SSH Key Athentification für sftp only user

[maikr]

Moin.

Ich steh grad vor einem Problem was ich einfach nicht gelöst bekomme.
Ich habe für alle User die Zugriff auf den SSH Server bekommen Schlüssel angelegt. Probleme macht jetzt nur der sftp only user, also der, der nur auf den sftp Zugriff haben darf. Laut diversen Quellen im Internet soll es für diesen User genauso funktionierten wie für alle andern auch:

Keys in ~/.ssh/authorized_keys und fertig.

Es kommt aber immer die Meldung zurück das der Key abgelehnt wurde. Ich hab also nun einen neuen Benutzer angelegt und die gleichen Rechte für alle Verzeichnisse (.ssh, authorized_keys etc.) festgelegt. Die keys sind zum Testen auch die selben. Hier funktioniert nun die Anmeldung ohne Probleme.
Hat jemand ne Ahnung warum es mit dem andern User nicht geht?

Code: Alles auswählen

/home# ls -la keytest/.ssh/
drwx------ 2 keytest keytest 4096 Apr 14 23:30 .
drwxr-xr-x 3 keytest keytest 4096 Apr 14 23:29 ..
-rw------- 1 keytest keytest  225 Apr 14 23:30 authorized_keys

Code: Alles auswählen

/home# ls -la sftp_user/.ssh/
drwx------ 2 sftp_user sftp_user   4096 Apr 14 23:19 .
drwxr-xr-x 5 root   sftponly 4096 Apr 14 22:59 ..
-rw------- 1 sftp_user sftponly  225 Apr 15 00:03 authorized_keys

Also für den user keytest gehts, für sftp_user geht nicht. Selbst wenn ich die Rechte für others auf +r setze gehts nicht.

[maikr]

Hat keiner sowas im Einsatz und kann mir da weiterhelfen?

[habakug]

Hallo!

Code: Alles auswählen

drwx------ 2 sftp_user sftp_user 
-rw------- 1 sftp_user sftponly

Ein Flüchtigkeitsfehler?

Gruß, habakug

[roli]

Hi,

wäre es eine Option dem User als Login Shell "/bin/false" zu geben?

[maikr]

@habakug

tatsächlich noch ein Überbleibsel vom Testen. Gruppe ist natürlich auch sftponly.

@roli

ist schon gesetzt

[uname]

Poste mal Debug-Ausgaben von

Code: Alles auswählen

sftp -v user@server

bzw.

Code: Alles auswählen

sftp -v user@localhost

[maikr]

Hab jetzt mal versucht die Verbindung auf dem Server vom user Keytest zu sftuser herzustellen. Er bleibt irgendwie am Key hängen:

Code: Alles auswählen

sftp -v sftpuser@localhost
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to localhost [127.0.0.1].
debug1: Connection established.
debug1: identity file /home/keytest/.ssh/id_rsa type -1
debug1: identity file /home/keytest/.ssh/id_rsa-cert type -1
debug1: identity file /home/keytest/.ssh/id_dsa type -1
debug1: identity file /home/keytest/.ssh/id_dsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '[localhost]' is known and matches the RSA host key.
debug1: Found key in /home/keytest/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/keytest/.ssh/id_rsa
debug1: read PEM private key done: type RSA
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/keytest/.ssh/id_dsa
debug1: Next authentication method: password
sftpuser@localhost's password:

Nach "read PEM private key done: type RSA" müsste er mir doch wenigstens einen Fehler bringen bevor er nach dem dsa Key sucht.
Habs mal mit den gleichen Keys eine Verbindung von root zu keytest aufgebaut und das geht. Mir ist aber aufgefallen, dass wenn authorized_keys root (statt keytest) gehört, der gleiche Fehler auftritt. Also er probiert den rsa Private Key aber kriegt keine Antwort und will es dann mit dem dsa Key probieren. Liegt also doch irgendwie an den Zugriffsrechten.

[nepos]

Ich wuerde mal den SSH-Daemon auf der Gegenseite im Debugmodus laufen lassen, dann siehst du auch, warum er deinen Key nocht akzeptiert.

[maikr]

Hatte Logmodus auf Verbose gesetzt und garnicht an Debug gedacht. Danke für den Hinweis. Das Homedirectory von sftpuser war falsch gesetzt und somit hat er natürlich auch nicht die authorized_keys gefunden...
Jetzt geht alles. Danke für die Hilfe.