ssh, авторизация по ключам

[Кенттачтис]

Добрый день.
есть ubuntu server,
Настроена авторизация по ключу. Авторизация по паролю выключена.

Понадобилось добавить еще одного пользователя, добавил его, сгенерировал ключ,
ssh-keygen
переместил его в папку нового пользователя
ssh-copy-id -i ~/.ssh/id_rsa.pub newuser@192.168.1.194
перезапустил комп.

авторизировался как
ssh newuser@192.168.1.194
все вроде бы отлично.
решил зайти под старым пользователем
ssh olduser@192.168.1.194
и под ним заходит. 

ради интереса очистил папку .ssh у себя на компьютере с которого подключаюсь к ubuntu и положил туда только ключ от newuser
попробовал зайти под ssh newuser@192.168.1.194, ключ заново проиницализировался и был произведен вход.
попробовал зайти под старым пользователем и так же вход был произведен, на этот раз без лишних вопросов.

что я не так делаю? я почему то думал что один ключ на оного пользователя, как так получается что я по одному и тому же секретному ключу авторизируюсь под разными пользователями

[Peter_I]

На удалённой машине должен быть список публичных ключей тех, кому разрешён доступ по ключу,
~/.ssh/authorized_keys
Очередной ключ просто добавляется в конец этого файла.

[Кенттачтис]

Петр, спасибо за ответ, я если правильно понимаю скопировал на удаленную машину новый ключ
вот этой командой
ssh-copy-id -i ~/.ssh/id_rsa.pub newuser@192.168.1.194
При этом у меня в папке /home/newuser/ появилась папка .ssh c файлом authorized_keys

у старого пользователя соотв есть тоже .ssh папка с таким же файлом, который не менялся судя по дате уже 3 месяца.

как мне сделать что бы по новому ключу мог заходить только пользователь newuser ? просто старый пользователь например в группе админов, а новый нет.

[Heider]

А удалить или перенести authorized_keys не? Можно еще старого пользователя прописать в черный список в конфиге sshd, можно по ip рубануть. Да вообще куча разных способов есть.

[Punko]

как мне сделать что бы по новому ключу мог заходить только пользователь newuser ? просто старый пользователь например в группе админов, а новый нет.

оно так и есть.

Зайдите в консоль из-под другого юзера, клюа которого уже нет на сервере и попробуйте зайти.

А если вы скопировали для двух разных пользователей один и тот же ключ, то тут надо сделать следующее:

1. Удалить ключ "левого" юзера из authorized_keys
2. сгенерировать под "левым" юзером локально новую пару ключей
3. Закинуть под "левым" юзером новые публичный ключ на сервер.

[Кенттачтис]

А удалить или перенести authorized_keys не? Можно еще старого пользователя прописать в черный список в конфиге sshd, можно по ip рубануть. Да вообще куча разных способов есть.

спасибо за ответ.
извините я поэтому и написал в разделе для новичков, потому что не соображу что не так, и что надо сделать что бы очевидная вещь заработала.
в смысле удалить или перенести ? Ключи лежат по своим папкам
home/olduser/.ssh/authorized_keys #файл не менялся пару месяцев
home/newuser/.ssh/authorized_keys #новый пользователь файл только что создан
таким образом лежат файлы по своим местам, я не хочу запретить доступ старому пользователю я только хочу что бы под ключом нового пользователя не давало авторизироваться под старым пользователем (сейчас происходит именно так). Проще говоря получилось так что один пароль на всех пользователей и на админа и на модератора, это если абстрагироваться от линукса  и сказать простым языком.

[Heider]

хочу что бы под ключом нового пользователя не давало авторизироваться под старым пользователем

То, что у одного пользователя есть закрытый ключ другого пользователя это ненормально. А то, что он имея чужой закрытый ключ, получает доступ это как раз нормально.

Весь смысл авторизации по паре ключей в том и заключается, что имеется закрытый и открытый ключ (слепок), по которому можно определить у кого хранится закрытый. Вам нужно не сервер ковырять (он работает правильно) а в новом пользователе создать новую пару ключей, а старую удалить с сервака, потому что ее закрытая часть уже побывала в чужих руках.
Пользователь добавил сообщение 28 Января 2017, 19:46:24:Кенттачтис, Вы почитайте хорошенько и внимательно об авторизации по парам ключей. Там ничего сложного нет, за один вечер разберетесь, и раз уж Вы этим пользуетесь, нужно хорошо понимать, как это работает, а то наворочаете дел.

[Punko]

извините я поэтому и написал в разделе для новичков, потому что не соображу что не так, и что надо сделать что бы очевидная вещь заработала.
в смысле удалить или перенести ?

вот же:

А если вы скопировали для двух разных пользователей один и тот же ключ, то тут надо сделать следующее:

1. Удалить ключ "левого" юзера из authorized_keys
2. сгенерировать под "левым" юзером локально новую пару ключей
3. Закинуть под "левым" юзером новые публичный ключ на сервер.

И вот :

Вам нужно не сервер ковырять (он работает правильно) а в новом пользователе создать новую пару ключей, а старую удалить с сервака, потому что ее закрытая часть уже побывала в чужих руках.

ТС, если после этих сообщений ничего не понятно, то советую почитать о том, как работает авторизация по ключам.
Или дать денег тому, кто настроит.

[Кенттачтис]

я скопировал ключ публичный свежесозданный в папку пользователя нового. приватный ключ старого пользователя для эксперимента я вообще удалил(переместил в другое место) перед генерацией пары ключей.
видимо Windows захешировала где то или еще что. На виртуальной машине попробовал,- все нормально поведение правильное, пускает только под своим ключом, проблема исчерпана.