Problem mit der Einrichtung von ssh
Hallo, ich versuche gerade zum ersten mal ssh zu benutzen. Zum einrichten bin ich nach der SDB von OpenSuse vorgegangen. Dazu habe ich zuerst alles so eingerichtet dass ich mich mit Passworteingabe einloggen kann: Standardport verändert, config in .ssh Verzeichnis des Benutzers angelegt Das funktioniert. Dann habe ich mit ssh-keygen und ssh-copy-id einen key erstellt und übertragen. Nächster Schritt war die Desaktivierung der Passworteingabe indem ich auf dem Server in der Datei /etc/ssh/sshd_config folgendes verändert habe: PermitRootLogin no PasswordAuthentication no UsePAM yes nach rcsshd restart müsste ich doch jetzt eigentlich ohne asswortabfrage direkt einloggen können. Geht aber nicht bzw es wird immer nach einem Passwort gefragt. Was habe ich noch vergessen? Gruß Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Karl Sinn ... On Mon, 14 Feb 2011, news@budostore.de wrote: [...]
Nächster Schritt war die Desaktivierung der Passworteingabe indem ich auf dem Server in der Datei /etc/ssh/sshd_config folgendes verändert habe: PermitRootLogin no PasswordAuthentication no
Das bezieht sich iirc nur auf die Loginmethode. Du hast damit Logins über Username und Passwort abgestellt. Man kann sich so nur noch mit einem SSH Key einloggen.
nach rcsshd restart müsste ich doch jetzt eigentlich ohne asswortabfrage direkt einloggen können.
Geht aber nicht bzw es wird immer nach einem Passwort gefragt.
Was habe ich noch vergessen?
Wenn Du dem SSH Key bei der Erzeugung ggfs. ein Passwort gegeben hast, will er das natürlich weiterhin haben. In dem Fall mit ssh-keygen ein leeres Passwort setzen. Bye, Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Strauss wrote:
On Mon, 14 Feb 2011, news@budostore.de wrote:
[...]
Nächster Schritt war die Desaktivierung der Passworteingabe indem ich auf dem Server in der Datei /etc/ssh/sshd_config folgendes verändert habe: PermitRootLogin no PasswordAuthentication no
Das bezieht sich iirc nur auf die Loginmethode. Du hast damit Logins über Username und Passwort abgestellt. Man kann sich so nur noch mit einem SSH Key einloggen.
nach rcsshd restart müsste ich doch jetzt eigentlich ohne Passwortabfrage direkt einloggen können.
Geht aber nicht bzw es wird immer nach einem Passwort gefragt.
Was habe ich noch vergessen?
Wenn Du dem SSH Key bei der Erzeugung ggfs. ein Passwort gegeben hast, will er das natürlich weiterhin haben. In dem Fall mit ssh-keygen ein leeres Passwort setzen.
Andere Stolperfalle die Rechte von $HOME und $HOME/.ssh Beide dürfen noch nicht einmal für die Gruppe Schreibrechte haben; ansonsten fragt er IMMER nach der Passphrase (NICHT: dem Passwort). Also Rechte für $HOME maximal 755; für .ssh sollte man IMO sowieso 700 haben. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
Andere Stolperfalle die Rechte von $HOME und $HOME/.ssh
Beide dürfen noch nicht einmal für die Gruppe Schreibrechte haben; ansonsten fragt er IMMER nach der Passphrase (NICHT: dem Passwort).
Also Rechte für $HOME maximal 755; für .ssh sollte man IMO sowieso 700 haben.
Ist genauso eingestellt. Gruß Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
Wenn Du dem SSH Key bei der Erzeugung ggfs. ein Passwort gegeben hast, will er das natürlich weiterhin haben. In dem Fall mit ssh-keygen ein leeres Passwort setzen.
ich habe bei der Key-Erzeugung kein Passwort angegeben. Gruß Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Karl, Am 14.02.2011 22:15, schrieb Karl Sinn:
Hallo,
ich versuche gerade zum ersten mal ssh zu benutzen. Zum einrichten bin ich nach der SDB von OpenSuse vorgegangen.
Dazu habe ich zuerst alles so eingerichtet dass ich mich mit Passworteingabe einloggen kann: Standardport verändert, config in .ssh Verzeichnis des Benutzers angelegt Das funktioniert.
Dann habe ich mit ssh-keygen und ssh-copy-id einen key erstellt und übertragen.
Nächster Schritt war die Desaktivierung der Passworteingabe indem ich auf dem Server in der Datei /etc/ssh/sshd_config folgendes verändert habe: PermitRootLogin no PasswordAuthentication no UsePAM yes
Es fehlt ggfs. noch: PubKeyAuthentication yes ChallengeResponseAuthentication no
nach rcsshd restart müsste ich doch jetzt eigentlich ohne asswortabfrage direkt einloggen können.
Geht aber nicht bzw es wird immer nach einem Passwort gefragt.
Was habe ich noch vergessen?
Gruß Karl
-- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: http://www.sebastian-siebert.de Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_Mailinglisten-Netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
Nächster Schritt war die Desaktivierung der Passworteingabe indem ich auf dem Server in der Datei /etc/ssh/sshd_config folgendes verändert habe: PermitRootLogin no PasswordAuthentication no UsePAM yes
Es fehlt ggfs. noch: PubKeyAuthentication yes ChallengeResponseAuthentication no
Es fehlte "ChallengeResponseAuthentication no". Allerdings komme ich jetzt gar nicht per ssh in den Server rein Fehlermeldung: Permission denied (publickey) Da hat wohl das ssh-copy nicht funktioniert. Allerdings gab es keine Fehlermeldungen. in ~/.ssh/authorized_keys steht "The agent has no identities." Warum geht das nicht? Fehlt mir da noch eine Einstellung? Gruß Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Karl Sinn, Dienstag 15 Februar 2011:
in ~/.ssh/authorized_keys steht "The agent has no identities."
In dieser Datei muß der Pubkey stehen, mit dessen privater Hälfte Du Dich einloggen willst. Wie das mit ssh-copy-id geht weiß ich nicht, ich mache es immer so: cat .ssh/id_dsa.pub | ssh user@zielrechner "cat >> .ssh/authorized_keys" Damit kopierst Du den Pubkey auf Deinen Zielrechner. Für diese Aktion brauchst Du natürlich einen funktionierenden ssh-Zugang, also mußt Du Paßwortlogin einstweilen wieder einschalten. Damit sollte dann alles funktionieren. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
In dieser Datei muß der Pubkey stehen, mit dessen privater Hälfte Du Dich einloggen willst. Wie das mit ssh-copy-id geht weiß ich nicht, ich mache es immer so:
cat .ssh/id_dsa.pub | ssh user@zielrechner "cat >> .ssh/authorized_keys"
das hat funktioniert. Es war also tatsächlich das ssh-copy-id das nicht funktioniert hat ohne eine Fehlermeldung auszuspucken. Ich werde mir das nochmal genauer ansehen Vielen Dank Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 15.02.2011 10:23, schrieb Karl Sinn:
Hallo,
In dieser Datei muß der Pubkey stehen, mit dessen privater Hälfte Du Dich einloggen willst. Wie das mit ssh-copy-id geht weiß ich nicht, ich mache es immer so:
cat .ssh/id_dsa.pub | ssh user@zielrechner "cat>> .ssh/authorized_keys"
das hat funktioniert.
Es war also tatsächlich das ssh-copy-id das nicht funktioniert hat ohne eine Fehlermeldung auszuspucken. Ich werde mir das nochmal genauer ansehen
# man ssh-copy-id könnte dir weiterhelfen bzw. aufklären. Dort steht auch explizit, dass der öffentliche Schlüssel von ~/.ssh/id_rsa.pub vom Home-Verzeichnis des derzeitig eingeloggten User zum Server übertragen wird, wenn nichts anderes angegeben. Meist gebe ich wie folgt ein, um ja nicht den verkehrten Schlüssel hochzuladen: # ssh-copy-id -i ~/.ssh/id_rsa.pub user@zielrechner Es setzt jedoch voraus, dass es auch der generierte öffentliche Schlüssel von dem derzeitigen User ist. (Meine Vermutung ist, du verwendest DSA anstatt RSA, richtig?) Welchen Schlüssel du hochgeladen bzw. ob du überhaupt einen Schlüssel bekannt gegeben hast, kannst du hiermit feststellen: # ssh sebastian-siebert.com 'cat ~/.ssh/authorized_keys' | grep -f ~/.ssh/id_rsa.pub bzw. # ssh sebastian-siebert.com 'cat ~/.ssh/authorized_keys' | grep -f ~/.ssh/id_dsa.pub HTH, -- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: http://www.sebastian-siebert.de Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_Mailinglisten-Netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
Dort steht auch explizit, dass der öffentliche Schlüssel von ~/.ssh/id_rsa.pub vom Home-Verzeichnis des derzeitig eingeloggten User zum Server übertragen wird, wenn nichts anderes angegeben.
darauf hatte ich mich verlassen. Ich hab's nochmal probiert, und festgestellt dass die default Einstellungen nicht funktionieren. Wenn ich explizit mit -i die Datei angebe funktioniert es.
Es setzt jedoch voraus, dass es auch der generierte öffentliche Schlüssel von dem derzeitigen User ist. (Meine Vermutung ist, du verwendest DSA anstatt RSA, richtig?)
Ehrlich gesagt habe ich keine Ahnung, aber der Name der key-Dateien "id_rsa.pub" lässt mich auf RSA schliessen. Ich denke das ist die Voreinstellung. Gruß Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Andre Tann
-
Karl Sinn
-
Kyek, Andreas, VF-DE
-
Sebastian Siebert
-
The.Whistler@live.de