55742 2025-08-27 15:51:02 +0300 включить поддержку keyboard-interactive в ssh-клиенте по умолчанию 2025-10-11 23:04:33 +0300 1 1 1 Unclassified Branch p11 openssh unspecified x86_64 Linux CLOSED FIXED P5 normal --- 1 as glebfm cas qa-p11 oldest_to_newest 271488 0 as 2025-08-27 15:51:02 +0300 Невозможно подключиться по ssh к некоторым серверам (в частности под управлением Gentoo / Calculate Linux). Проблема замечена в продуктах 11 платформы, в "Simply Linux" и "ALT Workstation" подключение из 10 платформы работает штатно. При попытке подключиться можно принять удалённый ключ, а после этого вместо запроса пароля идёт отлуп. До 1 сентября 2025 я открыл тестовый доступ к такому "проблемному" серверу по ssh: user: ct25z90, host: quiz.cactux.ru, port: 2235, pass: PleaseAllow$$H Пожалуйста, почините. 271493 1 cas 2025-08-27 16:23:32 +0300 The authenticity of host '[quiz.cactux.ru]:2235 ([45.80.47.9]:2235)' can't be established. ED25519 key fingerprint is SHA256:Z6Zyf+dc8RqUObZGEbwxcWefzY7P6R+JzFlXf0u/CBM. This key is not known by any other names. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '[quiz.cactux.ru]:2235' (ED25519) to the list of known hosts. debug1: ssh_packet_send2_wrapped: resetting send seqnr 3 debug1: rekey out after 134217728 blocks debug1: SSH2_MSG_NEWKEYS sent debug1: Sending SSH2_MSG_EXT_INFO debug1: expecting SSH2_MSG_NEWKEYS debug1: ssh_packet_read_poll2: resetting read seqnr 3 debug1: SSH2_MSG_NEWKEYS received debug1: rekey in after 134217728 blocks debug1: SSH2_MSG_EXT_INFO received debug1: kex_ext_info_client_parse: server-sig-algs=<ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256> debug1: kex_ext_info_check_ver: publickey-hostbound@openssh.com=<0> debug1: kex_ext_info_check_ver: ping@openssh.com=<0> debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: SSH2_MSG_EXT_INFO received debug1: kex_ext_info_client_parse: server-sig-algs=<ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256> debug1: Authentications that can continue: publickey,keyboard-interactive debug1: Next authentication method: publickey debug1: Will attempt key: /home/user/.ssh/id_ed25519 debug1: Will attempt key: /home/user/.ssh/id_ed25519_sk debug1: Will attempt key: /home/user/.ssh/id_rsa debug1: Will attempt key: /home/user/.ssh/id_ecdsa debug1: Will attempt key: /home/user/.ssh/id_ecdsa_sk debug1: Will attempt key: /home/user/.ssh/id_dsa debug1: Will attempt key: /home/user/.ssh/id_xmss debug1: Trying private key: /home/user/.ssh/id_ed25519 debug1: Trying private key: /home/user/.ssh/id_ed25519_sk debug1: Trying private key: /home/user/.ssh/id_rsa debug1: Trying private key: /home/user/.ssh/id_ecdsa debug1: Trying private key: /home/user/.ssh/id_ecdsa_sk debug1: Trying private key: /home/user/.ssh/id_dsa debug1: Trying private key: /home/user/.ssh/id_xmss debug1: No more authentication methods to try. ssh: ct25z90@quiz.cactux.ru: Permission denied (publickey,keyboard-interactive). При доступе к альтовому ssh: debug1: Authentications that can continue: publickey,gssapi-with-mic,password 271495 2 cas 2025-08-27 16:28:00 +0300 На p10 (OpenSSH_7.9p1) debug1: Authentications that can continue: publickey,keyboard-interactive debug1: Next authentication method: publickey debug1: Trying private key: /home/user/.ssh/id_ed25519 debug1: Trying private key: /home/user/.ssh/id_rsa debug1: Trying private key: /home/user/.ssh/id_ecdsa debug1: Trying private key: /home/user/.ssh/id_dsa debug1: Trying private key: /home/user/.ssh/id_xmss debug1: Next authentication method: keyboard-interactive Password: 271496 3 cas 2025-08-27 16:31:10 +0300 На Fedora версия OpenSSH_9.9p1 работает с добавленным в 8ой версии промптом: (ct25z90@quiz.cactux.ru) Password: 271505 4 as 2025-08-27 18:21:26 +0300 На сервере, куда не подключиться: Gentoo Linux, openssh 9.8 с флагами сборки: kerberos pam pie ssl cat /etc/ssh/sshd_config | sed -e "/^#/d" -e "/^$/d" PasswordAuthentication no UsePAM yes PrintMotd no PrintLastLog no Subsystem sftp /usr/lib64/misc/sftp-server AcceptEnv LANG LC_ALL LC_COLLATE LC_CTYPE LC_MESSAGES LC_MONETARY LC_NUMERIC LC_TIME LANGUAGE LC_ADDRESS LC_IDENTIFICATION LC_MEASUREMENT LC_NAME LC_PAPER LC_TELEPHONE AcceptEnv COLORTERM DenyUsers netacad ============================================ Второй сервер: Calculate Linux, openssh 10.0, флаги компиляции: pam pie ssl cat /etc/ssh/sshd_config /etc/ssh/sshd_config.d/*.conf | sed -e "/^#/d" -e "/^$/d" LoginGraceTime 2m MaxAuthTries 6 MaxSessions 10 Subsystem sftp /usr/lib64/misc/sftp-server Include "/etc/ssh/sshd_config.d/*.conf" UsePAM yes PasswordAuthentication no PrintMotd no PrintLastLog no Subsystem sftp /usr/lib64/misc/sftp-server AcceptEnv LANG LC_ALL LC_COLLATE LC_CTYPE LC_MESSAGES LC_MONETARY LC_NUMERIC LC_TIME LANGUAGE LC_ADDRESS LC_IDENTIFICATION LC_MEASUREMENT LC_NAME LC_PAPER LC_TELEPHONE AcceptEnv COLORTERM 272902 5 glebfm 2025-09-22 13:23:21 +0300 KbdInteractiveAuthentication сейчас отключено по умолчанию, но его можно включить в командной строке или конфигурационном файле. Но я согласен, что дефолт надо поменять. 272914 6 as 2025-09-22 15:36:52 +0300 (Ответ для Gleb F-Malinovskiy на комментарий #5) > KbdInteractiveAuthentication сейчас отключено по умолчанию, но его можно > включить в командной строке или конфигурационном файле. > Но я согласен, что дефолт надо поменять. KbdInteractiveAuthentication это настройка для ssh сервера. У нас же проблема, что ssh клиент не подключается. 272920 7 as 2025-09-22 16:04:57 +0300 А вот из Remmina подключение проходит штатно. Т.е. проблема, действительно, скорее всего где-то в клиенте. 272981 8 as 2025-09-23 14:00:53 +0300 Как временное решение, создал алиас ssh на dbclient (Dropbear). Но всё равно, почините, пожалуйста. 273147 9 glebfm 2025-09-25 12:57:06 +0300 (In reply to Андрей Сурганов from comment #6) > KbdInteractiveAuthentication это настройка для ssh сервера. У нас же > проблема, что ssh клиент не подключается. Нет, кончено, это настройка и для ssh-клиента тоже. К вашему серверу можно подключиться просто добавив -o KbdInteractiveAuthentication=yes в командную строку или конфигурационный файл. Вы столкнулись с неожиданными дефолтами, а не _ошибкой_ в программе. 273152 10 as 2025-09-25 13:45:02 +0300 Да, благодарю. Всё заработало. echo "KbdInteractiveAuthentication yes" > /etc/openssh/ssh_config 273153 11 as 2025-09-25 13:46:14 +0300 Вернее так: echo "KbdInteractiveAuthentication yes" >> /etc/openssh/ssh_config 274249 12 repository-robot 2025-10-11 23:04:33 +0300 openssh-9.6p1-alt5 -> p11: Mon Oct 06 2025 Gleb F-Malinovskiy <glebfm@altlinux> 9.6p1-alt5 - ssh: enable KbdInteractiveAuthentication by default (ALT#55742). - sshd: backported upstream fix for DisableForwarding which did not disable X11 or agent forwarding as documented (fixes CVE-2025-32728).