scponlyc: Could not open keyfile .ssh/authorized_keys'

[olivero]

Erst mal einen schoenen Tag an alle, ich bin hier neu und habe auch gleich ein Problem:

Ich habe scponlyc 4.8-4.1 auf Squeeze 2.6.32-5-686 laufen und bekomme leider folgende Eintrage in der
/var/log/auth.log (see below). Debuglevel in /etc/scponly/debugelevel = 2 und /etc/ssh/sshd_config ist der loglevel auf DEBUG.

Die Rechte sind wie folgt gesetzt:
/home/
drwxr-xr-x 9 root root 4096 24. Okt 11:08 testuser

/home/testuser/
drwxr-xr-x 4 root root 4096 24. Okt 11:03 usr
drwxr-xr-x 2 testuser testuser 4096 24. Okt 11:03 transfer
drwxr-xr-x 3 root root 4096 24. Okt 11:03 lib
drwxr-xr-x 2 root root 4096 24. Okt 11:03 etc
drwxr-xr-x 2 root root 4096 24. Okt 11:03 dev
drwxr-xr-x 2 root root 4096 24. Okt 11:03 bin
drwx------ 2 testuser testuser 4096 24. Okt 11:08 .ssh

/home/testuser/.ssh/
-rw------- 1 testuser testuser 604 24. Okt 11:08 authorized_keys

/home/testuser/dev/
crw-rw-rw- 1 root root 1, 3 24. Okt 11:03 null

Vielleicht hat ja jemand eine Idee, was hier abgeht? Im voraus schon mal vielen Dank fuer die Aufmerksamkeit...
Oliver


/var/log/auth.log:
...
Oct 24 11:13:53 sys-ftp sshd[26124]: Connection from 10.15.1.xxx port 47659
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: Client protocol version
2.0; client software version 1.34
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: no match: 1.34
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: Enabling compatibility mode
for protocol 2.0
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: Local version string
SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: PAM: initializing for
"testuser"
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: PAM: setting PAM_RHOST to
"edv2.domain.de"
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: PAM: setting PAM_TTY to "ssh"
Oct 24 11:13:53 sys-ftp sshd[26124]: Failed none for testuser from
10.15.1.212 port 47659 ssh2
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: Checking blacklist file
/usr/share/ssh/blacklist.DSA-1024
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: Checking blacklist file
/etc/ssh/blacklist.DSA-1024
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: temporarily_use_uid:
1013/1013 (e=0/0)
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: trying public key file
/home/testuser/.ssh/authorized_keys
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: Could not open keyfile
'/home/testuser/.ssh/authorized_keys': Permission denied
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: restore_uid: 0/0
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: temporarily_use_uid:
1013/1013 (e=0/0)
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: trying public key file
/home/testuser/.ssh/authorized_keys
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: Could not open keyfile
'/home/testuser/.ssh/authorized_keys': Permission denied
Oct 24 11:13:53 sys-ftp sshd[26124]: debug1: restore_uid: 0/0
Oct 24 11:13:53 sys-ftp sshd[26124]: Failed publickey for testuser from
10.15.1.212 port 47659 ssh2

[uname]

In meiner Konfiguation gehört root:root der Ordner /home/user/.ssh und die enthaltenen Dateien. Die Rechte sind 644. Sollte kein Problem sein, da authorized_keys (Public-Keys) kein Sicherheitsrisiko darstellen. Ob das wirklich so muss weiß ich niht.

Generell kannst du im übrigen auf scponlyc verzichten. Trag in /etc/ssh/sshd_config ein:

Code: Alles auswählen

Match group sftponly
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

Sei Benutzer testuser in der Gruppe sftp.
/home/testuser gehört "root"
/home/testuser/home/testuser gehört "testuser"
/home/testuser/.ssh wohl wie oben
Die Shell von testuser kann im übrigen /bin/sh sein. Wird trotzdem nicht erlaubt dank Einstellung in sshd_config.

[olivero]

In meiner Konfiguation gehört root:root der Ordner /home/user/.ssh und die enthaltenen Dateien. Die Rechte sind 644. Sollte kein Problem sein, da authorized_keys (Public-Keys) kein Sicherheitsrisiko darstellen. Ob das wirklich so muss weiß ich niht.

Generell kannst du im übrigen auf scponlyc verzichten. Trag in /etc/ssh/sshd_config ein:

Code: Alles auswählen

Match group sftponly
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

Sei Benutzer testuser in der Gruppe sftp.
/home/testuser gehört "root"
/home/testuser/home/testuser gehört "testuser"
/home/testuser/.ssh wohl wie oben
Die Shell von testuser kann im übrigen /bin/sh sein. Wird trotzdem nicht erlaubt dank Einstellung in sshd_config.

Danke, das hatte ich auch schon versucht, ebenso mit dem Match User Eintrag in der sshd_config, leider negativ. Das komische ist, auf etch hatte ich mit der gleichen conf keine Probleme, scponly war noch 4.6. Irgend jemand hat doch bestimmt schon mal das gleiche Problem gehabt? Der Server ist ziemlich virgin.

[uname]

Mit meiner Konfiguration kann du nur sftp und scp machen. Vielleicht liegt dort schon der Fehler. Und meine erste Empfehlung: Hast du mal die Rechte auf root geändert mit 644? Brachte das Unterschiede vor allem in /var/log/auth.log?

[olivero]

Mit meiner Konfiguration kann du nur sftp und scp machen. Vielleicht liegt dort schon der Fehler. Und meine erste Empfehlung: Hast du mal die Rechte auf root geändert mit 644? Brachte das Unterschiede vor allem in /var/log/auth.log?

Fehler zuvor war, dass /home einer Gruppe ftpgroup angehoerte, ist jetzt geaendert. Die Rechte auf /root und /home sind 0755 und gehoeren root:root.
Zwischenzeitlich 'testuser' auf 'daTeV2SyS9' geaendert, gleiche conf wie vorher. Folgende Meldung in auth.log:

Code: Alles auswählen

Oct 25 10:47:48 sys-ftp sshd[18967]: debug1: Forked child 19912.
Oct 25 10:47:48 sys-ftp sshd[19912]: Set /proc/self/oom_adj to 0
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: rexec start in 5 out 5
newsock 5 pipe 7 sock 8
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: inetd sockets after
dupping: 3, 3
Oct 25 10:47:48 sys-ftp sshd[19912]: Connection from 10.15.19.xxx port 47981
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: Client protocol version
2.0; client software version 1.34
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: no match: 1.34
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: Enabling compatibility mode
for protocol 2.0
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: Local version string
SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: PAM: initializing for
"daTeV2SyS9"
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: PAM: setting PAM_RHOST to
"xyz.domain.de"
Oct 25 10:47:48 sys-ftp sshd[19912]: debug1: PAM: setting PAM_TTY to "ssh"
Oct 25 10:47:48 sys-ftp sshd[19912]: Failed none for daTeV2SyS9 from
10.15.19.100 port 47981 ssh2

any idea?

[uname]

Vielleicht liegt es daran, dass der Client eine SSH-Version 1.34 benutzt. Versuche einen Fehler beim Client auszuschließen und greife mal vom Server direkt zu. Kannst hierfür ruhig "root" nutzen.

Als root:

Code: Alles auswählen

cd /tmp
sftp daTeV2SyS9@localhost   (Passwort eingeben)
get /etc/passwd
quit

Nun sollte unter /tmp eine Kopie von /etc/passwd liegen. Funktioniert das? Was sagt im Fehlerfall /var/log/auth.log?

Versuche auch als root:

Code: Alles auswählen

scp daTeV2SyS9@localhost:/etc/passwd /tmp

[olivero]

Vielleicht liegt es daran, dass der Client eine SSH-Version 1.34 benutzt. Versuche einen Fehler beim Client auszuschließen und greife mal vom Server direkt zu. Kannst hierfür ruhig "root" nutzen.

Als root:

Code: Alles auswählen

cd /tmp
sftp daTeV2SyS9@localhost   (Passwort eingeben)
get /etc/passwd
quit

Nun sollte unter /tmp eine Kopie von /etc/passwd liegen. Funktioniert das? Was sagt im Fehlerfall /var/log/auth.log?

Versuche auch als root:

Code: Alles auswählen

scp daTeV2SyS9@localhost:/etc/passwd /tmp

Ein beherztes sftp -v daTeV2SyS9@localhost.
Ergebnis in auth.log:

Code: Alles auswählen

Oct 25 14:09:09 sys-ftp sshd[22756]: debug1: Forked child 23133.
Oct 25 14:09:09 sys-ftp sshd[23133]: Set /proc/self/oom_adj to 0
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: inetd sockets after dupping: 3, 3
Oct 25 14:09:09 sys-ftp sshd[23133]: Connection from 127.0.0.1 port 46790
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: Client protocol version 2.0; client software version OpenSSH_5.5p1 Debian-6+squeeze2
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: match: OpenSSH_5.5p1 Debian-6+squeeze2 pat OpenSSH*
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: Enabling compatibility mode for protocol 2.0
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: PAM: initializing for "daTeV2SyS9"
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: PAM: setting PAM_RHOST to "localhost"
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: PAM: setting PAM_TTY to "ssh"
Oct 25 14:09:09 sys-ftp sshd[23133]: Failed none for daTeV2SyS9 from 127.0.0.1 port 46790 ssh2
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: temporarily_use_uid: 1013/1013 (e=0/0)
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: trying public key file /home/daTeV2SyS9/.ssh/authorized_keys
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: fd 4 clearing O_NONBLOCK
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: matching key found: file /home/daTeV2SyS9/.ssh/authorized_keys, line 2
Oct 25 14:09:09 sys-ftp sshd[23133]: Found matching DSA key: 0e:88:47:b9:bb:05:0f:03:38:9b:03:6b:a1:1f:ab:2e
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: restore_uid: 0/0
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: temporarily_use_uid: 1013/1013 (e=0/0)
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: trying public key file /home/daTeV2SyS9/.ssh/authorized_keys
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: fd 4 clearing O_NONBLOCK
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: matching key found: file /home/daTeV2SyS9/.ssh/authorized_keys, line 2
Oct 25 14:09:09 sys-ftp sshd[23133]: Found matching DSA key: 0e:88:47:b9:bb:05:0f:03:38:9b:03:6b:a1:1f:ab:2e
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: restore_uid: 0/0
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: ssh_dss_verify: signature correct
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: do_pam_account: called
Oct 25 14:09:09 sys-ftp sshd[23133]: Accepted publickey for daTeV2SyS9 from 127.0.0.1 port 46790 ssh2
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: monitor_child_preauth: daTeV2SyS9 has been authenticated by privileged process
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: PAM: establishing credentials
Oct 25 14:09:09 sys-ftp sshd[23133]: pam_unix(sshd:session): session opened for user daTeV2SyS9 by (uid=0)
Oct 25 14:09:09 sys-ftp sshd[23133]: User child is on pid 23136
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: SELinux support disabled
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: PAM: establishing credentials
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: permanently_set_uid: 1013/1013
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: Entering interactive session for SSH2.
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: server_init_dispatch_20
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: server_input_channel_open: ctype session rchan 0 win 2097152 max 32768
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: input_session_request
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: channel 0: new [server-session]
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_new: session 0
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_open: channel 0
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_open: session 0: link with channel 0
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: server_input_channel_open: confirm session
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: server_input_global_request: rtype no-more-sessions@openssh.com want_reply 0
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: server_input_channel_req: channel 0 request env reply 0
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_by_channel: session 0 channel 0
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_input_channel_req: session 0 req env
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: server_input_channel_req: channel 0 request subsystem reply 1
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_by_channel: session 0 channel 0
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_input_channel_req: session 0 req subsystem
Oct 25 14:09:09 sys-ftp sshd[23136]: subsystem request for sftp
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: subsystem: exec() /usr/lib/openssh/sftp-server
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: Received SIGCHLD.
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_by_pid: pid 23137
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_exit_message: session 0 channel 0 pid 23137
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: session_exit_message: release channel 0
Oct 25 14:09:09 sys-ftp sshd[23136]: Received disconnect from 127.0.0.1: 11: disconnected by user
Oct 25 14:09:09 sys-ftp sshd[23136]: debug1: do_cleanup
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: do_cleanup
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: PAM: cleanup
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: PAM: closing session
Oct 25 14:09:09 sys-ftp sshd[23133]: pam_unix(sshd:session): session closed for user daTeV2SyS9
Oct 25 14:09:09 sys-ftp sshd[23133]: debug1: PAM: deleting credentials

und die Rueckgabe auf der command-line:

Code: Alles auswählen

root # sftp -v daTeV2SyS9@localhost
OpenSSH_5.5p1 Debian-6+squeeze2, OpenSSL 0.9.8o 01 Jun 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to localhost [127.0.0.1] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type 2
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.5p1 Debian-6+squeeze2
debug1: match: OpenSSH_5.5p1 Debian-6+squeeze2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'localhost' is known and matches the RSA host key.
debug1: Found key in /root/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Offering public key: /root/.ssh/id_dsa
debug1: Server accepts key: pkalg ssh-dss blen 433
debug1: read PEM private key done: type DSA
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = de_DE@euro
debug1: Sending subsystem: sftp
debug1: client_input_channel_req: channel 0 rtype exit-signal reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
debug1: channel 0: free: client-session, nchannels 1
debug1: fd 0 clearing O_NONBLOCK
Transferred: sent 2504, received 2424 bytes, in 0.0 seconds
Bytes per second: sent 375978.8, received 363966.7
debug1: Exit status -1
Connection closed

Danke, und nun?

[uname]

Wiederhole bitte den zweiten Versuch gepostet "25.10.2012 11:14:05" mit den vollständigen Fehlermeldungen.
Im ersten Versuch bist du an authorized_keys gescheitert, im letzten Versuch war das in Ordnung. In deinem zweiten Versuch ist nicht erkennbar wo der Fehler lag. Schreib auch von welchem Client du wie zugreifen möchtest.
Brauchst du dieses PAM_RHOSTS-Zeug? Hast du das in /etc/pam.d konfiguriert? Bei mir taucht es nicht auf. Mag aber unwichtig sein.

[olivero]

Wiederhole bitte den zweiten Versuch gepostet "25.10.2012 11:14:05" mit den vollständigen Fehlermeldungen.
Im ersten Versuch bist du an authorized_keys gescheitert, im letzten Versuch war das in Ordnung. In deinem zweiten Versuch ist nicht erkennbar wo der Fehler lag. Schreib auch von welchem Client du wie zugreifen möchtest.
Brauchst du dieses PAM_RHOSTS-Zeug? Hast du das in /etc/pam.d konfiguriert? Bei mir taucht es nicht auf. Mag aber unwichtig sein.

Vom Client 10.15.19.xxx wird auf den Server 192.168.xxx.xxx per Perl-Script zugegriffen. Es wird das Modul Net::SFTP werwendet. Der Publickey des Clients ist ohne passphrase mit ssh-keygen -t dsa erzeugt worden und an die besagte authorized_keys angehaengt worden. Das Script stellt einfach nur Dateien auf dem Server im incoming Verzeichnis des Users daTeV2SyS9 ab, zur Abholung von extern. Hat bisher auf dem alten Server unter Etch einwandfrei als cronjob funktioniert. Es laeuft noch ein vsftpd auf dem Server, der pam benutzt.
Hier der Eintrag in /var/log/auth.log nach Scriptaufruf:

Code: Alles auswählen

Oct 25 14:40:44 sys-ftp sshd[23464]: debug1: Forked child 23665.
Oct 25 14:40:44 sys-ftp sshd[23665]: Set /proc/self/oom_adj to 0
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: inetd sockets after dupping: 3, 3
Oct 25 14:40:44 sys-ftp sshd[23665]: Connection from 10.15.19.xxx port 45807
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: Client protocol version 2.0; client software version 1.34
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: no match: 1.34
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: Enabling compatibility mode for protocol 2.0
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: PAM: initializing for "daTeV2SyS9"
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: PAM: setting PAM_RHOST to "xyz.domain.de"
Oct 25 14:40:44 sys-ftp sshd[23665]: debug1: PAM: setting PAM_TTY to "ssh"
Oct 25 14:40:44 sys-ftp sshd[23665]: Failed none for daTeV2SyS9 from 10.15.19.xxx port 45807 ssh2
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: temporarily_use_uid: 1013/1013 (e=0/0)
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: trying public key file /home/daTeV2SyS9/.ssh/authorized_keys
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: fd 4 clearing O_NONBLOCK
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: restore_uid: 0/0
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: temporarily_use_uid: 1013/1013 (e=0/0)
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: trying public key file /home/daTeV2SyS9/.ssh/authorized_keys
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: fd 4 clearing O_NONBLOCK
Oct 25 14:41:13 sys-ftp sshd[23665]: debug1: restore_uid: 0/0
Oct 25 14:41:13 sys-ftp sshd[23665]: Failed publickey for daTeV2SyS9 from 10.15.19.xxx port 45807 ssh2
Oct 25 14:41:13 sys-ftp sshd[23665]: Failed password for daTeV2SyS9 from 10.15.19.xxx port 45807 ssh2

[uname]

Es scheint so, dass der Key nicht stimmt. Zudem solltest du erst mal unabhängig von deinem Perl-Script Standard-SFTP benutzen. Wenn das dann funktioniert solltest du erst das Perl-Script einsetzen. Dieses Vorgehen ist besser, da du damit Folgefehler ausschließt.
Die PAM-Zeilen verstehe ich weiterhin nicht, da die Logs sich nur auf sftp (sshd[23665]) beziehen. Hast du Anpassungen an /etc/pam.d/sshd oder generell an globale PAM-Konfigurationen (common-*) vorgenommen? Mag auch kein Fehler sein fällt nur irgendwie auf.

[olivero]

Es scheint so, dass der Key nicht stimmt. Zudem solltest du erst mal unabhängig von deinem Perl-Script Standard-SFTP benutzen. Wenn das dann funktioniert solltest du erst das Perl-Script einsetzen. Dieses Vorgehen ist besser, da du damit Folgefehler ausschließt.
Die PAM-Zeilen verstehe ich weiterhin nicht, da die Logs sich nur auf sftp (sshd[23665]) beziehen. Hast du Anpassungen an /etc/pam.d/sshd oder generell an globale PAM-Konfigurationen (common-*) vorgenommen? Mag auch kein Fehler sein fällt nur irgendwie auf.

in /etc/pam.d stehen u.a.

Code: Alles auswählen

-rw-r--r-- 1 root root 1154 27. Sep 12:14 common-session-noninteractive
-rw-r--r-- 1 root root 1156 27. Sep 12:14 common-session
-rw-r--r-- 1 root root 1440 27. Sep 12:14 common-password
-rw-r--r-- 1 root root 1221 27. Sep 12:14 common-auth
-rw-r--r-- 1 root root 1208 27. Sep 12:14 common-account

wurden vom System maybe bei der OS-Installation geschrieben, angepasst habe ich jedenfalls nichts. Bei Aufruf von "sftp -v daTeV2SyS9@localhost" gibt es keinen Connect per sftp (siehe log vorhin). Ich poste mal die gestrippte sshd_conf:

Code: Alles auswählen

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel DEBUG
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile  %h/.ssh/authorized_keys
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

Die authorized_keys ist ja jetzt lesbar, die Rechte stimmen laut http://www.openssh.org/faq.html Section 3.14, imho liegt das Problem bei ssh?
Der Passwort-Prompt darf ueberhaupt nicht kommen, denn in sshd_config ist AuthorizedKeysFile %h/.ssh/authorized_keys gesetzt...
Der Key ist frisch erzeugt auf dem Client Suse 10.3, OpenSSH_4.6p1. Mir ist nichts bekannt, dass es hier Probleme mit unterschiedlichen Versionen gibt?

[uname]

Wie schon mal geschrieben macht der SSH-Key Probleme.

Code: Alles auswählen

Oct 25 14:41:13 sys-ftp sshd[23665]: Failed publickey for daTeV2SyS9 from 10.15.19.xxx port 45807 ssh2
Oct 25 14:41:13 sys-ftp sshd[23665]: Failed password for daTeV2SyS9 from 10.15.19.xxx port 45807 ssh2

Besser wäre eine Art

Code: Alles auswählen

sftp -v user@server

von dem Client wo das Perl-Script ist.

Der Passwort-Prompt darf ueberhaupt nicht kommen, denn in sshd_config ist AuthorizedKeysFile %h/.ssh/authorized_keys gesetzt...

Ich glaube das ist ein Irrglaube. Ich denke es fällt auf das Passwort zurück falls der Key nicht funktioniert. Bin mir aber nicht sicher und weiß auch nicht wo man das z.B. dann deaktivieren könnte.