Hallo Hans-Martin, hallo Michael, hallo Alexander, hallo Leute,
Am Montag, 29. August 2005 18:50 schrieb Hans-Martin Flesch:
Michael Raab schrieb:
Am Mo, den 29.08.2005 schrieb Alexander Jäger um 18:27:
server2:/var/backup/.ssh # ll drwxrwxrwx 2 backup www 4096 Aug 29 13:50 .
~/.ssh ist also für *alle* schreibbar. Das dürfte die Ursache für das Problem sein. Reduziere die Rechte mal auf 755 oder sogar 700.
hat leider nicht gewirkt
[...]
in der sshd.config wurde PubkeyAuthentication auf yes gesetzt, danach sshd reloaded, oder muss er danach restartet werdne?
reload müsste eigentlich reichen. Außerdem ist die Anmeldung per PubKey üblicherweise per Default möglich - Du hättest also nichtmal etwas anpassen müssen ;-)
nein, der entsprechende config punkt war mittels # auskommentiert
[...]
Und sie muss (glaube ich) für root lesbar sein...
Für root sind alle Dateien lesbar - unabhängig von ihren Zugriffsrechten ;-)
Falls der SSH-Key immer noch nicht akzeptiert wird, schiebe mal ~/.ssh auf beiden Rechnern beiseite und probier das Ganze nochmal mit folgender Anleitung, die bisher immer funktioniert hat:
9.3. Wie erstellt man einen SSH-Key? Wie kommt der Key auf den Zielrechner? http://suse-linux-faq.koehntopp.de/q/q-ssh-keygen.html
Zum Thema "Absicherung des Keys mit Passphrase" vs. "Eingabe der Passphrase" empfehle ich ebenfalls einen Blick in die FAQ:
9.4. Wie geht SSH ohne Passwort? http://suse-linux-faq.koehntopp.de/q/q-ssh-without_passwd.html
Darin wird auch auf keychain hingewiesen - für einen Backup-Cronjob halte ich das allerdings für deutlich oversized. Ich setze auf einem Rechner zwecks Backup eine Kombination selbstgeschriebener Scripte ein: - ein Startscript, das einen ssh-agent startet - statt stdout per "eval" auszuführen, leite ich es in eine Datei /root/.ssh-agent-config um. - ein kleines Script, um die Passphrase (für die Dauer der Uptime) freizuschalten. Inhalt: ein eval-Aufruf (siehe unten) und ein Aufruf von ssh-add
Im Freischalt-Script und im Backup-Script brauchst Du dann nur ein eval `cat /root/.ssh-agent-config´ (Da fällt mir gerade ein, dass source /root/.ssh-agent-config auch gehen müsste.)
Mit dieser Konstruktion ist die Passphrase während der Uptime des Rechners verfügbar und muss nicht neu eingegeben werden. Nach einem Reboot (egal ob beabsichtigt, wegen Stromausfall oder auch wegen Diebstahl) ist der SSH-Key erstmal wieder gesperrt.
Komplette Scripte auf Anfrage ;-)
Gruß
Christian Boltz
da wäre ich nicht abgeneigt wnen ich mal in die scripte reinlinsen dürfte, wobei es mich wirklich wundert, warum der einfach nicht den key akzeptieren will Gruß und nochmal danke für die bissherige Mühen Alexander