本文介紹使用第三方SSH客戶端登錄Linux實例時,提示“Access denied”錯誤的問題原因和解決方案。
問題現象
第三方SSH客戶端登錄Linux實例時,提示“Access denied”錯誤。執行cat /var/log/secure查看登錄日志,發現會出現類似如下信息。
Permission denied, please try again.
User test from 192.168.xxx.xxx not allowed because not listed in AllowUsers.
User test from 192.168.xxx.xxx not allowed because listed in DenyUsers.
User root from 192.168.xxx.xxx not allowed because a group is listed in DenyGroups.
User test from 192.168.xxx.xxx not allowed because none of user's groups are listed in AllowGroups.問題原因
該問題通常是由于ECS實例內SSH遠程登錄配置文件(/etc/ssh/sshd_config)中啟用了用戶登錄控制參數,對可登錄用戶進行限制所致,用戶登錄控制參數說明如下。
AllowUsers:允許登錄的用戶白名單,只有該參數標注的用戶可以登錄。
DenyUsers:拒絕登錄的用戶黑名單,該參數標注的用戶都拒絕登錄。
AllowGroups:允許登錄的用戶組白名單,只有該參數標注的用戶組可以登錄。
DenyGroups:拒絕登錄的用戶組黑名單,該參數標注的用戶組都拒絕登錄。
拒絕策略優先級高于允許策略,具體說明如下。
如果AllowUsers和DenyUsers參數包含了同一個用戶,因拒絕策略優先,所以該用戶無法登錄。
如果AllowUsers中的用戶在DenyGroups用戶組中,因拒絕策略優先,所以該用戶無法登錄。
解決方案
您可以修改SSH遠程登錄配置文件(/etc/ssh/sshd_config)中用戶登錄控制參數,以解決該問題。
以VNC方式登錄ECS實例。
具體操作,請參見通過密碼認證登錄Linux實例。
執行如下命令,查看sshd_config文件。
cat /etc/ssh/sshd_config系統顯示類似如下,表示拒絕test用戶登錄。
AllowUsers root test DenyUsers test DenyGroups test AllowGroups root修改用戶登錄控制參數。
打開SSH配置文件。
vi /etc/ssh/sshd_config根據業務需要,修改用戶登錄控制參數。
如下所示,在策略配置前添加#,取消用戶訪問控制,以確保相關用戶能夠正常登錄。
#AllowUsers root test #DenyUsers test #DenyGroups test #AllowGroups root按Esc鍵,輸入
:wq保存修改。
執行如下命令,重啟SSH服務。
systemctl restart sshd.service重新登錄Linux實例,確保可以正常登錄。