[gelöst] ssh einlogg-problem

[heinz]

Hallo zusammen,
ich hab mal wieder ein kleines Problem.

Ich möchte mich von einem älteren Linux (SuSe6.4) per ssh auf meinem Debian-3.1 Rechner einloggen.
Beim Start:
ssh heinz@debian
kam die übliche Aufforderung den rechner in die known_hosts einzutragen mit "yes" zu bestätigen
doch danach kam "Permission denied"

Von Debian 3.1 zu Debian 3.1 geht,
auch von Debian 3.1 zu SuSe 6.4 geht,
nur umgekehrt halt nicht

Hab schon in "man sshd_config" nachgelesen aber finde keinen Anhaltspunkt was zu tun ist.
Hier mal meine sshd_config:
http://nopaste.debianforum.de/7790

Villeich hat jemand einen Tipp für mich.
gruß heinz

[mistersixt]

Schau mal in /var/log/auth.log nach, normalerweise schreibt der sshd dort den Grund für eine Nichtanmeldung hinein.

Gruss, mistersixt.

PS: Eine Neuinstallation von Suse 6.4 auf ein aktuelles Debian kann natürlich so oder so nicht schaden !

[Danielx]

Du hast auf dem Server eine Pubkey-Authentifikation (per Schlüssel) eingerichtet?

Du kannst ssh mit der Option "-v" ausführen, dann bekommst du mehr Infos (evtl. mal nach NoPaste schieben).

Gruß,
Daniel

[heinz]

Schau mal in /var/log/auth.log nach, normalerweise schreibt der sshd dort den Grund für eine Nichtanmeldung hinein.
Gruss, mistersixt.

PS: Eine Neuinstallation von Suse 6.4 auf ein aktuelles Debian kann natürlich so oder so nicht schaden !

Hallo mistersixt,

dort scheint alles bestens zu sein. Jedenfalls fällt mir nix auf.
http://nopaste.debianforum.de/7791

rePS:
Der Rechner ist ein 486 DX 66 der seit ca. 6 Jahren genau das macht was er soll.
Da mach ich lieber nix dran.

gruß heinz

[heinz]

Du hast auf dem Server eine Pubkey-Authentifikation (per Schlüssel) eingerichtet?

Du kannst ssh mit der Option "-v" ausführen, dann bekommst du mehr Infos (evtl. mal nach NoPaste schieben).

Gruß,
Daniel

Hallo Daniel,

auf die naheliegensten Dinge kommt man sebst nur selten! ssh -v
Ausgabe von ssh -v debian: http://nopaste.debianforum.de/7792
Es scheint, das der Schlüssel nicht akzeptiert wird, aber wiso?
Hab nochmal nachgesehen, die Schlüssel werden korrekt übertragen und in die "known_hosts" eingetragen.

Was meinst Du damit?
>Du hast auf dem Server eine Pubkey-Authentifikation (per Schlüssel) eingerichtet?

gruß heinz

[mistersixt]

Wenn Du auch via telnet oder Console/Keyboard an den Debian Rechner kommst, könntest Du den sshd killen und ihn mit der Option -d (für Debug-Meldungen - bis zu 3 mal -d kannst Du machen, um den sshd noch gesprächiger zu machen) starten, dann spätenstens solltest Du den Grund sehen:

Code: Alles auswählen

     -d      Debug mode.  The server sends verbose debug output to the system
             log, and does not put itself in the background.  The server also
             will not fork and will only process one connection.  This option
             is only intended for debugging for the server.  Multiple -d
             options increase the debugging level.  Maximum is 3.

Gruss, mistersixt.

[Danielx]

Ausgabe von ssh -v debian: http://nopaste.debianforum.de/7792

Hm, etwas dürftig die Ausgabe, probiere es doch mal mit -vv oder -vvv
Anscheinend ist deine ssh-Version nicht so gesprächig, eigentlich hätte ich mindestens 3 mal so viele Zeilen erwartet.

Aber, soweit möglich, ist die Debug-Ausgabe auf der Server-Seite auch ganz nützlich, wie mistersixt vorgeschlagen hat.

Was meinst Du damit?
>Du hast auf dem Server eine Pubkey-Authentifikation (per Schlüssel) eingerichtet?

Na, ob du anstatt mit einem Passwort mit einem "Zertifikat" arbeitest.
Aber anscheinend nicht, sonst wüsstest du wahrscheinlich was ich meine.

Gruß,
Daniel

[heinz]

Wenn Du auch via telnet oder Console/Keyboard an den Debian Rechner kommst, könntest Du den sshd killen und ihn mit der Option -d (für Debug-Meldungen - bis zu 3 mal -d kannst Du machen, um den sshd noch gesprächiger zu machen) starten, dann spätenstens solltest Du den Grund sehen:

Gruss, mistersixt.

Hallo mistersixt,

danke für den Tipp, kannte ich noch nicht.

Code: Alles auswählen

Failed rsa for root from 192.168.0.253 port 890

kommt da als fehler.

Aber mit der Fehlermeldung kann ich nichts anfangen.
Bedeutet das, das die rsa version nicht stimmt?
Ich dachte es gibt nur zwei.

Code: Alles auswählen

sshd_config
Protocol 2,1

Oder interpretier ich da was falsch?

gruß heinz

[heinz]

Hallo Daniel,

Hm, etwas dürftig die Ausgabe, probiere es doch mal mit -vv oder -vvv
Anscheinend ist deine ssh-Version nicht so gesprächig, eigentlich hätte ich mindestens 3 mal so viele Zeilen erwartet.

Scheinbar ist die Version zu alt. Mehrere -v kennt der ssh noch nicht.

Code: Alles auswählen

SSH Version OpenSSH-1.2.2, protocol version 1.5.

Was meinst Du damit?
>Du hast auf dem Server eine Pubkey-Authentifikation (per Schlüssel) eingerichtet?

Na, ob du anstatt mit einem Passwort mit einem "Zertifikat" arbeitest.
Aber anscheinend nicht, sonst wüsstest du wahrscheinlich was ich meine.

Gruß,
Daniel

Ah, ok, jetzt weis ich was Du meinst.
Damit fing es ja eigentlich an. Ich wollte automatisch ein Programm per ssh auf dem alten rechner Starten.
(benutze das von mehreren anderen Rechnern)
Zuerst dachte ich, ich hätte etwas bei den Schlüsseln verschusselt aber dann merkte ich das es normal auch nicht geht.

gruß heinz

[Danielx]

Loggst du dich vom "Debian 3.1"-Client auf dem "Debian 3.1"-Server mit einem Passwort ein?
Kannst du mal die Ausgabe von ssh mit der Option "-v" posten, wenn du dich vom "Debian 3.1"-Client auf dem "Debian 3.1"-Server einloggst, damit ich weiß, was der Server genau anfordert?

Gruß,
Daniel

[rahab]

Hi!

Folgende Ideen noch dazu, so als Schnellschuss quasi

1.) SSH-Protokoll Version:
Wenn die Version alt ist kann es sein dass der Daemon auf dem ollen SUSE entweder ausschließlich oder zumindest per default nur SSH v1 unterstützt (siehe Konfigfile) und dass dein client auf dem Debian-System gerne SSH v2 nutzen möchte oder eingestellt ist ausschließlich v2 zu nutzen (siehe /etc/ssh/ssh_config).

2:) Bei Key-Authentifizierung können je nach Version und Compile-Optionen auch die Rechte der Keyfiles (hab ich mal auf HP-UX mit zu kämpen gehabt) , sowie das Format (RSA vs. DSA, 1024Bit vs. 2048Bit) eine Rolle spielen. Insbesondere wenn eine Komponente wesentlich älter/neuer ist als das Gegenstück...

Mehr fällt mir grad auch nicht ein.

Glück auf

cheers

Rahab

[heinz]

Loggst du dich vom "Debian 3.1"-Client auf dem "Debian 3.1"-Server mit einem Passwort ein?
Kannst du mal die Ausgabe von ssh mit der Option "-v" posten, wenn du dich vom "Debian 3.1"-Client auf dem "Debian 3.1"-Server einloggst, damit ich weiß, was der Server genau anfordert?

Gruß,
Daniel

Hallo Daniel,

Ausgabe ssh -v mit Passwort eingabe
http://nopaste.debianforum.de/7796
Diese Verbindung klappt einwandfrei.

gruß heinz

[Danielx]

Hm, der Server bietet nur publickey und keyboard-interactive an:

Code: Alles auswählen

Authentications that can continue: publickey,keyboard-interactive

Vielleicht braucht Suse da noch die Authentifizierungs-Option "password".

Setzte mal PermitEmptyPasswords auf yes (in deiner sshd_config) und starte den sshd neu.
Dann sollte der Server auch "password" als Authentifizierung anbieten.
Hast du noch anders Zugriff auf den Server (z.B. physikalisch), nicht dass du dich ganz aussperrst!

edit: Oh nein, ich habe leider die falsche Zeile kopiert (bin schon etwas zu müde).
Ich meinte PasswordAuthentication (nicht PermitEmptyPasswords, das kannst du wieder ändern), also:

Code: Alles auswählen

PasswordAuthentication yes

Ist aber nicht schlimm, solange du keine Accounts ohne Passwort hast und dein Server nicht am öffentlichen Internet hängt, aber ärgerlich.

Gruß,
Daniel

[heinz]

Hallo Daniel,

PasswordAuthentication steht auf yes.

Ich denke mal, das es was mit dem alten ssh-protokoll von suse6.4 zutun hat.
Gibt es noch eine Möglichkeit dem debian-sshd zu sagen das er das alte Protokoll akzeptieren soll
ausser in der sshd_config den eintrag "Protocol 2,1" zu setzen?

gruß heinz

[Danielx]

PasswordAuthentication steht auf yes.

Hast du das gerade eben geändert?
Denn in deiner geposteten sshd_conf steht die Option auf no!
sshd neu gestartet?
Das bezieht sich alles auf den Server.

Ich denke mal, das es was mit dem alten ssh-protokoll von suse6.4 zutun hat.
Gibt es noch eine Möglichkeit dem debian-sshd zu sagen das er das alte Protokoll akzeptieren soll
ausser in der sshd_config den eintrag "Protocol 2,1" zu setzen?

Hm, also eigentlich erfolgt dann eine Fehlermeldung, außerdem sollten eh schon beide Protokolle zugelassen sein.
Schau doch mal in der ssh-Man-Page (auf dem Suse Rechner) nach, ob es Protokoll-Version 2 unterstützt.

Gruß,
Daniel

[heinz]

PasswordAuthentication steht auf yes.

Hast du das gerade eben geändert?
Denn in deiner geposteten sshd_conf steht die Option auf no!
sshd neu gestartet?
Das bezieht sich alles auf den Server.

Gruß,
Daniel

Hallo Daniel,

sorry hattest recht, hab auf einem Falschen Rechner nachgeschaut.
Bei mir laufen z.Z. gerade 5 Rechner, bin durcheinander geraten.

Du bist mein Retter! Es funktioniert! Danke

Ist aber nicht schlimm, solange du keine Accounts ohne Passwort hast und dein Server nicht am öffentlichen Internet hängt, aber ärgerlich.

Ist beides nicht der Fall, zum glück.

Danke nochmals
gruß heinz

[Danielx]

Freut mich!

[mistersixt]

Und jetzt, da ssh wieder geht, kannst Du Dich ja dranmachen, Suse 6.4 zu entsorgen !

[heinz]

Und jetzt, da ssh wieder geht, kannst Du Dich ja dranmachen, Suse 6.4 zu entsorgen !

Wenn ich mal wieder viel Zeit und lust hab geh ich da villeicht mal dran.
Das sind immerhin 6 Rechner mit SuSe6.4 das is ein haufen Arbeit die alle wieder dazu zu bringen
das zu tun was sie sollen.
Heisst es nicht:
Never Change A Running System

gruß heinz