Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Ssh veza dva servera bez passworda

[es] :: Linux :: Ssh veza dva servera bez passworda

Strane: 1 2

[ Pregleda: 3583 | Odgovora: 32 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 279



+163 Profil

icon Re: Ssh veza dva servera bez passworda28.04.2019. u 23:20 - pre 51 dana i 4h
Citat:

Authorized_keys:
-rw-r--r-- 1 root root 0 Apr 28 11:48 /root/.ssh/authorized_keys
-rw-rw-r-- 1 user user 393 Apr 28 20:36 /home/user/.ssh/authorized_keys
Sve u svemu, deluje mi kao višak, a ne manjak prava ...

Jesi li ikada cuo za onu poznatu "Less is more"? :-)
Bas u tom visku i jeste stvar ... /home/user/.ssh/authorized_keys ti je otvoren za upisivanje za grupu (permisije su ti 664). Bolje postavi oba fajla da ti budu:
chmod 600 /root/.ssh/authorized_keys /home/user/.ssh/authorized_keys


Proof of Concept ... iliti takticko-pokazna vezba

Ako su permisije na authorized_keys '400', ssh sa serera na samog sebe koriscenjem public key auth - radi:
[beri@vps ~]$ ls -al .ssh/authorized_keys
-r-------- 1 beri other 230 Apr 15 2018 .ssh/authorized_keys
[beri@vps ~]$ ssh 0 -l beri
Last login: Mon Apr 29 00:11:16 2019 from localhost
[beri@vps ~]$ exit
Connection to 0 closed.


Ako promenimo permisije - stavimo npr. 660:
[beri@vps ~]$ chmod 660 .ssh/authorized_keys ; ls -al .ssh/authorized_keys
-rw-rw---- 1 beri other 230 Apr 15 2018 .ssh/authorized_keys
[beri@vps ~]$ ssh 0 -l beri
beri@0's password:


Kao sto vidis, trazi mi password. Ako vratim na 400:

[beri@vps ~]$ chmod 400 .ssh/authorized_keys ; ls -al .ssh/authorized_keys
-r-------- 1 beri other 230 Apr 15 2018 .ssh/authorized_keys
[beri@vps ~]$ !ssh
ssh 0 -l beri
Last login: Mon Apr 29 00:12:15 2019 from localhost
[beri@vps ~]$ logout


To opet radi.

Usput, takodje proveri:

# find /root /home -name id_rsa

On mora da bude strogo postavljen na 400 ili 600, inace imas isti problem - funkcija safe_path() u 'misc.c' vraca -1 (izvor: OpenSSH Source @ GitHub)

Ako ti je okruzenje 'trusted' - tj. ako ti je mreza zatvorena, niko ne moze da joj pridje sa spoljne strane i ne plasis se uljeza mozes da u /etc/ssh/sshd_config na strani servera ukines striktnu kontrolu vlasnistva i permisija, tako sto ces da stavis:

StrictModes no

Ovo samo ako nikako ne uspes da se izboris sa problemom. Ali niposto ako su ti serveri izlozeni spoljnom svetu.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 2510
109.72.51.*



+551 Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 03:43 - pre 51 dana
Citat:
marxer:
Citat:
Branimir Maksimovic:
Sta kaze :
Code:

ssh -o PreferredAuthentications=publickey itd...


ssh konfiguracija sa serverske strane bi trebala da je OK pošto se 30 drugih uređaja povezuje bez ikakvih problema. Problem mi je samo sa Ubuntu-to-Ubuntu kombinacijom


Da al tu ce da stane i da javi gresku. Zato probaj da forsiras publickey autentifikaciju. Nebitno da li je problem na klijentu ili serveru.

press any key to continue or any other to quit....
 
Odgovor na temu

b416

Član broj: 6031
Poruke: 6
*.credit-agricole.fr.



Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 12:29 - pre 50 dana i 15h
Citat:
marxer:

2. Na udaljenom samo ponovo uradio ssh-keygen kao user (ne kao sudo). Prepisao postojeći fajl. Koristim passphrase kod generisanja ključa


Pa normalno je da ti trazi password/passphrase ako ga uneses kad generises kljuc. Probaj ponovo, ali BEZ toga, samo lupi dvaput ENTER kad ti trazi passphrase i reseno.
 
Odgovor na temu

marxer
Novi Sad

Član broj: 152687
Poruke: 56
*.static.isp.telekom.rs.



+1 Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 12:48 - pre 50 dana i 15h
Evo i razlika između uspešnog (publickey) i neuspešnog (password) logovanja. Test sa više lokacija je pokazao da je (ipak) problem do računara koji uspostavlja vezu. Ne utiče distribucija,verzija, kernel, verzija SSH itd (kao što se i dalo pretpostaviti - sada su i testovi to dokazali)

Izvukao sam samo razlike u debug-u ali nisam uspeo za pošetak da pronađem razliku između id_rsa type 0 i 1. Ako neko odavde može da shvati grešku, spasao me je

Ovaj računar se uloguje pomoću pulickey

user@radi:~$ ssh -vvv user@central.server.domen.rs
OpenSSH_7.2p2 Ubuntu-4ubuntu2.8, OpenSSL 1.0.2g 1 Mar 2016
...
debug1: identity file /home/marxer/.ssh/id_rsa type 1
...
debug1: Enabling compatibility mode for protocol 2.0
...
debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.8
...
debug2: key: /home/user/.ssh/id_rsa (0x55e542fa5a40)
...
debug3: send packet: type 5
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512>
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
...


Odavde dalje je već praktično ulogovan pomoću publickey

Ovako izgleda debug neuspešnog povezivanja, tj kada tražu password
user@neradi:~/.ssh$ ssh -vvv user@central.server.domen.rs
OpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n 7 Dec 2017
...
debug1: identity file /home/marxer/.ssh/id_rsa type 0
...
debug1: Local version string SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3
...
debug2: key: /home/user/.ssh/id_rsa (0x55ca70934630)
...
debug3: send packet: type 5
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: password
debug3: start over, passed a different list password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup password
debug3: remaining preferred: ,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

Iskustvo je srazmerno količini uništene opreme ...
 
Odgovor na temu

marxer
Novi Sad

Član broj: 152687
Poruke: 56
*.static.isp.telekom.rs.



+1 Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 13:15 - pre 50 dana i 14h
Testiranje tokom noći je potvrdilo da problem definitivno nije sa strane servera. Sa više servera kojima se bavim sam se povezao standardnom procedurom (ssh-keygen, ssh-copy-id, ssh user@server). Jedino se ovaj jedan buni.
Btw provreio sam i authorized_keys je sa pravima 600. Takođe, na klijentu je id_rsa takođe sa pravima 600

Za taktičko-pokaznu vežbu ocena 5 :-) Ovakve stvari su mi nekada jako nedostajale (a i sada ponekad ...)


Citat:
B3R1:
Citat:

Authorized_keys:
-rw-r--r-- 1 root root 0 Apr 28 11:48 /root/.ssh/authorized_keys
-rw-rw-r-- 1 user user 393 Apr 28 20:36 /home/user/.ssh/authorized_keys
Sve u svemu, deluje mi kao višak, a ne manjak prava ...

Jesi li ikada cuo za onu poznatu "Less is more"? :-)
Bas u tom visku i jeste stvar ... /home/user/.ssh/authorized_keys ti je otvoren za upisivanje za grupu (permisije su ti 664). Bolje postavi oba fajla da ti budu:
chmod 600 /root/.ssh/authorized_keys /home/user/.ssh/authorized_keys




Proof of Concept ... iliti takticko-pokazna vezba

Ako su permisije na authorized_keys '400', ssh sa serera na samog sebe koriscenjem public key auth - radi:
[beri@vps ~]$ ls -al .ssh/authorized_keys
-r-------- 1 beri other 230 Apr 15 2018 .ssh/authorized_keys
[beri@vps ~]$ ssh 0 -l beri
Last login: Mon Apr 29 00:11:16 2019 from localhost
[beri@vps ~]$ exit
Connection to 0 closed.


Ako promenimo permisije - stavimo npr. 660:
[beri@vps ~]$ chmod 660 .ssh/authorized_keys ; ls -al .ssh/authorized_keys
-rw-rw---- 1 beri other 230 Apr 15 2018 .ssh/authorized_keys
[beri@vps ~]$ ssh 0 -l beri
beri@0's password:


Kao sto vidis, trazi mi password. Ako vratim na 400:

[beri@vps ~]$ chmod 400 .ssh/authorized_keys ; ls -al .ssh/authorized_keys
-r-------- 1 beri other 230 Apr 15 2018 .ssh/authorized_keys
[beri@vps ~]$ !ssh
ssh 0 -l beri
Last login: Mon Apr 29 00:12:15 2019 from localhost
[beri@vps ~]$ logout


To opet radi.

Usput, takodje proveri:

# find /root /home -name id_rsa

On mora da bude strogo postavljen na 400 ili 600, inace imas isti problem - funkcija safe_path() u 'misc.c' vraca -1 (izvor: OpenSSH Source @ GitHub)

Ako ti je okruzenje 'trusted' - tj. ako ti je mreza zatvorena, niko ne moze da joj pridje sa spoljne strane i ne plasis se uljeza mozes da u /etc/ssh/sshd_config na strani servera ukines striktnu kontrolu vlasnistva i permisija, tako sto ces da stavis:

StrictModes no

Ovo samo ako nikako ne uspes da se izboris sa problemom. Ali niposto ako su ti serveri izlozeni spoljnom svetu.


Iskustvo je srazmerno količini uništene opreme ...
 
Odgovor na temu

marxer
Novi Sad

Član broj: 152687
Poruke: 56
*.static.isp.telekom.rs.



+1 Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 13:19 - pre 50 dana i 14h
U situaciji kada sve radi kako treba, kod prvog logovanja traži passphrase ako je uneta prilikom generisanja ključa. Ovde ne traži passphrase nego password. Isto se ponaša i kada izgenerišem ključ bez passphrase. Testirano ...

Citat:
b416:
Citat:
marxer:

2. Na udaljenom samo ponovo uradio ssh-keygen kao user (ne kao sudo). Prepisao postojeći fajl. Koristim passphrase kod generisanja ključa


Pa normalno je da ti trazi password/passphrase ako ga uneses kad generises kljuc. Probaj ponovo, ali BEZ toga, samo lupi dvaput ENTER kad ti trazi passphrase i reseno.


Iskustvo je srazmerno količini uništene opreme ...
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 279



+163 Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 14:44 - pre 50 dana i 13h
Da vidimo - RADI:
debug1: identity file /home/marxer/.ssh/id_rsa type 1

NE RADI:
debug1: identity file /home/marxer/.ssh/id_rsa type 0


Pretraga na temu "id_rsa type" na Guglu dala je ovo ...
Taj tip je defnisan kao:

enum sshkey_types { KEY_RSA, KEY_DSA, KEY_ECDSA, KEY_ED25519, KEY_RSA_CERT, KEY_DSA_CERT, KEY_ECDSA_CERT, KEY_ED25519_CERT, KEY_XMSS, KEY_XMSS_CERT, KEY_UNSPEC};


U prvom slucaju koristis DSA kljuc. U drugom koristis RSA. Da li ti se privatni i javni kljuc uklapaju? Kada si generisao kljuc na tom Ubuntu klijentu i dobio id_rsa i id_rsa.pub, da li na serveru, u /home/user/.ssh/authorized_keys vidis sadrzaj 'id_rsa.pub'? Znam da si koristio ssh-copy-id, ali ko zna, mozda ga nije iskopirao to kako valja?

Nisi nam rekao sta pise u syslogu na serveru. Po defaultu on ne loguje mnogo informacija (severity >= info), ali to mozes da promenis tako sto u /etc/ssh/sshd_config stavis:

LogLevel DEBUG3
SyslogFacility AUTHPRIV

Restartuj sshdi probaj ponovo. Videces dosta poruka i negde ces vec shvatiti gde je problem.

A probaj sa tog problematicnog klijenta da uradis "ssh localhost" ... i ovo sto su ti ljudi vec savetovali, forsiraj pubkey auth:
ssh localhost -o 'PasswordAuthentication no'

ssh server -o 'PasswordAuthentication no'



[Ovu poruku je menjao B3R1 dana 29.04.2019. u 15:56 GMT+1]
 
Odgovor na temu

b416

Član broj: 6031
Poruke: 6
*.credit-agricole.fr.



Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 15:25 - pre 50 dana i 12h
Citat:
marxer:
U situaciji kada sve radi kako treba, kod prvog logovanja traži passphrase ako je uneta prilikom generisanja ključa. Ovde ne traži passphrase nego password. Isto se ponaša i kada izgenerišem ključ bez passphrase. Testirano ...

Citat:
b416:
Citat:
marxer:

2. Na udaljenom samo ponovo uradio ssh-keygen kao user (ne kao sudo). Prepisao postojeći fajl. Koristim passphrase kod generisanja ključa


Pa normalno je da ti trazi password/passphrase ako ga uneses kad generises kljuc. Probaj ponovo, ali BEZ toga, samo lupi dvaput ENTER kad ti trazi passphrase i reseno.



passphrase = password

Ako sam dobro ispratio, u ovim tvojim probama si imao situaciju kad sve radi osim sto ti trazi password, ovo moje se odnosilo na to.

Ako ikako mislis da to radi bez nadzora, tj da niko ne mora da ukucava password, najbolje resenje je da generises kljuc bez passphrase (ima i resenje da sistem pokupi password iz nekog fajla ali da ne komplikujemo). Tvoj sistem ima instaliran ssh-agent, pa on "pamti" kad ukucas password prvi put sve dok se ne izlogujes.

 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 2544



+6745 Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 20:12 - pre 50 dana i 7h
^
Koliko sam ja shvatio iz njegovog loga, nije mu trazen passphrase nego password kao sledeći način autentifikacije jer prethodni načini nisu uspeli.
Citat:

debug1: Authentications that can continue: password
debug3: start over, passed a different list password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup password
debug3: remaining preferred: ,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
user@central.server.domen.rs's password:
 
Odgovor na temu

b416

Član broj: 6031
Poruke: 6
*.164.26.93.rev.sfr.net.



Profil

icon Re: Ssh veza dva servera bez passworda29.04.2019. u 20:26 - pre 50 dana i 7h
U pravu si, prebrzo sam citao.
 
Odgovor na temu

marxer
Novi Sad

Član broj: 152687
Poruke: 56
*.markser.in.rs.



+1 Profil

icon Re: Ssh veza dva servera bez passworda30.04.2019. u 17:59 - pre 49 dana i 9h
Novi momenat je saznanje da kod klijenta postoji firewall! Moguće je da neki paket inspection nešto promeni u tranzitu. Cekam rezultate testiranja u lokalu ... Nastavak sledi
Iskustvo je srazmerno količini uništene opreme ...
 
Odgovor na temu

marxer
Novi Sad

Član broj: 152687
Poruke: 56
*.markser.in.rs.



+1 Profil

icon Re: Ssh veza dva servera bez passworda08.05.2019. u 17:59 - pre 41 dana i 9h
Konacno, u pitanju je bio firewall I ukljucena opcija SSL inspection. Ona nije dozvoljavala razmenu paketa koji bi autentifikovali klijenta i servera pa je, naravno, sledeci method autentifikacije bio password.

Zahvaljujem se svima koji su pokusali da mi pomognu da se izborim sa ovim problemom
Iskustvo je srazmerno količini uništene opreme ...
 
Odgovor na temu

Burgos
Nemanja Borić
Amazon Web Services
Berlin

Član broj: 12484
Poruke: 1893
..ynamic.kabel-deutschland.de.

Sajt: stackoverflow.com/users/1..


+467 Profil

icon Re: Ssh veza dva servera bez passworda08.05.2019. u 20:33 - pre 41 dana i 7h
Sjajna tema, sjajno rešenje - čestitam na upornosti!
 
Odgovor na temu

[es] :: Linux :: Ssh veza dva servera bez passworda

Strane: 1 2

[ Pregleda: 3583 | Odgovora: 32 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.