Rechteproblem in ~.ssh

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
MegaV0lt
Beiträge: 163
Registriert: 21.11.2011 11:16:07
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Rechteproblem in ~.ssh

Beitrag von MegaV0lt » 03.09.2017 10:51:55

Irgendwie habe ich mir die rechte in ~.ssh verbogen.

Code: Alles auswählen

The authenticity of host 'hp-t610 (192.168.178.79)' can't be established.
ECDSA key fingerprint is SHA256:/w24w9kobBXriJSMslEm+nxOSqgnFNbYV2rHeJFMFAQ.
Are you sure you want to continue connecting (yes/no)? yes
Failed to add the host to the list of known hosts (/home/darkwing/.ssh/known_hosts).
Wie sieht das normalerweise aus?

Code: Alles auswählen

root auf HP-T610 am 03.09.2017 10:42 
[~] # ll ~/.ssh
insgesamt 16K
-rw-r--r-- 1 root root 1,2K Apr 24 09:11 authorized_keys
-rw------- 1 root root 1,7K Sep 14  2016 id_rsa
-rw-r--r-- 1 root root  395 Sep 14  2016 id_rsa.pub
-rw-r--r-- 1 root root 1,8K Apr 20 09:53 known_hosts
Und lokal auf meinem Mint-PC:

Code: Alles auswählen

darkwing@darkwing-pc /tmp $ ll ~/.ssh
insgesamt 24K
drwxr-xr-x  2 darkwing darkwing 4,0K Sep  3 10:42 ./
drwxr-xr-x 60 darkwing darkwing 4,0K Aug 27 17:05 ../
-r--------  1 darkwing darkwing  113 Sep  3 10:41 config
-r--------  1 darkwing darkwing 1,7K Apr 22 15:30 id_rsa
-r--------  1 darkwing darkwing  402 Apr 22 15:30 id_rsa.pub
-r--------  1 darkwing darkwing 1,7K Aug 14 08:04 known_hosts
"Das Internet? Gibt's diesen Blödsinn immer noch?"
[Homer Simpson], Sicherheitsinspektor im Kernkraftwerk Springfield.

DeletedUserReAsG

Re: Rechteproblem in ~.ssh

Beitrag von DeletedUserReAsG » 03.09.2017 10:56:27

Die Files unter /home/darkwing/.ssh/ gehören üblicherweise dem User darkwing. Allerdings rufst du ls offensichtlich im ~ von root auf – und das zeigt natürlich die Files unter /root/.shh/ – ist wohl nicht, was du suchst.
Die Files sind readonly gesetzt. Du solltest es für den User beschreibbar setzen, dann wird’s auch funktionieren.

Benutzeravatar
MegaV0lt
Beiträge: 163
Registriert: 21.11.2011 11:16:07
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Rechteproblem in ~.ssh

Beitrag von MegaV0lt » 03.09.2017 11:45:43

Ich habe die known_hosts jetz mal auf 644 gesetzt. Das readonly kam von der Aktion als Mint sich wegen zu hoher rechte der id.rsa aufgeregt hat. Leider habe ich dann alle auf readonly gesetz...

Mit 644 klappt es jetzt:

Code: Alles auswählen

darkwing@darkwing-pc ~/.ssh $ chmod 644 ./known_hosts 
darkwing@darkwing-pc ~/.ssh $ ll
insgesamt 24K
drwxr-xr-x  2 darkwing darkwing 4,0K Sep  3 10:42 ./
drwxr-xr-x 60 darkwing darkwing 4,0K Aug 27 17:05 ../
-r--------  1 darkwing darkwing  113 Sep  3 10:41 config
-r--------  1 darkwing darkwing 1,7K Apr 22 15:30 id_rsa
-r--------  1 darkwing darkwing  402 Apr 22 15:30 id_rsa.pub
-rw-r--r--  1 darkwing darkwing 1,7K Aug 14 08:04 known_hosts
"Das Internet? Gibt's diesen Blödsinn immer noch?"
[Homer Simpson], Sicherheitsinspektor im Kernkraftwerk Springfield.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Rechteproblem in ~.ssh

Beitrag von MSfree » 03.09.2017 12:25:33

MegaV0lt hat geschrieben: ↑ zum Beitrag ↑
03.09.2017 11:45:43

Code: Alles auswählen

darkwing@darkwing-pc ~/.ssh $ ll
insgesamt 24K
drwxr-xr-x  2 darkwing darkwing 4,0K Sep  3 10:42 ./
drwxr-xr-x 60 darkwing darkwing 4,0K Aug 27 17:05 ../
-r--------  1 darkwing darkwing  113 Sep  3 10:41 config
-r--------  1 darkwing darkwing 1,7K Apr 22 15:30 id_rsa
-r--------  1 darkwing darkwing  402 Apr 22 15:30 id_rsa.pub
-rw-r--r--  1 darkwing darkwing 1,7K Aug 14 08:04 known_hosts
Das Verzeichnis ~/.ssh sollte mit chmod 700 ~/.ssh ausschließlich für den Besitzer zugreifbar sein.

Die Dateien config und id_rsa (und alle weiteren private Keys) dürfen nur für den Besitzer lesbar und optional schreibbar sein. Wenn weitere Rechte vergeben werden, nörgelt SSH und verweigert das Login.

id_rsa.pub hat in ~/.ssh eigentlich nichts zu suchen. Üblicherweise werden die public Keys in die Datei authorized_keys eingetragen.

Benno007
Beiträge: 111
Registriert: 26.01.2016 19:25:05

Re: Rechteproblem in ~.ssh

Beitrag von Benno007 » 03.09.2017 22:25:13

Doch, id_rsa.pub ist der notwendige öffentliche Key als Gegenstück zum privaten key id_rsa.

owl102

Re: Rechteproblem in ~.ssh

Beitrag von owl102 » 04.09.2017 08:23:04

Benno007 hat geschrieben: ↑ zum Beitrag ↑
03.09.2017 22:25:13
Doch, id_rsa.pub ist der notwendige öffentliche Key als Gegenstück zum privaten key id_rsa.
Deswegen muß er ja nicht in ~/.ssh liegen.

Aber irgendwo auf der eigenen Platte hat man den nun'mal in der Regel (auch) liegen, und ssh-keygen legt den dort per default hin. Warum auch nicht? (Man könnte ihn natürlich auch wegwerfen und nur bei Bedarf mit "ssh-keygen -y" wieder hervorzaubern.)

Mir ist auch nicht ganz klar, was MSfree dagegen einzuwenden hat.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Rechteproblem in ~.ssh

Beitrag von MSfree » 04.09.2017 11:56:39

Benno007 hat geschrieben: ↑ zum Beitrag ↑
03.09.2017 22:25:13
Doch, id_rsa.pub ist der notwendige öffentliche Key als Gegenstück zum privaten key id_rsa.
Ja, das ist mir schon klar. Allerdings ist es keine gute Idee, den public Key (id_rsa.pub) und den private Key (id_rsa) auf dem selben Rechner aufzubewahren. Der public key gehört auf den Rechner, der den SSH-Server spielt, der private Key gehört auf den Clientrechner. Auf keinen der beiden Rechner sollten beide Key gelagert werden, denn sonst ist das Schlüsselsystem für Angreifer komplertt ausgehebelt.

Dazu kommt, daß der public Key üblicherweise in die Datei ~/.ssh/authorized_keys auf dem Server gehört, mit id_rsa.pub fängt der SSH-Server nämlich normalerweise nichts an.

Ansonsten kann man die Key-Paare natürlich auf einen USB-Stick speichern und diesen in den Giftschrank sperren, damit kein Unbefugter an das Paar kommt.

owl102

Re: Rechteproblem in ~.ssh

Beitrag von owl102 » 04.09.2017 13:10:13

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.09.2017 11:56:39
Allerdings ist es keine gute Idee, den public Key (id_rsa.pub) und den private Key (id_rsa) auf dem selben Rechner aufzubewahren.
Das ist doch völlig egal. Wenn man den Private Key hat, hat man automatisch auch den Public Key. (ssh-keygen -y, wie schon geschrieben)
Auf keinen der beiden Rechner sollten beide Key gelagert werden, denn sonst ist das Schlüsselsystem für Angreifer komplertt ausgehebelt.
Auf dem eigenen Rechner liegen aber immer beide Keys, kombiniert in Form des Private Keys. id_rsa.pub als Datei wegzuwerfen bringt IMHO gar nichts.
Zuletzt geändert von owl102 am 04.09.2017 13:45:26, insgesamt 1-mal geändert.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Rechteproblem in ~.ssh

Beitrag von uname » 04.09.2017 13:12:01

Code: Alles auswählen

chmod 700 ~/.ssh

Antworten