SSH keys Verbindung

[clyde]

Hallo zusammen,
zu meinem Problem: ich will meine Passwortabfrage, die bei der Verbindung zu einem Client auftritt, mit SSH Keys umgehen...
Ich verwende folgende Version: openssh_4.3p2

Bin jetz so vorgegangen: Einloggen auf meiner Maschine, und im ~/.ssh Verzeichnis mit ssh-keygen -t rsa/dsa ein Key Paar erzeugen,
dann die .pub der beiden auf den anderen Rechner schieben dort ~/.ssh/authorized_keys2 erzeugen und die .pub reinkopieren. Danach die .pub auf dem Remoterechner wieder gelöscht. Wenn ich mich jetz einloggen will, kommt trotzdem noch eine Passwortabfrage...
Kennt sich da jemand aus? Vielen Dank schon mal

[Lirion]

Knappe Schilderung, das.

1. Ich benutze .ssh/authorized_keys. Woher das mit der 2 kommt, weiß ich nicht, kann demnach auch keine Funktionsgarantie geben. Ansonsten stimmt's.
2. Form? Bei mir sieht das so aus:
ssh-dss <keysequenz> user@host
(wobei user@host der Benutzer und Host des Systems sind, auf dem der PubKey erzeugt wurde)

[clyde]

Ok danke für die schnell Antwort, hab das mit der 2 auch nur irgendwo gelesen,
aber mit oder ohne funktioniert es nicht...
zur Form, sieht bei mir genauso aus wie bei dir...

[habakug]

Hallo!

Du solltest mal die Manpage von "ssh-copy-id" lesen:

ssh-copy-id - install your public key in a remote machine’s authorized_keys

Gruß, habakug

[schwedenmann]

Hallo

zu meinem Problem: ich will meine Passwortabfrage, die bei der Verbindung zu einem Client auftritt, mit SSH Keys umgehen...
Ich verwende folgende Version: openssh_4.3p2

Das geht nur, wenn du beim Fingerprint (also deinem key) das paßwort leer lät, also Retrun drücken und beiu der Bestätigung auch Return drückst.

Ist zwar Sicherheitsmäßig kritsich, aber ich amchs trotzdem, a

a. ich bin faul und verippte mich oft
b. In Scripten gehts nur so


mfg
schwedenmann

[clyde]

ok danke erstmal an habakug,

hab die man page gelesen und das ganze nochmal neu versucht, dann kam beim 1. versuch das die authorized_keys nicht existiert, dann hab ich sie angelegt und beim 2. versuch kam dann: "Now try loggin into the machine, with "ssh 'user@host' and check in: .ssh/authorized_keys to make sure we havent't added extra keys that you weren't expecting.

hab ich dann auch gemacht... würde alles passen, geht aber trotzdem ned...

@ schwedenmann

danke, wie kann ich beim Fingerprint beim Fingerprint das paßwort leer laden?

[schwedenmann]

Hallo

danke, wie kann ich beim Fingerprint beim Fingerprint das paßwort leer laden?

Indem dum nachdem du den Fingerprint generiert ahst, bei der dann folgenden Paßworteinagbe für den key, einfach die return-taste drückst, dann zur Bestätigung wieder return drücken, damit hast du ein leeres Paßwort und du mußt nichts mehr eintippen.

mfg
schwedenmann

[clyde]

Hallo,

meinst du die passphrase? also die man eingeben müsste um eine der beiden Dateien überhaupt ansehen zu können?
Wenn ja die hab ich schon leer gelassen...

[schwedenmann]

Hallo


Hier mal ein Tutorial

http://wiki.ubuntuusers.de/SSH#Authenti ... ublic-Keys

und noch eins

http://www.online-tutorials.net/securit ... 9-201.html

mfg
schwedenmann

[clyde]

danke für die Links;)

aber ich befürchte fast das hilft auch nix...

[roli]

Hi,

b. In Scripten gehts nur so

nicht ganz, du koenntest "expect" nutzen. Dann stehst du allerdings vor dem Problem wie dein Script mit dem Passwort umgeht, schliesslich muss es ja dann hier bekannt sein.

[mragucci]

Was steht denn in der sshd_config?

So etwas wie:

Code: Alles auswählen

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

??

[novalix]

b. In Scripten gehts nur so

Kommt drauf an unter welcher uid das Script läuft, und ob der

Code: Alles auswählen

man ssh-agent

genutzt wird.

Groetjes, niels

[clyde]

Hi danke
also vllt liegt da der Fehler,
in meiner sshd_conf siehts folgendermaßen aus:

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

muss das auskommentiert sein? wohl eher nicht oder?
Danke schon mal

[clyde]

Ok ich habs versucht,
bringt aber leider auch nix...

[mragucci]

Ok ich habs versucht,
bringt aber leider auch nix...

Aber den sshd danach schon restarted, ja?

[HELLinG3R]

Wurde zwar schon genannt, aber auf ssh-agent will ich nochmal hinweisen: Der übernimt nämlich die "Eingabe" der Passphrase zum Key. Das Passwort gibt man nur einmal ein, danach übernimmt das der Agent.
Das hat den Vorteil, dass man nur geringfügig die Sicherheit herabsetzt und der private Schlüssel bei Abhandenkommen immer noch etwas standhält, man also Zeit hat, die Schlüssel auszutauschen.

[clyde]

hallo danke für die antworten,
der sshd wurde restarted, ja...
muss ich denn auch etwas in den agent schreiben wenn ich keine passphrase benutze?

hier mal die ausgabe von ssh -vv host, vllt weiß ja jemand von euch was der debugger mir da alles sagen will;)

OpenSSH_4.3p2 Debian-9etch3, OpenSSL 0.9.8c 05 Sep 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to host [144.144.144.144] port 22.
debug1: Connection established.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug2: key_type_from_name: unknown key type '-----END'
debug1: identity file /home/user/.ssh/identity type 2
debug1: identity file /home/user/.ssh/id_rsa type -1
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug2: key_type_from_name: unknown key type '-----END'
debug1: identity file /home/user/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version Sun_SSH_1.1
debug1: no match: Sun_SSH_1.1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3p2 Debian-9etch3
debug2: fd 3 setting O_NONBLOCK
debug1: Miscellaneous failure
No credentials cache found

debug1: Miscellaneous failure
No credentials cache found

debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes128-cbc,arcfour,3des-cbc,blowfish-cbc
debug2: kex_parse_kexinit: aes128-ctr,aes128-cbc,arcfour,3des-cbc,blowfish-cbc
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: de,en,en-CA,en-US,es,es-MX,fr,fr-CA,it,i-default
debug2: kex_parse_kexinit: de,en,en-CA,en-US,es,es-MX,fr,fr-CA,it,i-default
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_init: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_init: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 136/256
debug2: bits set: 513/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'vulcanus' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:15
debug2: bits set: 532/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/hobbit/.ssh/identity (0x8097618)
debug2: key: /home/hobbit/.ssh/id_rsa ((nil))
debug2: key: /home/hobbit/.ssh/id_dsa (0x809b730)
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug2: we did not send a packet, disable method
debug1: Next authentication method: gssapi-with-mic
debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug2: we did not send a packet, disable method
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/identity
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug1: Trying private key: /home/user/.ssh/id_rsa
debug1: Offering public key: /home/user/.ssh/id_dsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug2: we did not send a packet, disable method
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1