SSH + kulcs [MEGOLDVA] :))))

Ubuntu Linux

Sziasztok!

Adott egy kis otthoni szerver (Ubuntu 8.04.1) melyre szeretnék belépni távolról, jelszó használata nélkül (kulccsal). Generáltam kulcsokat
ssh-keygen -b 1024 -C ssh-key-20070324 -t rsa -v
És a publikusat beillesztettem a megfelelő helyre a szerveren (.ssh/authorized_keys állományba).

Ennek ellenére hiába próbálok kapcsolódni a kulccsal mindig kéri a jelszót.
Van valami ötlet, hogy mi lehet a hiba? auth.log-ba nem ír semmi hibaüzenetet.

Szerk:
Köszönöm mindenkinek a segítséget, sikerült megoldanom a problémát. A jogosultság beállítás és a generálás együttesen hibásak voltak.
1024-es kulcs helyett 2046-asat kell generálni a .ssh könyvtárnak 700-ás jogokat és a tartalmának vagy 644 vagy 600. Így működik szépen.

  • 2803 megtekintés

( turdus | 2009. 05. 28., cs – 16:38 )

Ha csak 2-es protokoll-t engedélyezted, akkor nem abban a fileban keresi. Én mindig szoktam egy symlinket is rakni:
ln -s ~/.ssh/authorized_keys ~/.ssh/authorized_keys2

Remélem ez segít, ha nem, akkor kellene az ssh és sshd config, hogy bővebbet tudjak mondani, illetve az lehet még, hogy a pam van félrekonfolva (bár ez ritka).

Szerk: ja, és ssh -v kimenet is hasznos.

Megcsináltam a symlinket, sajnos nem segített.
Az sshd config állomány:
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

"Ha csak 2-es protokoll-t engedélyezted, akkor nem abban a fileban keresi."

a faszt

debug1: identity file /home/tibike/.ssh/id_dsa type 2
debug1: loaded 3 keys
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3

[tibike@target ~]$ ls -alrth .ssh/
total 32K
-rw-r--r-- 1 tibike admins 2.4K Apr 15 15:16 known_hosts
drwx------ 8 tibike admins 4.0K May 26 17:48 ..
-rw------- 1 tibike admins 1.1K May 28 18:24 authorized_keys
drwxr-xr-x 2 tibike admins 4.0K May 28 18:24 .

--
.

( log69 | 2009. 05. 28., cs – 17:59 )

Lehet hogy tudod, lényeg hogy ha megadtál jelszó védelmet a privát kulcsodhoz, akkor mindig kérni fogja a jelszót a használatakor (mert ugye hozzá kell férnie a rendszernek az ssh kapcsolat idejére, de az meg jelszóval védett).

Ha ez a gond, akkor generáld le újra úgy, hogy üres jelszót adsz meg (sima entert ütsz jelszó nélkül).

( LGee | 2009. 05. 28., cs – 18:06 )

1.) szerver oldalon lehet debug modban futtatni sshd-t
2.) chmod -R 700 ~/.ssh/ mindket oldalon nem arthat

PermitRootLogin yes # ezt szelsebesen szedd le; ha nagyon root kell, inkabb oldd meg mashogy

Nos elindítottam debug módban és megpróbáltam belépni. A következő üzeneteket kaptam:

Connection from 87.97.39.52 port 64221
debug1: Client protocol version 2.0; client software version OpenSSH_4.7p1 Debian-8ubuntu1.2
debug1: match: OpenSSH_4.7p1 Debian-8ubuntu1.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1.2
debug1: permanently_set_uid: 107/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT
debug1: SSH2_MSG_KEX_DH_GEX_REPLY sent
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user alma service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "alma"
debug1: PAM: setting PAM_RHOST to "87.97.39.52.pool.invitel.hu"
debug1: PAM: setting PAM_TTY to "ssh"
Failed none for alma from 87.97.39.52 port 64221 ssh2
debug1: userauth-request for user alma service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-1024
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/alma/.ssh/authorized_keys
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/alma/.ssh/authorized_keys2
debug1: restore_uid: 0/0
Failed publickey for alma from 87.97.39.52 port 64221 ssh2
debug1: userauth-request for user alma service ssh-connection method publickey
debug1: attempt 2 failures 2
debug1: test whether pkalg/pkblob are acceptable
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-1024
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/alma/.ssh/authorized_keys
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/alma/.ssh/authorized_keys2
debug1: restore_uid: 0/0
Failed publickey for alma from 87.97.39.52 port 64221 ssh2

( log69 | 2009. 05. 28., cs – 18:06 )

Esetleg ezt ha betennéd az sshd_config -ba?

PasswordAuthentication no

Nos egy ssh -v teljes kimenete:

user@user-desktop:~$ ssh -v user2@domain.hu -i bobo.ppk
OpenSSH_4.7p1 Debian-8ubuntu1.2, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to domain.hu [*.*.*.*] port 22.
debug1: Connection established.
debug1: identity file bobo.ppk type 1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.7p1 Debian-8ubuntu1.2
debug1: match: OpenSSH_4.7p1 Debian-8ubuntu1.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'domain.hu' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:4
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key:
debug1: Authentications that can continue: publickey,password
debug1: Offering public key: bobo.ppk
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: password

Sajnos még így sem értem, hogy mi a hiba...

( Nyosigomboc v | 2009. 05. 28., cs – 18:19 )

Ez mit ir? A nem megfelelo jogosultsag is gond lehet.. (nem fer hozza a kulcsodhoz)
ls -al ~/.ssh

--
"ne támogasd az erdők kiírtását mozijeggyel, töltsd le a netről!" - killllll, asva.info

Nem, nalam 644-gyel mukodik, a kulcsok a fontosak.


$ ls -l .ssh
total 24
-rw-r--r-- 1 ffdc staff 601 May 04 08:02 authorized_keys
-rw-r--r-- 1 ffdc staff 30 May 26 11:18 config
-rw-r--r-- 1 ffdc staff 1009 May 26 11:18 known_hosts

De az igaz, hogy valoszinuleg nem 700, hanem 600 kell a kulocsokra.

vicces:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for '/home/tibike/.ssh/id_dsa' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /home/tibike/.ssh/id_dsa

--
.

"meg tudnad magyarazni h miert olvashato mindenki szamara a kulcsod?"

A publikus kulcsa?
Hat, en a magam reszerol dijazom, ha ellopjak a public key-met csak azert, hogy mashova is beengedjenek.

"elmondanam hogy az sshd kibaszottul ignoralja igy a filet"

De remelem nem teszed, mert hulyeseg.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( eax | 2009. 05. 28., cs – 19:41 )

A privat kulcsot jo helyre tetted?
Biztos, hogy jo publikus kulcsot masoltal fel, es biztos, hogy nem serult utkozben?
Pass-al be tudsz lepni?
Nincs valami speci filerendszeren a /home?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

A legelején írtad hogy így generáltad a kulcsot
ssh-keygen -b 1024 -C ssh-key-20070324 -t rsa -v
ezt másoltad valahonnan?
mert az ubuntu default 2048 bites kulcsot generál
próbáld meg újragenerálni a kulcsot
csak simán ssh-keygen el paraméter nélkül
és ssh-copy-id vel felmásolni a távoli gépre.

Üdv Robit

Kitöröltem mindkét helyen az összes állományt az ssh könyvtárból.
Létrehoztam az authorized_keys-t, a könyvtárat 700 a tartalmát 600-ra állítottam mindkét oldalon.
A kliansen generáltam egy jelszót: ssh-keygen
Felmásoltam a távoli gépre: ssh-copy-id lovasb@192.168.0.2
Erre a válasz pozitív:
Now try logging into the machine, with "ssh 'lovasb@192.168.0.2'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.

Ennek ellenére b...szik belépni jelszó nélkül. :(
Utolsó sorok az ssh -v ... parancsból:
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: .ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

Az az érdekes, hogyha a szerver oldalon az sshd_configban kiveszem a #-t a PasswordAuthentication no sor elöl, akkor Permission denied (publickey) üzenetet kapok akárhogy állítom a jogosultságokat.

( gthomas | 2009. 05. 28., cs – 20:54 )

Nekem is Ubuntu, ugyanez a probléma (publ. kulccsal csak akkor hajlandó belépni, ha már bent van más sessionben pl. jelszóval) - valahol azt olvastam, hogy sshd ubuntu spec. hiba.

( hermantom | 2009. 05. 29., p – 00:04 )

mer miiindig az a bonyolitas! ;)

1, lefosom a bokam ha ez igy out of the box nem muxik.
lefosom a bokam ha ez igy out of the box nem muxik.

$ ssh-keygen -t rsa
$ ssh remote "mkdir .ssh; cat >> .ssh/authorized_keys" < .ssh/id_rsa.pub

2, tovabba a kulcsnak nem jelszava van, hanem passphrase-e, amit nemtom h szokas forditani, de semmikepp se jelszonak kene, mivel pont az a lenyege, h nem illik h csak 1 szo legyen, hanem vmi frazis inkabb, tehat, vmi hosszabb, bonyolultabb karakterlanc.

3, remelem "apt-get install keychain" megvolt es tetszik "ssh -A"-val agent forwardingot is hasznalni, adott esetben!

4, http://www.lugatgt.org/articles/ssh_tips/
ez 1 must have mindenkinek! megdobbenve tapasztalam, h az emberek kb 5%-at ismerik az ssh feature-oknek es inkabb teretgorbitenek, ahelyett, h ssh-t hasznalnanak...

meg en se vagom minden feature-jet fejbol mondjuk, de szinten megdobbenve tapasztaltam, h en is csak ~80%-at ismertem a dolgoknak...

tibike@test:.ssh$cat id_dsa.pub
ssh-dss AAAAB3................. tibike@egyik_gepe

tibike@test:.ssh$ssh tibike@masik_gepe 'cat .ssh/authorized_keys'
ssh-dss AAAAB3....... tibike@egyik_gepe

ezt legyszi nezd meg h biztosan jo content van a fileokban

nalunk akkor volt ez amikor egyik admin random szart pasztelt az authorized_keys-be

--
.