Linuxインスタンス:SSHログイン失敗が表示される
最終更新日:2025-09-08 17:38:25
説明:
この文章はコミュニティから寄せられたものであり、参考までにご提供します。Tencent Cloud関連製品とは関係がありません。
ここに記載された関連のファイル操作は、必ず慎重に実行してください。必要に応じて、スナップショット作成などの方法でデータバックアップを行うことができます。
現象の説明
問題の特定および処理
SSHを使用したLinuxインスタンスへのログインが失敗し、エラー情報が返された場合は、エラー情報を記録し、次のよくあるエラー情報から当てはまるものを探し、迅速に問題を特定して、手順を参照し解決することができます。
SSHログインエラーUser root not allowed because not listed in AllowUsers
問題の原因
この問題は通常、SSHサービスがユーザーログイン制御パラメータをアクティブにし、ログインユーザーを制限しているために起こります。パラメータの説明は次のとおりです。
AllowUsers:ログインが許可されているユーザーのホワイトリストであり、このパラメータが記述されているユーザーのみログインできます。
DenyUsers:ログインが拒否されているユーザーのブラックリストであり、このパラメータが記述されているユーザーはすべてログインが拒否されます。
AllowGroups:ログインが許可されているユーザーグループのホワイトリストであり、このパラメータが記述されているユーザーグループのみログインできます。
DenyGroups:ログインが拒否されているユーザーグループのブラックリストであり、このパラメータが記述されているユーザーグループはすべてログインが拒否されます。
説明:
拒否ポリシーの優先順位は許可ポリシーより上になります。
解決方法
1. 処理手順 を参照し、SSHで設定した
sshd_configファイルに進み、 設定を確認します。2. ユーザーログイン制御パラメータを削除し、SSHサービスを再起動すれば完了です。
処理手順
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、VIMエディタを使用して
sshd_config設定ファイルに進みます。vim /etc/ssh/sshd_config
3. iを押して編集モードに入り、以下の設定を探して削除するか、または各行の先頭に
#を追加してコメントします。AllowUsers root testDenyUsers testDenyGroups testAllowGroups root
4. Escを押して編集モードを終了し、:wqを入力して変更を保存します。
5. 実際に使用するOSに応じて以下のコマンドを実行し、SSHサービスを再起動します。
CentOS
systemctl restart sshd.service
Ubuntu
service sshd restart
SSHログインエラーDisconnected:No supported authentication methods available
現象の説明
SSHを使用してログインする際に、次のエラー情報が表示されます。
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).sshd[10826]: Connection closed by xxx.xxx.xxx.xxx.Disconnected:No supported authentication methods available.
問題の原因
SSHサービスによって
PasswordAuthenticationパラメータが変更され、パスワード認証ログインが無効になったことが原因です。解決方法
1. 処理手順 を参照し、SSHで設定した
sshd_configファイルに進みます。2.
PasswordAuthenticationパラメータを変更し、SSHサービスを再起動すれば完了です。処理手順
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、VIMエディタを使用して
sshd_config設定ファイルに進みます。vim /etc/ssh/sshd_config
3. iを押して編集モードに入り、
PasswordAuthentication noをPasswordAuthentication yesに変更します。4. Escを押して編集モードを終了し、:wqを入力して変更を保存します。
5. 実際に使用するOSに応じて以下のコマンドを実行し、SSHサービスを再起動します。
CentOS
systemctl restart sshd.service
Ubuntu
service sshd restart
SSHログインエラーssh_exchange_identification: read: Connection reset by peer
現象の説明
SSHを使用してログインする際に、エラー情報「ssh_exchange_identification: read: Connection reset by peer」が表示されます。もしくは次のエラー情報が表示されます。
"ssh_exchange_identification: Connection closed by remote host"
"kex_exchange_identification: read: Connection reset by peer"
"kex_exchange_identification: Connection closed by remote host"
問題の原因
このタイプの問題が発生する原因は多くありますが、よくある原因は次の数種類です。
ローカルアクセス制御によって接続が制限されている
Fail2banやdenyhostなど、何らかの侵入防止ソフトウェアによってファイアウォールルールが変更された
sshd設定で最大接続数が制限されている
ローカルネットワークに問題がある
解決方法
処理手順
アクセスポリシー設定の確認と調整
Linuxでは
/etc/hosts.allowおよび/etc/hosts.denyファイルによってアクセスポリシーを設定することができ、2つのファイルはそれぞれ許可ポリシーと拒否ポリシーに対応しています。例えば、hosts.allowファイルでホスト信頼ルールを設定し、hosts.denyファイルでその他のすべてのホストを拒否することができます。hosts.denyを例にとると、拒否ポリシーの設定は次のようになります。in.sshd:ALL # すべてのssh接続を拒否in.sshd:218.64.87.0/255.255.255.128 # 218.64.87.0—-127のsshを拒否ALL:ALL # すべてのTCP接続を拒否
VNCを使用してLinuxインスタンスにログイン し、
/etc/hosts.denyファイルおよび/etc/hosts.allowファイルを確認し、確認結果に基づいて次の処理方法を選択してください。設定に誤りがあった場合は必要に応じて変更してください。変更後すぐに有効になります。
未設定、または設定に誤りがなかった場合は、次の手順に進んでください。
説明:
アクセスポリシーを設定していない場合、デフォルトのファイルはすべてブランクであり、すべての接続が許可されています。
iptablesファイアウォールルールの確認
Fail2banやdenyhostなど、何らかの侵入防止ソフトウェアの使用を含めて、iptablesファイアウォールルールが変更されたかどうかを確認します。以下のコマンドを実行して、ファイアウォールがSSH接続を拒否したことがあるかどうかを確認します。
sudo iptables -L --line-number
SSH接続が拒否されていた場合は、対応するソフトウェアのホワイトリストなどの関連ポリシーによって、ご自身で設定を行ってください。
SSH接続が拒否されていなかった場合は、次の手順に進んでください。
sshd設定の確認と調整
1. 以下のコマンドを実行し、VIMエディタを使用して
sshd_configに進み、ファイルを設定します。vim /etc/ssh/sshd_config
2.
MaxStartupsの値を調整する必要があるかどうかを確認します。sshd_config設定ファイル内のMaxStartupsによって許可する最大接続数を設定します。短時間に多くの接続を確立したい場合は、この値を適宜調整する必要があります。調整が必要な場合は、以下の手順を参照して変更してください。
2.1.1 i を押して編集モードに入り、変更完了後にEscを押して編集モードを終了し、:wqを入力して変更を保存します。
説明:
MaxStartupsは10:30:100がデフォルト設定であり、SSH保護プロセスの、アイデンティティ認証を経ない同時接続の最大数を指定します。10:30:100とは、10番目の接続以降、接続数が100に達するまで、30%の確率(漸増)で新たな接続を拒否することを表します。
2.1.2 以下のコマンドを実行し、sshdサービスを再起動します。
service sshd restart
調整の必要がない場合は、次の手順に進んでください。
ネットワーク環境のテスト
1. プライベートIPアドレス を使用してログインしているかどうかを確認します。
「はい」の場合は、パブリックIP に切り替えてから再度試してください。
「いいえ」の場合は、次の手順に進んでください。
2. 他のネットワーク環境を使用して、正常に接続されるかをテストします。
「はい」の場合は、インスタンスを再起動後にVNCを使用してインスタンスにログインしてください。
「いいえ」の場合は、テスト結果に基づいてネットワーク環境の問題を解決してください。
ここまででSSHログインの問題が解決されていない場合は、システムカーネルに異常が生じているか、またはその他の潜在的な原因による可能性があります。問題の処理を進めるため、チケットを提出 してご連絡ください。
SSHログインエラーPermission denied, please try again
現象の説明
rootユーザーがSSHを使用してLinuxインスタンスにログインする際、エラー情報「Permission denied, please try again」が表示されます。
問題の原因
システムによってSELinuxサービスがアクティブ化されたか、またはSSH サービスによって
PermitRootLogin設定が変更されたことによるものです。解決方法
処理手順
SELinuxサービスの確認と無効化
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、現在のSELinuxのサービスステータスを確認します。
/usr/sbin/sestatus -v
返されたパラメータが
enabledであれば有効な状態であり、disabledであれば無効な状態です。有効な状態であれば次のように表示されます。SELinux status: enabled
3. 実際の状況に応じて、SELinuxサービスを一時的または永続的に無効化します。
SELinuxサービスを一時的に無効化
以下のコマンドを実行し、SELinuxサービスを一時的に無効化します。変更はリアルタイムに有効となり、システムまたはインスタンスを再起動する必要はありません。
setenforce 0
SELinuxサービスを永続的に無効化
以下のコマンドを実行し、SELinuxサービスを無効化します。
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
ご注意:
このコマンドはSELinuxサービスがenforcing状態の場合にのみ適用されます。
コマンド実行後にシステムまたはインスタンスを再起動し、変更を有効にする必要があります。
sshd設定の確認と調整
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、VIMエディタを使用して
sshd_config設定ファイルに進みます。vim /etc/ssh/sshd_config
3. iを押して編集モードに入り、
PermitRootLogin noをPermitRootLogin yesに変更します。説明:
sshd_configでこのパラメータが設定されていない場合、rootユーザーログインがデフォルトで許可されます。このパラメータはrootユーザーがSSHを使用してログインする場合にのみ影響し、rootユーザーがその他の方法でインスタンスにログインする場合には影響しません。
4. Escを押して編集モードを終了し、:wqを入力して変更を保存します。
5. 以下のコマンドを実行して、SSHサービスを再起動します。
service sshd restart
SSHログイン時エラーToo many authentication failures for root
現象の説明
SSHを使用してログインする際、ログイン時にパスワードを複数回入力すると、エラー情報「Too many authentication failures for root」が返され、接続が中断されます。
問題の原因
間違ったパスワードを複数回連続して入力し、SSHサービスのパスワードリセットポリシーをトリガーしたことが原因です。
解決方法
1. 処理手順 を参照し、SSHで設定した
sshd_configファイルに進みます。2. SSHサービスのパスワードリセットポリシーの
MaxAuthTriesパラメータ設定を確認して変更し、SSHサービスを再起動すれば完了です。処理手順
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、VIMエディタを使用して
sshd_config設定ファイルに進みます。vim /etc/ssh/sshd_config
3. 以下に類似した設定が含まれていないか確認します。
MaxAuthTries 5
説明:
このパラメータはデフォルトではアクティブになっておらず、ユーザーが毎回SSHを使用してログインする際に、間違ったパスワードを連続して入力できる回数を制限するために用いられます。設定した回数を超えるとSSH接続が切断され、関連のエラー情報が表示されます。ただし、関連のアカウントはロックされず、SSHログインを再び使用することができます。
実際の状況に応じて、設定を変更するかどうかを決定してください。変更が必要な場合は
sshd_config設定ファイルのバックアップを作成しておくことをお勧めします。4. iを押して編集モードに入り、以下の設定を変更するか、または行の先頭に
#を追加してコメントします。MaxAuthTries <間違ったパスワードの入力を許可する回数>
5. Escを押して編集モードを終了し、:wqを入力して変更を保存します。
6. 以下のコマンドを実行し、SSHサービスを再起動します。
service sshd restart
SSH起動時エラーerror while loading shared libraries
現象の説明
LinuxインスタンスがSSHサービスを起動すると、以下に類似したエラー情報がsecureログファイル内に表示されるか、または直接返されます。
"error while loading shared libraries: libcrypto.so.10: cannot open shared object file: No such file or directory"
"PAM unable to dlopen(/usr/lib64/security/pam_tally.so): /usr/lib64/security/pam_tally.so: cannot open shared object file: No such file or directory"
問題の原因
SSHサービスの稼働が依存する関連のシステムライブラリファイルが失われたか、または権限設定などの異常によるものです。
解決方法
処理手順
説明:
ここではlibcrypto.so.10ライブラリファイルの異常処理を例にとりますが、その他のライブラリファイル異常の処理方法もこれに類似しています。実際の状況に応じて操作を行ってください。
ライブラリファイル情報を取得する
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、libcrypto.so.10ライブラリファイル情報を確認します。
ll /usr/lib64/libcrypto.so.10
以下に類似した情報が返された場合、
/usr/lib64/libcrypto.so.10はlibcrypto.so.1.0.2kライブラリファイルのソフトリンクであることを表します。lrwxrwxrwx 1 root root 19 Jan 19 2021 /usr/lib64/libcrypto.so.10 -> libcrypto.so.1.0.2k
3. 以下のコマンドを実行し、
libcrypto.so.1.0.2kライブラリファイル情報を確認します。ll /usr/lib64/libcrypto.so.1.0.2k
以下に類似した情報が返されます。
-rwxr-xr-x 1 root root 2520768 Dec 17 2020 /usr/lib64/libcrypto.so.1.0.2k
4. 正常なライブラリファイルのパス、権限、グループなどの情報を記録し、以下の方法で処理を行います。
ライブラリファイルの検索と置換
1. 以下のコマンドを実行し、
libcrypto.so.1.0.2kファイルを検索します。find / -name libcrypto.so.1.0.2k
2. 返された結果に基づいて以下のコマンドを実行し、ライブラリファイルを正常なディレクトリにコピーします。
cp <手順1で取得したライブラリファイルの絶対パス> /usr/lib64/libcrypto.so.1.0.2k
3. 以下のコマンドを順に実行し、ファイルの権限、所有者、グループを変更します。
chmod 755 /usr/lib64/libcrypto.so.1.0.2k
chown root:root /usr/lib64/libcrypto.so.1.0.2k
4. 以下のコマンドを実行し、ソフトリンクを作成します。
ln -s /usr/lib64/libcrypto.so.1.0.2k /usr/lib64/libcrypto.so.10
5. 以下のコマンドを実行し、SSHサービスを起動します。
service sshd start
外部ファイルのアップロード
1. FTPソフトウェアにより、他の正常なサーバー上の
libcrypto.so.1.0.2kのライブラリファイルを、目的のサーバーの\\tmpディレクトリにアップロードします。説明:
ここでは目的のサーバーの
\\tmpディレクトリへのアップロードを例にとりますが、実際の状況に応じて変更することができます。2. 以下のコマンドを実行し、ライブラリファイルを正常なディレクトリにコピーします。
cp /tmp/libcrypto.so.1.0.2k /usr/lib64/libcrypto.so.1.0.2k
3. 以下のコマンドを順に実行し、ファイルの権限、所有者、グループを変更します。
chmod 755 /usr/lib64/libcrypto.so.1.0.2k
chown root:root /usr/lib64/libcrypto.so.1.0.2k
4. 以下のコマンドを実行し、ソフトリンクを作成します。
ln -s /usr/lib64/libcrypto.so.1.0.2k /usr/lib64/libcrypto.so.10
5. 以下のコマンドを実行し、SSHサービスを起動します。
service sshd start
スナップショットロールバックによるリカバリ
インスタンスシステムディスクの過去のスナップショットをロールバックすることで、ライブラリファイルをリカバリすることができます。詳細については、スナップショットからのデータロールバック をご参照ください。
ご注意:
スナップショットロールバックを行うと、スナップショット作成後のデータが失われる場合がありますので、慎重に操作してください。
SSHサービスが正常に稼働するまで、スナップショット作成時間の近い方から遠い方の順に、一度ずつロールバックを試すことをお勧めします。ロールバックを行ってもSSHサービスが正常に稼働しない場合は、それらの時点でシステムにすでに異常が生じていたことを意味します。
SSHサービス起動時エラー fatal: Cannot bind any address
現象の説明
LinuxインスタンスがSSHサービスを起動すると、以下に類似したエラー情報がsecureログファイル内に表示されるか、または直接返されます。
FAILED.fatal: Cannot bind any address.address family must be specified before ListenAddress.
問題の原因
SSHサービスの
AddressFamilyパラメータ設定が不適切なことによるものです。AddressFamilyパラメータは運用時に使用するプロトコルスイートの指定に用いられます。パラメータがIPv6のみを設定し、一方でシステム内ではIPv6がアクティブになっていない、またはIPv6の設定が無効になっている場合、この問題が起こる可能性があります。解決方法
1. 処理手順 を参照して、SSHで設定した
sshd_configファイルに進み、 設定を確認します。2.
AddressFamilyパラメータを変更し、SSHサービスを再起動すれば完了です。処理手順
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、VIMエディタを使用して
sshd_config設定ファイルに進みます。vim /etc/ssh/sshd_config
3. 以下に類似した設定が含まれていないか確認します。
AddressFamily inet6
よく用いられるパラメータの説明は次のとおりです。
inet:IPv4プロトコルスイートを使用します。デフォルト値です。
inet6:IPv6プロトコルスイートを使用します。
any:IPv4およびIPv6プロトコルスイートを同時にアクティブにします。
4. iを押して編集モードに入り、次の設定に変更するか、または行の先頭に
#を追加してコメントします。 AddressFamily inet
ご注意:
AddressFamilyパラメータはListenAddressより前に設定しなければ有効になりません。5. Escを押して編集モードを終了し、:wqを入力して変更を保存します。
6. 以下のコマンドを実行し、SSHサービスを再起動します。
service sshd restart
SSHサービス起動時エラー Bad configuration options
現象の説明
LinuxインスタンスがSSHサービスを起動すると、以下に類似したエラー情報がsecureログファイル内に表示されるか、または直接返されます。
/etc/ssh/sshd_config: line 2: Bad configuration options:\\\\/etc/ssh/sshd_config: terminating, 1 bad configuration options
問題の説明
設定ファイルにファイルコードまたは設定エラーなどの異常が存在することによるものです。
解決方法
処理手順で提示される以下の処理項目を参照し、sshd_config`設定ファイルを修復します。
処理手順
エラー情報に対応した設定ファイル変更
エラー情報の中でエラーのある設定が明確に示されている場合は、VIMエディタによって
/etc/ssh/sshd_config設定ファイルを直接変更することができます。他のインスタンスの正しい設定ファイルを参照し、変更を行うことができます。外部ファイルのアップロード
1. FTPソフトウェアにより、他の正常なサーバー上の
/etc/ssh/sshd_config のライブラリファイルを、目的のサーバーの\\tmpディレクトリにアップロードします。説明:
ここでは目的のサーバーの
\\tmpディレクトリへのアップロードを例にとりますが、実際の状況に応じて変更することができます。2. 以下のコマンドを実行し、ライブラリファイルを正常なディレクトリにコピーします。
cp /tmp/sshd_config /etc/ssh/sshd_config
3. 以下のコマンドを順に実行し、ファイルの権限、所有者、グループを変更します。
chmod 600 /etc/ssh/sshd_configchown root:root /etc/ssh/sshd_config
4. 以下のコマンドを実行し、SSHサービスを起動します。
service sshd start
SSHサービスの再インストール
1. VNCを使用してLinuxインスタンスにログイン します。
2. 以下のコマンドを実行し、SSHサービスをアンインストールします。
rpm -e openssh-server
3. 以下のコマンドを実行し、SSHサービスをインストールします。
yum install openssh-server
4. 以下のコマンドを実行し、SSHサービスを起動します。
service sshd start
スナップショットロールバックによるリカバリ
インスタンスシステムディスクの過去のスナップショットをロールバックすることで、ライブラリファイルをリカバリすることができます。詳細については、スナップショットからのデータロールバック をご参照ください。
ご注意:
スナップショットロールバックを行うと、スナップショット作成後のデータが失われる場合がありますので、慎重に操作してください。
SSHサービスが正常に稼働するまで、スナップショット作成時間の近い方から遠い方の順に、一度ずつロールバックを試すことをお勧めします。ロールバックを行ってもSSHサービスが正常に稼働しない場合は、それらの時点でシステムにすでに異常が生じていたことを意味します。
フィードバック