使用SSH命令登录Linux实例时出现“User root not allowed because not listed in”错误

使用SSH命令登录Linux实例时出现“User root not allowed because not listed in”错误

更新时间:2019-12-31 17:08:42

免责声明:本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

 

问题描述

使用SSH连接Linux系统的ECS实例时,客户端或服务端的secure日志中可能会出现类似如下信息,用户无法正常登录。

  • Permission denied, please try again.
  • User test from 192.X.X.1 not allowed because not listed in AllowUsers.
  • User test from 192.X.X.1 not allowed because listed in DenyUsers.
  • User root from 192.X.X.1 not allowed because a group is listed in DenyGroups.
  • User test from 192.X.X.1 not allowed because none of user's groups are listed in AllowGroups.

 

问题原因

该问题通常是由于SSH服务启用了用户登录控制参数,对可登录用户进行限制所致,参数说明如下。

  • AllowUsers:允许登录的用户白名单,只有该参数标注的用户可以登录。
  • DenyUsers:拒绝登录的用户黑名单,该参数标注的用户都拒绝登录。
  • AllowGroups:允许登录的用户组白名单,只有该参数标注的用户组可以登录。
  • DenyGroups:拒绝登录的用户组黑名单,该参数标注的用户组都拒绝登录。

 

拒绝策略优先级高于允许策略,如下所示。

  • 如果“AllowUsers”和“DenyUsers”参数包含了同一个用户,则拒绝策略优先,所以最终该用户还是无法登录。
  • 如果“AllowUsers”中的用户在“DenyGroups”用户组中,则拒绝策略优先,所以最终该用户还是无法登录。

 

解决方案

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

本文相关Linux配置及说明已在CentOS 6.5 64位操作系统中进行过测试。其它操作系统版本配置可能有所差异,具体情况请参阅相应操作系统官方文档。

  1. 登录Linux实例,关于如何登录Linux实例,请参考使用管理终端连接Linux实例
  2. 执行如下命令,查看sshd_config文件。
    cat /etc/ssh/sshd_config
    系统显示类型如下,确认包含如下配置。
    AllowUsers root test
    DenyUsers test
    DenyGroups test
    AllowGroups root
  3. 由于需要修改相关策略配置,建议先进行文件备份。
  4. 使用vi等编辑器,删除策略配置,也可以注释策略配置,如下所示,在策略配置前添加 #。完全取消用户访问控制,以确保相关用户能够正常登录。
    #AllowUsers root test
    #DenyUsers test
    #DenyGroups test
    #AllowGroups root
  5. 执行如下命令,重启SSH服务使配置生效。
    service sshd restart

 

更多信息

如果还存在问题,可以参阅通过SSH无法远程登录Linux实例的排查指引,进一步排查分析。

 

适用于

  • 云服务器 ECS

 

如果您的问题仍未解决,您可以在阿里云社区免费咨询,或提交工单联系阿里云技术支持。