aadsshlogin扩展导致sshd_corrupt

Question

在向VM添加AADSSHLogin扩展期间，以下条目将添加到/etc/ssh/sshd_config

Match User *@*,????????-????-????-????-????????????    # Added by aadsshlogin installer
AuthenticationMethods publickey
PubkeyAuthentication yes
AuthorizedKeysCommand /usr/sbin/aad_certhandler %u %k
AuthorizedKeysCommandUser root

它会导致"sshd -T“命令中出现以下错误：

$ sudo sshd -T|grep passw
'Match User' in configuration but 'user' not in connection test specification.

当禁用上面的行时，该命令运行时没有错误：

例如：

$ sudo sshd -T|grep passw
kerberosorlocalpasswd yes
passwordauthentication no
permitemptypasswords no

对于此更改(由微软的sshd_config包在AASSSHLogin包中引入)，有什么解决办法可以解决吗？

Answer 1

sshd -T|grep密码在配置中匹配用户，但在连接测试规范中不匹配“用户”。

上面的错误标记为bug，可以在GitHub问题页中提到的较新版本中修复，但解决此问题的方法之一是：

• 为了让它在所有操作系统上运行，我显然必须使用这个：

sshd -T -C user=root -C host=localhost -C addr=localhost

• 删除match指令使其工作。如果我保持匹配，则需要添加-C。根据手册页面，-C应该是可选的，在旧版本中也是如此。

参考资料：

1. Bug 2858 New: sshd -T在sshd_config中使用"Match“时需要-C (http://lists.mindrot.org/pipermail/openssh-bugs/2018-April/019013.html)
2. 配置匹配用户工作
3. 如何在Linux上优化SSH守护进程配置