记一次 ssh 配置问题
由于 .bashrc 配置问题,导致 ssh 无法连入
场景描述
连入阿里内网服务器,提示 invalid password
在发现问题后,进行了如下尝试
- 重置域密码,分别使用新旧密码登入
- 重新申请权限登入
- 尝试使用
ssh xxx@xxx /bin/sh
登入 - 尝试使用 Web Terminal 登入
- 删除本地
.ssh
目录登入
问题排查
由于前一天还没问题,所以必定是配置问题,所以思考了下问题所在
前一天的修改只有 .bashrc
中加入了如下的代码
group=docker if [ $(id -gn) != $group ]; then exec newgrp $group fi
这段代码的含义是为了自动修改用户组到 docker 用户组,方便使用 docker 命令
使用 exec
来保持使用执行的命令替换掉当前的所在的 PID 进程,避免切换后需要多次 exit
才能退出
可能和问题有关的只有这段代码。在自己服务器上做实验,定位到就是这里的问题。
进一步研究
问题解决很容易,找一个有 sudo 权限的账号帮我删掉就行了。不过还是应该进一步研究下
首先,newgrp
提示 invalid 的原因是当用户组不具有对应权限时,会尝试获取权限(类似执行了 usermod -a -G docker xxxx
),这一步由于需要 sudo
权限,因此需要输入密码(不确定的是为什么服务器上每次会话结束后会自动丢失用户组权限)
那么为什么 ssh xxx@xxx /bin/sh
也会受影响呢。原则上,无论是 ssh xxx@xxx /bin/sh
或是 ssh -t xxx@xxx /bin/sh
实际上都是先进入 bash
,而后再执行 /bin/sh
进入到 sh
中,因此都不会影响加载 .bashrc
的步骤。
从 ssh
的文档中也可以看到,实际上并没有设定 shell 的功能,其默认的终端使用的是用户登入的默认终端(通过 chsh
修改)
但是这并不代表这个问题不能解决,很多时候默认的 .bashrc
都会有一些乱七八糟的代码,这部分往往会有一些可以救命的判断。
对于正常连入的终端,打印 $-
可以查看 bash
的一些状态
h
: 记忆运行命令的路径i
: 交互式m
: 监控模式,允许使用 job(前后台切换)B
: 大括号扩展功能H
: 启用!
简写历史相关功能
这里主要用到的是 i
交互式模式(这里与 docker
里的 -i
命令并不是完全相同的含义)
bash
的交互式含义是不包含 ssh
后的 command
部分,也即直接 ssh xxx@xxx
。而非交互式则是通过 ssh xxx@xxx aaaa
执行 aaaa
命令。与 docker
不同的是,这时是支持输入的。
因此,如果判断是非交互式,可以不执行 .bashrc
,来避免错误的配置导致服务器无法使用。
使用下面的命令即可在非交互式终端下不加载 .bashrc
(大部分的默认 .bashrc
也是这么做的)
[[ $- != *i* ]] && return