Backup rsnapshot via ssh ohne passwort

[gugus]

Servus
An sich möchte ich nur ein Backup automatisieren und auf einen anderen Server sichern. Nachdem ich folgende Schritte ausgeführt habe:

Fileserver als root:

Code: Alles auswählen

nano /etc/ssh/sshd.conf -> PermitRootLogin yes 

und restart von sshd

Backup Server als root:

Code: Alles auswählen

ssh-keygen -t rsa 
ssh-copy-id -i ~/.ssh/id_rsa.pub root@fileserver

werde ich dennoch nach einem passwort gefragt:

Code: Alles auswählen

ssh root@fileserver
root@fileserver password: 

Ich habe gefühlte tausend Seiten durchgelesen, bin aber mehr verwirrt als schlauer ....

Gruss
gugus

[ThorstenS]

· erzeug den key bitte nochmal mit -b 4096
· wenn nur Rechner ab debian/jessie involviert sind mit ssh-keygen -o -a 100 -t ed25519 - siehe https://blog.g3rt.nl/upgrade-your-ssh-keys.html
· den login versuchst du schon mit ssh -i ~/.ssh/id_rsa root@fileserver?
· Ruf den ssh-login mal mit -v auf und schau dir die Fehlermeldung an.
· Vllt. hast du auch einfach nur den Ordner fileserver:/root/.ssh mit den Rechten 755 angelegt und nicht mit (0700/drwx------).

Lies dir das in Ruhe durch:
https://wiki.ubuntuusers.de/SSH/#Authen ... ublic-Keys

P.S.
Wenn der Login über den key funktioniert, stell den PermitRootLogin Eintrag in der sshd_config wieder auf without-password zurück.

[gugus]

Servus
Danke für die Tips
Habe alles wie beschrieben durchgeführt.

Code: Alles auswählen

root@sonne:~# ssh -v -i ~/.ssh/sonne-id_rsa.pub root@pluto
OpenSSH_6.7p1 Debian-5+deb8u3, OpenSSL 1.0.1t  3 May 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to pluto [192.168.1.90] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/sonne-id_rsa.pub type 4
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/sonne-id_rsa.pub-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.7p1 Debian-5+deb8u3
debug1: match: OpenSSH_6.7p1 Debian-5+deb8u3 pat OpenSSH* compat 0x04000000
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr umac-64-etm@openssh.com none
debug1: kex: client->server aes128-ctr umac-64-etm@openssh.com none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 2b:6a:f0:86:f2:0f:b4:07:35:eb:87:fa:d3:fe:8a:9b
debug1: Host 'pluto' is known and matches the ECDSA host key.
debug1: Found key in /root/.ssh/known_hosts:1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering ED25519 public key: /root/.ssh/sonne-id_rsa.pub
debug1: Server accepts key: pkalg ssh-ed25519 blen 51
debug1: key_load_private_type: incorrect passphrase supplied to decrypt private key
Enter passphrase for key '/root/.ssh/sonne-id_rsa.pub':

Hmmmm ...

debug1: key_load_private_type: incorrect passphrase supplied to decrypt private key

Dabei habe ich gar kein passwort angegeben beim erstellen des Keys

[heisenberg]

ssh -v -i ~/.ssh/sonne-id_rsa.pub root@pluto

Die Option -i hat mir heimlich zugeflüstert, dass Sie lieber den Private-Key hätte statt dem Public-Key.

[gugus]

Oh mann, das war es. Danke.
Da habe ich Stunden verbraten da ich der Meinung war dass mit dem Public Key eingeloggt werden muss.
und ich suche überall rum ...

[heisenberg]

...Da habe ich Stunden verbraten...

Das macht gar nichts. Freu' Dich! Du hast dabei intensiv Dein Linux-System wieder ein paar Stückchen besser kennen gelernt. Um welches Problem es dabei geht ist eigentlich egal.

[ThorstenS]

supi
jetzt schaust du dir noch man ssh_config an und schreibst dir eine eigene ~/.ssh/config, damit in Zukunft ssh pluto ausreicht.

Als Inspiration

Code: Alles auswählen

# https://github.com/jlevy/the-art-of-command-line
TCPKeepAlive=yes
ServerAliveInterval=15
ServerAliveCountMax=6
Compression=yes
# ssh $HOST -Oexit beendet den ControlMaster
ControlMaster auto
ControlPath ~/.ssh/master-%r@%h
#ControlPersist yes
ControlPersist 120m

host gitlab.com
    User git
    IdentityFile  ~/.ssh/gitlab-com.key
    PreferredAuthentications publickey

host pi raspi raspberrypi.speedport.ip
    hostname raspberrypi.local
    User root
    ForwardX11 yes

host workstation
    User ThorstenS
    Ciphers aes256-ctr
    MACs umac-64@openssh.com
    IdentityFile ~/.ssh/id_ed25519
    ProxyCommand ssh gwuser@gw.firmendomain.tld nc workstation.intern.firmendomain.tld 22

[gugus]

Supie, genau das habe ich vor.

Es hat mir auch keine Ruhe gelassen und ich habe nochmals nachgesehen.
Ich weiss jetzt warum ich dem Teil aufgesessen bin. Bein kopieren des Schlüssels gibt man ja -i und den pub-Key an
"ssh-copy-id -i /home/username/.ssh/id_rsa.pub root@server" - klar ne.

Nun ja, man lernt bekanntlich nie aus

An sich könnte ich jetzt die ganze Sache mit einem benutzer account aufsetzen und nur rsync zulassen....

Mal sehen, danke nochmals
Gruss
gugus

[gugus]

Nachtrag
@heisenberg, hätte ich den Namen auf Standard gelassen (~/.ssh/id_ed25519) müsste ich diesen auch nicht angeben da standard setting, cool.

The default is ~/.ssh/identity for protocol version 1, and ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 and ~/.ssh/id_rsa for protocol version 2.