户在“DenyGroups”用户组中,则拒绝策略优先,所以最终该用户还是无法登录。
解决方案本文相关Linux配置及说明已在CentOS 6.5 64位操作系统中进行过测试。其它操作系统版本配置可能有所差异,具体情况请参阅相应操作系统官方文档。 - 登录Linux实例。
- 执行如下命令,查看sshd_config文件。系统显示类型如下,确认包含如下配置。
- AllowUsers root test
- DenyUsers test
- DenyGroups test
- AllowGroups root
复制代码
- 由于需要修改相关策略配置,建议先进行文件备份。
- 使用vi等编辑器,删除策略配置,也可以注释策略配置,如下所示,在策略配置前添加 #。完全取消用户访问控制,以确保相关用户能够正常登录。
- #AllowUsers root test
- #DenyUsers test
- #DenyGroups test
- #AllowGroups root
复制代码
- 执行如下命令,重启SSH服务使配置生效。
|