[GELÖST] ssh-Login ohne Passwort schlägt fehl

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Diani
Beiträge: 13
Registriert: 20.01.2018 10:16:51

[GELÖST] ssh-Login ohne Passwort schlägt fehl

Beitrag von Diani » 03.02.2018 16:04:08

Hallo.

seit ich Debian Stretch auf meinen Maschinen verwende, klappt der passwortfreie SSH-Login nihct mehr.
Ich habe zwei Maschinen 192.168.1.1 und 192.168.1.12, hier soll der root zwecks Backup und Datei-Synchronisation jeweils sich während eines Cronjobs auf der anderen Maschine einloggen können.

Ich habe auf beiden Maschinen jeweils folgende Procedure durch geführt:
192.168.1.12:

Code: Alles auswählen

# ssh-keygen -t dsa
# cat ~/.ssh/*.pub | ssh -p 52001 root@192.168.1.1 'umask 077; cat >>.ssh/authorized_keys'
192.168.1.1:

Code: Alles auswählen

# ssh-keygen -t dsa
# cat ~/.ssh/*.pub | ssh -p 52012 root@192.168.1.12 'umask 077; cat >>.ssh/authorized_keys'
Dann wird aber von beiden Rechnern immer noch das Passwort abgefragt:

Code: Alles auswählen

# ssh -p 52001 root@192.168.1.1
# root@192.168.1.1's password:

# ssh -p 52012 root@192.168.1.12
# root@192.168.1.12's password:
Hat sich gegen Debian Jessie bei Stretch etwas in der Konfiguration verändert? Oder ist der gesamte Prozess inzwischen komplett anders?

Gruss
Diani
Zuletzt geändert von Diani am 04.02.2018 10:07:58, insgesamt 1-mal geändert.

Benutzeravatar
cosinus
Beiträge: 189
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von cosinus » 03.02.2018 16:28:13

Hi,

Code: Alles auswählen

ssh-copy-id root@host
könnte einiges vereinfachen...

Diani
Beiträge: 13
Registriert: 20.01.2018 10:16:51

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von Diani » 03.02.2018 16:36:15

Ich kenn den Befehl und habe ich auch bereits ausprobiert

Code: Alles auswählen

ssh-copy-id -p 52012 root@192.168.1.12
Das ändert aber nichts daran, dass ich dann immer noch das Passwort eingeben muss. Bei "ssh-keygen -t dsa" hatte ich übrigens kein Passwort eingegeben.

eggy
Beiträge: 1556
Registriert: 10.05.2008 11:23:50

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von eggy » 03.02.2018 16:46:01

wenns mit nem anderen Nutzer klappt, dann ist wohl der login per ssh für root verboten (permitrootlogin oder sowas in der sshd.conf)

Cae
Moderator
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von Cae » 03.02.2018 17:16:48

Pruefe per ssh -v, ob denn tatsaechlich der Key geladen und verwendet wird. Interessant sind vor allem die Zeilen um

Code: Alles auswählen

debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
herum. Ausserdem weisst das serverseitige /var/log/auth.log auf Fehler hin.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Diani
Beiträge: 13
Registriert: 20.01.2018 10:16:51

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von Diani » 03.02.2018 17:37:11

Den "permitrootlogin" setze ich bereits während der Installation auf "yes", weil den wie erwähnt benötige. Aber im direkten Vergleich mit einer Jessie-Installation sehe ich jetzt folgende Unterschiede:

Stretch:

Code: Alles auswählen

debug1: Skipping ssh-dss key /root/.ssh/id_dsa - not in PubkeyAcceptedKeyTypes
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_ecdsa
debug1: Trying private key: /root/.ssh/id_ed25519
debug1: Next authentication method: password
und jessie, wo der Login ohne Passwort klappt:

Code: Alles auswählen

debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Offering DSA public key: /root/.ssh/id_dsa
debug1: Server accepts key: pkalg ssh-dss blen 433
debug1: key_parse_private2: missing begin marker
debug1: read PEM private key done: type DSA
debug1: Authentication succeeded (publickey).
Authenticated to 192.168.1.2 ([192.168.1.2]:52202).
Also vielleicht doch eine geänderte Einstellung in der sshd.conf gegenüber Jessie?

thoerb
Beiträge: 952
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von thoerb » 03.02.2018 17:42:03

Diani hat geschrieben: ↑ zum Beitrag ↑
03.02.2018 17:37:11
Also vielleicht doch eine geänderte Einstellung in der sshd.conf gegenüber Jessie?
Falls du ein dist-upgrade gemacht hast, ist das gut möglich. Dann hast du ja sicher ein Backup von der alten Datei. Was hält dich davon ab einmal nachzuschauen, ob sich irgendwas geändert hat?

Diani
Beiträge: 13
Registriert: 20.01.2018 10:16:51

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von Diani » 03.02.2018 17:46:08

thoerb hat geschrieben: ↑ zum Beitrag ↑
03.02.2018 17:42:03
Diani hat geschrieben: ↑ zum Beitrag ↑
03.02.2018 17:37:11
Also vielleicht doch eine geänderte Einstellung in der sshd.conf gegenüber Jessie?
Falls du ein dist-upgrade gemacht hast, ist das gut möglich. Dann hast du ja sicher ein Backup von der alten Datei. Was hält dich davon ab einmal nachzuschauen, ob sich irgendwas geändert hat?
Leider nein, das sind jedes Mal ganz neu aufgesetzte Maschinen auf einem KVM-Host. Aber ich stimme Dir zu, ich mache mal ein diff zwischen den Dateien beider Versionen.

Cae
Moderator
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von Cae » 04.02.2018 08:19:41

Dein Jessie verwendet offenbar noch den id_dsa-Key, waehrend er auf Stretch bereits vor Verwendung ausgeschlossen wurde. Der entsprechende Hinweis auf [1] steht auch dabei, wahrscheinlich hat sich der Default der clientseitigen globalen /etc/ssh/ssh_config geaendert. Es hat schon einen Grund, dass man DSA-Keys nicht mehr verwenden will, die empfohlene Loesung waere also, dass du ein neues (ECDSA-)Keypair erstellst und verteilst.

Gruss Cae

[1] https://manpages.debian.org/stretch/ope ... .5.en.html
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Diani
Beiträge: 13
Registriert: 20.01.2018 10:16:51

Re: ssh-Login ohne Passwort schlägt fehl

Beitrag von Diani » 04.02.2018 10:07:34

Vielen Dank Cae,

das war die entscheidende Information, die ich nicht gehabt hatte. Jetzt geht es wieder wie gehabt :D .

Grüße

Diani

Antworten