SSH auf älterem System
Hallo, ich versuche gerade zu einem älteren SuSE-System (SuSE 7.0, gepachted bis zum geht nicht mehr) eine SSH-Verbindung Ohne Passwort herzustellen. Ich hab also mit ssh-keygen (installiert ist openssh 2.1.1) einen Schlüssel erstellt, mit die client.id_dsa.key geholt und versuche nun mit ssh -i client.id_dsa.key eine Verbindung herzustellen, doch das System frag mich immernoch nach nem Passwort. Zweck des ganzen: NX Es gibt also /usr/NX/home/nx/.ssh. Darin eine authorized_keys2, client.id_dsa.key, known_hosts server.id_dsa.pub.key Der Server-Key wurde auf die authorized_keys2 kopiert. Wenn ich nun aus dem gleichen Verzeichnis eben "ssh -i client.id_dsa.key -l nx localhost" aufrufe werde ich nach dem Passwort gefragt. Eigentlich müsste doch alles für nen Passwort-losen Login passen, oder? Hier noch die ausgabe des Logs: Oct 1 23:47:20 xalz-c sshd[1015]: debug: Forked child 1577. Oct 1 23:47:20 xalz-c sshd[1577]: Connection from 194.120.111.10 port 43394 Oct 1 23:47:20 xalz-c sshd[1015]: debug: Seeding random number generator Oct 1 23:47:20 xalz-c sshd[1577]: debug: Client protocol version 2.0; client software version OpenSSH_3.0.2p1 Oct 1 23:47:20 xalz-c sshd[1577]: Enabling compatibility mode for protocol 2.0 Oct 1 23:47:20 xalz-c sshd[1577]: debug: Local version string SSH-1.99-OpenSSH_2.1.1 Oct 1 23:47:20 xalz-c sshd[1577]: debug: send KEXINIT Oct 1 23:47:20 xalz-c sshd[1577]: debug: done Oct 1 23:47:20 xalz-c sshd[1577]: debug: wait KEXINIT Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: ssh-rsa,ssh-dss Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael128-cbc,rijndael192-cbc,rijndael256-cbc,rijndael-cbc@lysator.liu.se Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael128-cbc,rijndael192-cbc,rijndael256-cbc,rijndael-cbc@lysator.liu.se Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: none Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: none Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: Oct 1 23:47:20 xalz-c sshd[1577]: debug: got kexinit: Oct 1 23:47:20 xalz-c sshd[1577]: debug: first kex follow: 0 Oct 1 23:47:20 xalz-c sshd[1577]: debug: reserved: 0 Oct 1 23:47:20 xalz-c sshd[1577]: debug: done Oct 1 23:47:20 xalz-c sshd[1577]: debug: kex: client->server 3des-cbc hmac-md5 none Oct 1 23:47:20 xalz-c sshd[1577]: debug: kex: server->client 3des-cbc hmac-md5 none Oct 1 23:47:20 xalz-c sshd[1577]: debug: Wait SSH2_MSG_KEXDH_INIT. Oct 1 23:47:20 xalz-c sshd[1577]: debug: bits set: 496/1024 Oct 1 23:47:20 xalz-c sshd[1577]: debug: bits set: 481/1024 Oct 1 23:47:20 xalz-c sshd[1577]: debug: sig size 20 20 Oct 1 23:47:20 xalz-c sshd[1577]: debug: send SSH2_MSG_NEWKEYS. Oct 1 23:47:20 xalz-c sshd[1577]: debug: done: send SSH2_MSG_NEWKEYS. Oct 1 23:47:20 xalz-c sshd[1577]: debug: Wait SSH2_MSG_NEWKEYS. Oct 1 23:47:24 xalz-c sshd[1577]: debug: GOT SSH2_MSG_NEWKEYS. Oct 1 23:47:24 xalz-c sshd[1577]: debug: done: KEX2. Oct 1 23:47:24 xalz-c sshd[1577]: debug: userauth-request for user nx service ssh-connection method none Oct 1 23:47:24 xalz-c sshd[1577]: debug: Starting up PAM with username "nx" Oct 1 23:47:24 xalz-c sshd[1577]: Failed none for nx from 194.120.111.10 port 43394 ssh2 Oct 1 23:47:24 xalz-c sshd[1577]: debug: userauth-request for user nx service ssh-connection method publickey Oct 1 23:47:24 xalz-c sshd[1577]: debug: keytype ssh-dss Oct 1 23:47:24 xalz-c sshd[1577]: Failed publickey for nx from 194.120.111.10 port 43394 ssh2 Jemand ne Idee? Gruß Daniel
Daniel Spannbauer wrote on Mon, 02 Oct 2006 13:28:07 +0200: [Problem-Beschreibung und viele Log-Ausgaben]
Oct 1 23:47:24 xalz-c sshd[1577]: debug: userauth-request for user nx service ssh-connection method none Oct 1 23:47:24 xalz-c sshd[1577]: debug: Starting up PAM with username "nx" Oct 1 23:47:24 xalz-c sshd[1577]: Failed none for nx from 194.120.111.10 port 43394 ssh2 Oct 1 23:47:24 xalz-c sshd[1577]: debug: userauth-request for user nx service ssh-connection method publickey Oct 1 23:47:24 xalz-c sshd[1577]: debug: keytype ssh-dss Oct 1 23:47:24 xalz-c sshd[1577]: Failed publickey for nx from 194.120.111.10 port 43394 ssh2
sieht so aus, als könne das System den User "nx" nicht mit dem Key
anmelden :-) Liegt die "authorized_keys"-Datei auch wirklich an der
richtigen Stelle? (Default-mäßig bei SUSE in ~/.ssh/) und passt der Key
wirklich zur authorized-keys-File? Der letzte Eintrag sieht mir fast
nicht so aus... Nochwas: Passen die Berechtigungen auf die Key-Dateien?
Meines Wissens nach "rw-------" und Owner muss der anzumeldende User
sein.
Ein "ssh -i client.id_dsa.key nx@localhost" ergibt bestimmt denselben
Fehler, oder?
Was sagt denn die Konfigurationsdatei des sshd? (/etc/ssh/sshd_config)
Mal mit "PasswordAuthentication no" die Passwort-Authentifizierung
deaktiviert? "UsePam yes" ist gesetzt?
Wie siehts mit
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
aus?
Mit freundlichen Grüßen / Best regards,
Oliver Meißner-Knippschild
Hallo, Problem gefunden. Liegt wohl an dem alten SSH das da installiert ist. Damit kommt FreeNX wohl nicht ganz zurecht. Hab jetzt mal ein aktuelles SSH installiert. Mein Prob nur: Das will als User "sshd" laufen. Wo kann ich denn einstellen als welcher User der SSHD läuft? Ich hätte den gern als Root gestartet um nicht noch einen Extra-User anlegen zu müssen. Gruß Daniel Oliver Meißner-Knippschild schrieb:
Daniel Spannbauer wrote on Mon, 02 Oct 2006 13:28:07 +0200: [Problem-Beschreibung und viele Log-Ausgaben]
Oct 1 23:47:24 xalz-c sshd[1577]: debug: userauth-request for user nx service ssh-connection method none Oct 1 23:47:24 xalz-c sshd[1577]: debug: Starting up PAM with username "nx" Oct 1 23:47:24 xalz-c sshd[1577]: Failed none for nx
from 194.120.111.10 port 43394 ssh2
Oct 1 23:47:24 xalz-c sshd[1577]: debug: userauth-request for user nx service ssh-connection method publickey Oct 1 23:47:24 xalz-c sshd[1577]: debug: keytype ssh-dss Oct 1 23:47:24 xalz-c sshd[1577]: Failed publickey for nx from 194.120.111.10 port 43394 ssh2
sieht so aus, als könne das System den User "nx" nicht mit dem Key anmelden :-) Liegt die "authorized_keys"-Datei auch wirklich an der richtigen Stelle? (Default-mäßig bei SUSE in ~/.ssh/) und passt der Key wirklich zur authorized-keys-File? Der letzte Eintrag sieht mir fast nicht so aus... Nochwas: Passen die Berechtigungen auf die Key-Dateien? Meines Wissens nach "rw-------" und Owner muss der anzumeldende User sein.
Ein "ssh -i client.id_dsa.key nx@localhost" ergibt bestimmt denselben Fehler, oder?
Was sagt denn die Konfigurationsdatei des sshd? (/etc/ssh/sshd_config) Mal mit "PasswordAuthentication no" die Passwort-Authentifizierung deaktiviert? "UsePam yes" ist gesetzt? Wie siehts mit RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys aus?
Mit freundlichen Grüßen / Best regards, Oliver Meißner-Knippschild
PGP-Fingerprint: FA5D 891C 298B 08DF 1ED7 9AFB 57B1 B3D7 3109 925A Download key at: http://www.la-familia-grande.de/keys/3109925A.txt
-- Büroschimpfwort des Tages: Umsatzbremse - für unfreundliche, genervte, inkompetente Verkäufer oder Dienstleister. (Liane Metzger)
Daniel Spannbauer wrote on Thu, 05 Oct 2006 15:47:29 +0200:
Hab jetzt mal ein aktuelles SSH installiert. Mein Prob nur: Das will als User "sshd" laufen. Wo kann ich denn einstellen als welcher User der SSHD läuft? Ich hätte den gern als Root gestartet um nicht noch einen Extra-User anlegen zu müssen.
Kein TOFU bitte.
Des Sicherheitsrisikos bist Du Dir wirklich bewusst? Meines Wissens
nach wird der sshd eh als root auf den Ports lauschen müssen. Sobald
dann eine Verbindung initiiert wird und der sshd dem User das
Login-Prompt präsentiert passiert das mit den Rechten des sshd-Users.
Ich persönlich sehe absolut keinen Grund daran etwas zu ändern!!!
Auf der SUSE 10.0 hat der sshd-User defaultmäßig keine Login-Shell
(/bin/false) und ich denke das ist eine absolut sinnvolle Sache!
Ich bin mir auch nicht sicher wo das konfiguriert wird, aber ich würde
zuerst mal in die Man-Page, in /etc/init.d/sshd, dann
in /etc/sysconfig/ssh und dann bei google.de schauen ;)
Mit freundlichen Grüßen / Best regards,
Oliver Meißner-Knippschild
participants (2)
-
Daniel Spannbauer
-
Oliver Meißner-Knippschild