记一次 ssh 配置问题

由于 .bashrc 配置问题,导致 ssh 无法连入

场景描述

连入阿里内网服务器,提示 invalid password

在发现问题后,进行了如下尝试

  • 重置域密码,分别使用新旧密码登入
  • 重新申请权限登入
  • 尝试使用 ssh xxx@xxx /bin/sh 登入
  • 尝试使用 Web Terminal 登入
  • 删除本地 .ssh 目录登入

问题排查

由于前一天还没问题,所以必定是配置问题,所以思考了下问题所在
前一天的修改只有 .bashrc 中加入了如下的代码

group=docker

if [ $(id -gn) != $group ]; then 
    exec newgrp $group
fi

这段代码的含义是为了自动修改用户组到 docker 用户组,方便使用 docker 命令

使用 exec 来保持使用执行的命令替换掉当前的所在的 PID 进程,避免切换后需要多次 exit 才能退出

可能和问题有关的只有这段代码。在自己服务器上做实验,定位到就是这里的问题。

进一步研究

问题解决很容易,找一个有 sudo 权限的账号帮我删掉就行了。不过还是应该进一步研究下

首先,newgrp 提示 invalid 的原因是当用户组不具有对应权限时,会尝试获取权限(类似执行了 usermod -a -G docker xxxx),这一步由于需要 sudo 权限,因此需要输入密码(不确定的是为什么服务器上每次会话结束后会自动丢失用户组权限)

那么为什么 ssh xxx@xxx /bin/sh 也会受影响呢。原则上,无论是 ssh xxx@xxx /bin/sh 或是 ssh -t xxx@xxx /bin/sh 实际上都是先进入 bash,而后再执行 /bin/sh 进入到 sh 中,因此都不会影响加载 .bashrc 的步骤。
ssh 的文档中也可以看到,实际上并没有设定 shell 的功能,其默认的终端使用的是用户登入的默认终端(通过 chsh 修改)

但是这并不代表这个问题不能解决,很多时候默认的 .bashrc 都会有一些乱七八糟的代码,这部分往往会有一些可以救命的判断。
对于正常连入的终端,打印 $- 可以查看 bash 的一些状态

  • h: 记忆运行命令的路径
  • i: 交互式
  • m: 监控模式,允许使用 job(前后台切换)
  • B: 大括号扩展功能
  • H: 启用 ! 简写历史相关功能

这里主要用到的是 i 交互式模式(这里与 docker 里的 -i 命令并不是完全相同的含义)
bash 的交互式含义是不包含 ssh 后的 command 部分,也即直接 ssh xxx@xxx。而非交互式则是通过 ssh xxx@xxx aaaa 执行 aaaa 命令。与 docker 不同的是,这时是支持输入的。
因此,如果判断是非交互式,可以不执行 .bashrc,来避免错误的配置导致服务器无法使用。

使用下面的命令即可在非交互式终端下不加载 .bashrc(大部分的默认 .bashrc 也是这么做的)

[[ $- != *i* ]] && return