ssh Public Key Login

[schroedi]

Ich habe gerade versucht wie folgt den Public Key Access von einem zu anderen Rechner zu erlauben. (USER GEBUNDEN!! muss es sein)

Code: Alles auswählen

[list]mkdir $HOME/.ssh 
touch $HOME/.ssh/authorized_keys 

chmod go-rwx $HOME/.ssh/authorized_keys 

ssh-keygen -t dsa

cd $HOME/.ssh 
cat identity.pub | ssh remoteuser@remotehost "cat >> .ssh/authorized_keys"[/list][/list]

Leider wird nun immer noch durch den Zielrechner nach dem Passwort gefragt.

hmmmmmmmmm....

Was mich auch noch stutzig macht im Verzeichnis /etc/ssh/ befinden sich 2 Files ssh[d?]_config

Thanx schonmal....

[QT]

Vielleicht wurde der Key auf dem Zielhost falsch eingebunden oder wie auch immer. Ueberpruefe mal den Eintrag des Keys in der authorized_keys Datei nochmal.

Zum Rueberkopieren kannst Du auch das vorgesehene Tool "ssh-copy-id" nehmen.

[Savar]

ist denn PublicKey Authentifizierung auf dem Zielhost in der /etc/ssh/sshd_config aktiviert?

[mauser]

hi,

Was mich auch noch stutzig macht im Verzeichnis /etc/ssh/ befinden sich 2 Files ssh[d?]_config

das ist völlig normal, denn ssh_config ist die konfigurationsdatei für den client, und sshd_config ist für den daemon zuständig, also für den ssh server.

[HELLinG3R]

möglicherweise sind auch die Rechte des authorized_keys falsch gesetzt.

[schroedi]

Hi,

die Rechte für die Autorized_key Datei liegen nur bei User schroedi auf rw
im sshd Config File sind ebenfalls die

PubkeyAuthentication yes
AuthorizedKeysFile ~/.ssh/authorized_keys

gesetzt. Auch der Verweis auf das AuthorizedKeysFile ist gesetzt. Aber immernoch wird das Passwort bei jedem Verbindungsaufbau erfragt.

schroedi

[HELLinG3R]

...welcher verweis?
das sollte eigentlich eine datei sein.

[KBDCALLS]

Die ssh Reagiert allergisch auf falsche Rechte. Das können auch zu viel sein !!! . Kopiere das DIngen mit

Code: Alles auswählen

ssh-copy-id

. Und in der

Code: Alles auswählen

/etc/ssh/sshd_config

muß diese beide Optionen auf no stehen.

Code: Alles auswählen

     45 # Change to no to disable s/key passwords
     46 ChallengeResponseAuthentication no
     47
     48 # Change to yes to enable tunnelled clear text passwords
     49 PasswordAuthentication no

[Savar]

Die ssh Reagiert allergisch auf falsche Rechte. Das können auch zu viel sein !!! . Kopiere das DIngen mit

Code: Alles auswählen

ssh-copy-id

. Und in der

Code: Alles auswählen

/etc/ssh/sshd_config

muß diese beide Optionen auf no stehen.

Code: Alles auswählen

     45 # Change to no to disable s/key passwords
     46 ChallengeResponseAuthentication no
     47
     48 # Change to yes to enable tunnelled clear text passwords
     49 PasswordAuthentication no

PasswordAuthentication no

ist quatsch... sollte auf jeden Fall erstmal drin bleiben!!

/edit: also auf YES bleiben!!!

[Savar]

Hi,

die Rechte für die Autorized_key Datei liegen nur bei User schroedi auf rw
im sshd Config File sind ebenfalls die

PubkeyAuthentication yes
AuthorizedKeysFile ~/.ssh/authorized_keys

gesetzt. Auch der Verweis auf das AuthorizedKeysFile ist gesetzt. Aber immernoch wird das Passwort bei jedem Verbindungsaufbau erfragt.

schroedi

Sind die Einstellungen auf dem Server oder auf dem Client von dir eingerichtet worden?
Hast du denn SSHD denn überhaupt mal restartet? Oder musstest du an dessen Config Datei nichts ändern?

[KBDCALLS]

PasswordAuthentication no

ist quatsch... sollte auf jeden Fall erstmal drin bleiben!!

/edit: also auf YES bleiben!!!

Wieso quatsch? Wenn ich auf Key das Keyverfahren umstelle, dann kann die Passwortauthenzifierung ruhig aus. Ansonten brauche ich mir die Arbeit mit dem Key doch garnicht machen. Sollte aber dafür sorgen das das Keyverfahren richtig funzt. Ansonsten gibt es ein böses erwachen wenn man sich selbst ausgesperrt hat.

[Savar]

Ansonten brauche ich mir die Arbeit mit dem Key doch garnicht machen. Sollte aber dafür sorgen das das Keyverfahren richtig funzt. Ansonsten gibt es ein böses erwachen wenn man sich selbst ausgesperrt hat.

Jap.. deshalb erstmal anlassen.. wenns geht, dann kann man es ausschalten.. interessanterweise gilt scheinbar die Public Key Variante als unsicherer als die Passwortvariante mit guten Passwörtern.. die Standardconfig von ssh hat Public Key deaktiviert und es steht eine Warnung wegen LD_PRELOAD Gefahren drin..

ich mag lieber ein sicheres Passwort als ein fehlerhaftes PublicKey Verfahren..

[HELLinG3R]

hm, das mit dem unsicherer ist mir neu.
warum soll es unsicherer sein?
bruteforce klappt nur mit passwörtern, mit keys zwar prinzipiell auch, aber ein 1024 bit langer key entspricht einem 128 Zeichen langem Passwort (wenn ich jetzt richtig überschlagen habe). Zusätzlich muss es aber auch als key benutzt, und ncht einfach an den server gesandt werden.

[Savar]

ich muss zugeben dass ich grad nicht mehr den Eintrag finde wo ich das mit PublicKey gelesen habe..

Bruteforce.. naja.. ganz ehrlich.. ein 11 Zeichen Passwort.. Bruteforcen.. über Netzwerk? Keine Chance!!

[mauser]

@savar: meine volle zustimmung. bei den keys besteht doch wirklich ein hohes risiko, das sie irgendwann mal verlorengehen. ok, 11stellige passwörter sind auch nicht ohne aber sehr viel sicherer (sicher = das risiko das sie nicht verlorengehen) . aus meiner persönlichen erfahrung kann ich nur sagen, das sehr unrealistisch ist, das jemand ein 11stelliges, gut gewähltes passwort knackt. 98% der "normalen" angriffe
sind eh nur script-kiddies, die 100-300 versuche machen und dann wieder weiterziehen. und auch wenn jemand wirklich meinen server für einen angriff auserwählt werde ich das schnell mitbekommen und kann darauf reagieren, denn das dauert eben ...
ach ja, port-knocking ist auch noch ein interessantes thema, habe es aber noch nie mit ssh ausprobiert. werde ich aber auch in nächster zeit mal machen, da meine logs von skript-kiddies geflutet werden, kann ja dann mal einen erfahrungsbericht schreiben..
mfg
mauser

[HELLinG3R]

oder vielleicht ein kleines howto...

[mauser]

kein problem, werde dann hier bescheid geben..
mfg
mauser

[mauser]

hier gibt es schon ein kleines deutsches howto:

http://wiki.debcenter.org/index.php/SSH ... rtknocking

mfg
mauser

[schroedi]

Hai ~~~^~~~

ich breche mir fast einen ab mit SUSE.
Das Tool ssh-copy-id habe ich schon mal gar nicht auf den Kisten, ansosten habe ich alle erdenklichen Varianten und Rechte getestet.

Frage:
Kann jemand mal seine Essentiellen wichtigen CFG´s mir zukommen lassen.
Weil irgendwie komme ich leider nicht weiter. Unter DEBIAN auf meine Notebook funzt alle wirklich wunderbar.

schroedi

[KBDCALLS]

ssh-copy-id gehört zur Grundausstattung der SSH wenn micht nicht alles täuscht.

[diedl2003]

Hi,

also das mit portknocking (knockd) funktioniert super, ich habs gleich mal ausprobiert. Ist auch einfach zu konfigurieren nach dem wiki von mauser. Da ich einen dsl-router unter sarge laufen habe und ppp0 erst als letztes nach dem booten initialisiert ist,kann knockd -i ppp0 nicht starten über die standart init scripte...also habe ich es einfach über die inittab mit respawn aufgerufen.
Hier noch ein link zur homepage von knockd mit knock.exe für Windows: http://www.zeroflux.org/cgi-bin/cvstrac/knock/wiki
Man sollte bei schon laufender firewall drauf achten, dass man die iptables rule mit -I INPUT 1
als oberste Regel einsetzt. Im orginal wiki der homepage wird als Beispiel nämlich mit -A appended...

Gruß und viel Erfolg mit dem ssh thema

[schroedi]

Das mag schon sein, dass es zum Standard gehört, aber entweder ich bin zu doof das ganze aufzurufen, oder es ist wirklich nicht dabei.
Eine ManPAGE suche ich ebenfalls vergebens.

Code: Alles auswählen

schroedi@linux:~/.ssh> ssh-copy-id
-bash: ssh-copy-id: command not found
schroedi@linux:~/.ssh> ls
authorized_keys  id_dsa  id_dsa.pub  identity  identity.pub  known_hosts
schroedi@linux:~/.ssh> ssh-copy-id id_dsa.pub identity.pub
-bash: ssh-copy-id: command not found

chroedi@linux:~/.ssh>man ssh-copy-id
No manual entry for ssh-copy-id

[rall0r]

Hallo schroedi,
ich habe Dir mal eine PN geschickt.
Ich habe zu diesem Thema soetwas wie ein HowTo geschrieben. Allerdings habe ich nicht die Möglichkeit, das irgendwo hochzuschieben.
Daher die PN, sorry.
Gruß,
Ralf

[schroedi]

Hi Rall0r

cooles Howto DANKE
Dann habe ich ja alles richtig gemacht. Ich dachte es funzt so wie mit den rhosts Kommandos, dass ich keine Authentifizierungen mehr machen muss und einfach per command

Code: Alles auswählen

?? weiss net obs stimmt 
ssh <user>@<servername> sudo /etc/init.d/apache restart

diverse Commandos ohne das lästig Password eingeben absetzen kann.

Ich glaube, dann muss ich das mit den shost.equiv mal versuchen....

Better try in next thread ...
schroedi

[KBDCALLS]

Hallo schroedi,
ich habe Dir mal eine PN geschickt.
Ich habe zu diesem Thema soetwas wie ein HowTo geschrieben. Allerdings habe ich nicht die Möglichkeit, das irgendwo hochzuschieben.
Daher die PN, sorry.
Gruß,
Ralf

Setz es doch ins Wiki.