[gelöst] Debian ignoriert PasswordAuthentication no

[B52]

Hallo Community

normalerweise melde ich mich per id_rsa Schlüssel am Server an. Aus unbekannten Gründen ist jedoch die Anmeldung per Passwort möglich, obwohl die Passwortauthetification auf no steht:

Code: Alles auswählen

PasswordAuthentication no

Bis anhin hat das prima funktioniert. Ist sicher ein klassisches PEBCAK, aber ich habe absolute keinen Plan, wo ich jetzt ansetzen soll...

>>> gesamte /etc/ssh/sshd_config
41925

[mat6937]

Aus unbekannten Gründen ist jedoch die Anmeldung per Passwort möglich, obwohl die Passwortauthetification auf no steht:

Code: Alles auswählen

PasswordAuthentication no

Bis anhin hat das prima funktioniert.

Wie sind z. Zt. die Ausgaben von:

Code: Alles auswählen

ls -la /etc/ssh/sshd_config.d/*.conf
sshd -T | grep -iE 'KbdInteractiveAuthentication|password|usepam'

?

[miwie]

Gibt es ggf. einen entsprechenden (widersprechenden) Eintrag in:

Code: Alles auswählen

/etc/ssh/sshd_config.d/*.conf

?

[B52]

Wie sind z. Zt. die Ausgaben von:

Code: Alles auswählen

ls -la /etc/ssh/sshd_config.d/*.conf
sshd -T | grep -iE 'KbdInteractiveAuthentication|password|usepam'

Code: Alles auswählen

# ls -la /etc/ssh/sshd_config.d/*.conf
-rw------- 1 root root 27 13. Jun 09:58 /etc/ssh/sshd_config.d/50-cloud-init.conf

# sshd -T | grep -iE 'KbdInteractiveAuthentication|password|usepam'
usepam yes
passwordauthentication yes
kbdinteractiveauthentication no
permitemptypasswords no

Da bin ich jetz noch mehr verwirrt.
Warum steht hier jetzt passwordauthentication yes

[mat6937]

Code: Alles auswählen

# ls -la /etc/ssh/sshd_config.d/*.conf
-rw------- 1 root root 27 13. Jun 09:58 /etc/ssh/sshd_config.d/50-cloud-init.conf

# sshd -T | grep -iE 'KbdInteractiveAuthentication|password|usepam'
usepam yes
passwordauthentication yes
kbdinteractiveauthentication no
permitemptypasswords no

Warum steht hier jetzt passwordauthentication yes

Schau mal nach, was in der "/etc/ssh/sshd_config.d/50-cloud-init.conf"-Datei steht. Wer hat die Datei "/etc/ssh/sshd_config.d/50-cloud-init.conf" erstellt?

[B52]

Schau mal nach, was in der "/etc/ssh/sshd_config.d/50-cloud-init.conf"-Datei steht. Wer hat die Datei "/etc/ssh/sshd_config.d/50-cloud-init.conf" erstellt?

Gibt es ggf. einen entsprechenden (widersprechenden) Eintrag in:

Code: Alles auswählen

/etc/ssh/sshd_config.d/*.conf

?

Yes, das war es. Danke. Da stand:

Code: Alles auswählen

PasswordAuthentication yes

[mat6937]

Yes, das war es. Danke. Da stand:

Code: Alles auswählen

PasswordAuthentication yes

Ja, schon ... aber viel wichtiger ist jetzt zu wissen, wer die Datei "/etc/ssh/sshd_config.d/50-cloud-init.conf" mit ihrem aktuellen Inhalt erstellt hat und warum?

[JTH]

wer die Datei "/etc/ssh/sshd_config.d/50-cloud-init.conf" mit ihrem aktuellen Inhalt erstellt hat und warum?

Dem Dateinamen nach wird das eine Installation basierend auf einem Debian-Cloud-Image sein, wo dann cloud-init involviert ist/war.

[B52]

Dem Dateinamen nach wird das eine Installation basierend auf einem Debian-Cloud-Image sein, wo dann cloud-init involviert ist/war.

Ja, ist ein Hetzner Server den ich neu mit Debian 12 erstellt habe.

[mat6937]

Ja, ist ein Hetzner Server den ich neu mit Debian 12 erstellt habe.

War aber nicht immer so, ... denn in deinem 1. Beitrag hast Du u. a. auch geschrieben:

Bis anhin hat das prima funktioniert.

, oder?
Hast Du jetzt "PasswordAuthentication yes" in "PasswordAuthentication no" geändert? Wenn ja, dann versuch mal (temporär?) auch mit:

Code: Alles auswählen

chattr +i /etc/ssh/sshd_config.d/50-cloud-init.conf

[B52]

Bis anhin hat das prima funktioniert.

Da habe ich mich wohl falsch ausgedrückt. Bis anhin meinte ich mein Vorgehen, dies in der sshd.config zu verbieten. Seit Bookworm hat sich dies geändert.

[B52]

Hast Du jetzt "PasswordAuthentication yes" in "PasswordAuthentication no" geändert? Wenn ja, dann versuch mal (temporär?) auch mit:

Code: Alles auswählen

chattr +i /etc/ssh/sshd_config.d/50-cloud-init.conf

Genau, das habe ich gemacht.