SSH und SSHD

Rund um die Sicherheit von Linux-Systemen

Moderator: Mike

SSH und SSHD

Beitragvon EinGast » Do Jun 24, 2004 13:28

Hallo zusammen,

ich habe Suse 9.1 prof installiert und suche eine Möglichkeit, das über
eine SSH-Verbindung der private Key abgefragt wird.

Das soll bedeuten, wenn ich mich über einen Windowsrechner mit Putty zu
meinem Rechner verbinde und ich den private.key unter Putty nicht
eingebunden habe, das automatisch die Verbindung nicht zustande kommt.

Ich habe schon mehrere Anleitungen gelesen, aber irgendwie
funktionieren die nicht so recht. (oder ich verstehe die nicht)

Vielen Dank.

Finn
PS: sshd version OpenSSH_3.8p1, OpenSSL 0.9.7d 17 Mar 2004
EinGast
 

Beitragvon Trekkie » Do Jun 24, 2004 14:40

normalerweise musst du nur den Public key in das .ssh verzeichniss des users kopieren und da als authorized_keys2 speichern für eine SSH2 verbindung
Benutzeravatar
Trekkie
LUG Flensburg
LUG Flensburg
 
Beiträge: 129
Registriert: Mo Apr 08, 2002 1:00
Wohnort: Flensburg

Beitragvon Balumir » Do Jun 24, 2004 17:05

Hallo,

wenn ich Dich richtig verstanden habe, willst Du die Passwortauthentifizierung komplett abschalten.

Mit dem Parameter
Code: Alles auswählen
PasswordAuthentication No

ist ein Zugriff auf den Server nurnoch per SSH-Publickey möglich.
Zur sicherheit nochmal:
Das setzen dieses Wertes auf "no" verbietet alle Zugriffe per SSH ohne SSH-Key und ist somit wunderbar geeignet, um sich selbst auszusperren, wenn man nicht aufpasst.

Frank
Benutzeravatar
Balumir
Administrator
Administrator
 
Beiträge: 350
Registriert: Mo Nov 25, 2002 10:35
Wohnort: Flensdorf

ssh

Beitragvon EinGast » Do Jun 24, 2004 17:27

Hallo Trekkie,

ich habe weiter gegoogelt und bin nun auf folgende Anleitung gestossen.
http://www.different-thinking.de/ssh2_howto.php

So hatte ich auch immer, aber trotzdem funktioniert das noch nicht so recht.

Muss ich noch die sshd_config oder die ssh_config im Verzeichnis /etc/ssh/
noch editieren, wenn ja was muss ich ändern?

Finn
EinGast
 

Beitragvon Trekkie » Do Jun 24, 2004 17:58

also normalerweise musst du nix in den Config ändern... probier doch einfach mal ssh -vvv zu conecten.. dann zeigt er mehr infos an, denn evtl probiert er gar nicht aus sich mit den public key zu authentifizieren...
Benutzeravatar
Trekkie
LUG Flensburg
LUG Flensburg
 
Beiträge: 129
Registriert: Mo Apr 08, 2002 1:00
Wohnort: Flensburg

ssh -vvv

Beitragvon neuromancer » Do Jun 24, 2004 20:56

Hi,

hier ist meine Debug File.
Code: Alles auswählen
OpenSSH_3.6.1p2, SSH protocols 1.5/2.0, OpenSSL 0x0090701f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxxxxxxxxxxxx port 22.
debug1: Connection established.
debug1: identity file /home/finn/.ssh/identity type -1
debug1: identity file /home/finn/.ssh/id_rsa type -1
debug1: identity file /home/finn/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.8p1
debug1: match: OpenSSH_3.8p1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.6.1p2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_init: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_init: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 125/256
debug2: bits set: 1061/2048
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/finn/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug3: check_host_in_hostfile: filename /home/finn/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug3: check_host_in_hostfile: filename /home/finn/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug2: no key of type 0 for host xxxxxxxx
debug3: check_host_in_hostfile: filename /home/finn/.ssh/known_hosts2
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts2
debug3: check_host_in_hostfile: filename /home/finn/.ssh/known_hosts
debug3: check_host_in_hostfile: filename /etc/ssh/ssh_known_hosts
debug2: no key of type 2 for host xxxxxxxxx
The authenticity of host 'xxxxxxxxxxx' can't be established.
RSA key fingerprint is 20:a9:7f:ae:c9:eb:30:bc:e2:8d:98:3a:32:27:42:92.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xxxxxxxxxxx' (RSA) to the list of known hosts.
debug2: bits set: 1049/2048
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug3: start over, passed a different list publickey,keyboard-interactive
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/finn/.ssh/identity
debug3: no such identity: /home/finn/.ssh/identity
debug1: Trying private key: /home/finn/.ssh/id_rsa
debug3: no such identity: /home/finn/.ssh/id_rsa
debug1: Trying private key: /home/finn/.ssh/id_dsa
debug3: no such identity: /home/finn/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1


So und nun mal das sshd_config file :)
Code: Alles auswählen
 default value.

#Port 22
Protocol 2
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable support for the deprecated 'gssapi' authentication
# mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic' mechanism is included
# in this release. The use of 'gssapi' is deprecated due to the presence of
# potential man-in-the-middle attacks, which 'gssapi-with-mic' is not susceptible to.
#GSSAPIEnableMITMAttack no

# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication' and 'PermitEmptyPasswords'
UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem       sftp    /usr/lib/ssh/sftp-server



Gruß
Finn
Benutzeravatar
neuromancer
Neuling
Neuling
 
Beiträge: 3
Registriert: Do Jun 24, 2004 18:37
Wohnort: Flensburg

Beitragvon Trekkie » Do Jun 24, 2004 21:37

Code: Alles auswählen
debug1: Trying private key: /home/finn/.ssh/identity
debug3: no such identity: /home/finn/.ssh/identity
debug1: Trying private key: /home/finn/.ssh/id_rsa
debug3: no such identity: /home/finn/.ssh/id_rsa
debug1: Trying private key: /home/finn/.ssh/id_dsa
debug3: no such identity: /home/finn/.ssh/id_dsa



tja das sagt eindeutig das er nicht mit nem public Key probiert, da er sokal keinen privaten gefunden hat !!!

generier mal einen mit "ssh-genkey -t dsa" das macht dir nen DSA key

der teilt das auf in

~/.ssh/id_dsa - Private key
~/.ssh/id_dsa.pub - public key

Jan
Benutzeravatar
Trekkie
LUG Flensburg
LUG Flensburg
 
Beiträge: 129
Registriert: Mo Apr 08, 2002 1:00
Wohnort: Flensburg

Beitragvon Gast » Do Jun 24, 2004 21:56

Habe ich gerade nochmal gemacht,
die Dateien liegen auch im Verzeichnis auf dem Server
(mein rechner).

/home/finn/.ssh
-rw-r--r-- 1 finn users 1204 2004-06-24 22:54 authorized_keys2
-rw------- 1 finn users 736 2004-06-24 22:53 id_dsa
-rw-r--r-- 1 finn users 602 2004-06-24 22:53 id_dsa.pub

Habe dann nochmal den ssh mit dem Paramter -vvvv gemacht
und bekomme wieder das Ergebnis.

debug1: Next authentication method: publickey
debug1: Trying private key: /home/finn/.ssh/identity
debug3: no such identity: /home/finn/.ssh/identity
debug1: Trying private key: /home/finn/.ssh/id_rsa
debug3: no such identity: /home/finn/.ssh/id_rsa
debug1: Trying private key: /home/finn/.ssh/id_dsa
debug3: no such identity: /home/finn/.ssh/id_dsa

Habt Ihr noch einen Tip?

Finn
Gast
 

Beitragvon Gast » Sa Feb 18, 2006 15:48

Trekkie hat geschrieben:
Code: Alles auswählen
debug1: Trying private key: /home/finn/.ssh/identity
debug3: no such identity: /home/finn/.ssh/identity
debug1: Trying private key: /home/finn/.ssh/id_rsa
debug3: no such identity: /home/finn/.ssh/id_rsa
debug1: Trying private key: /home/finn/.ssh/id_dsa
debug3: no such identity: /home/finn/.ssh/id_dsa



tja das sagt eindeutig das er nicht mit nem public Key probiert, da er sokal keinen privaten gefunden hat !!!

generier mal einen mit "ssh-genkey -t dsa" das macht dir nen DSA key

der teilt das auf in

~/.ssh/id_dsa - Private key
~/.ssh/id_dsa.pub - public key

Jan


Das ist "ssh-keygen", nicht ssh-genkey.
Gast
 


Zurück zu Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast