(gelöst) ssh Anmelden ohne Passwort

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
guennid

(gelöst) ssh Anmelden ohne Passwort

Beitrag von guennid » 10.01.2018 08:28:44

Ich hatte das vorfünf Jahren mal mit Hilfe von TRex angelegt (1), aber aus welchen Gründen auch immer, funktioniert das nicht mehr. Hier (2) habe ich dann eine neuere (?) Anleitung gefunden, von der ich dieses durchgeführt habe:

Code: Alles auswählen

a@A> ssh-keygen -t rsa
a@A> cat ~/.ssh/id_rsa.pub | ssh b@B 'cat >> .ssh/authorized_keys'
Das funktioniert, ich konnte mich anschließend als b auf B ohne Passwort einloggen.
Dann wollte ich dieselbe ~/.ssh/id_rsa.pub auf die gleiche Weise, also mit

Code: Alles auswählen

a@A> cat ~/.ssh/id_rsa.pub | ssh b@C 'cat >> .ssh/authorized_keys'
auf Rechner C übertragen (auf dem Rechner C existiert ebenfalls ein Benutzer namens b) und das funktioniert nicht. Ich kann mich anschließend als b auf C anmelden, muss aber weiterhin das Passwort eingeben.

Frage also, wie stelle ich es an, dass ich mich auf mehreren Rechnern als "einfacher" Benutzer ohne Passwort einloggen kann?

(1) viewtopic.php?f=18&t=136588&hilit=schiessmichtot
(2) https://mathias-kettner.de/lw_ssh_anmel ... swort.html
Zuletzt geändert von guennid am 10.01.2018 10:36:37, insgesamt 1-mal geändert.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: ssh Anmelden ohne Passwort

Beitrag von uname » 10.01.2018 08:36:33

Sehen denn /home/b/.ssh/authorized_keys auf B und C identisch aus?
Wo ist der Unterschied bei /var/log/auth.log von B und C?
Unterscheiden sich evtl. die Konfigurationen /etc/ssh/sshd_config von B und C?
Gibt es clientseitig bei A Unterschiede beim Aufruf von ssh -v b@B bzw. ssh -v b@C?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: ssh Anmelden ohne Passwort

Beitrag von MSfree » 10.01.2018 08:37:29

Melde dich mal mit

Code: Alles auswählen

ssh -vv b@c
an und schau dir die Ausgaben an. Vermutlich ist beim SSH-Server auf C noch Login mit Passwort erlaubt/aktiv.

guennid

Re: ssh Anmelden ohne Passwort

Beitrag von guennid » 10.01.2018 08:50:31

Oh ha!
Ich habe mal mit MSFrees Tip angefangen, schien mir der kürzere Weg, aber das ist auch 'ne Menge Holz. :wink:

Kann ich das irgendwie gescheit greppen, und vor allem, falls zutreffend: wie stell' ich's ab.

die letzen Zeilen sind:

Code: Alles auswählen

debug2: key: /home/[a]/.ssh/id_rsa (0x55933e455900)
debug2: key: /home/[a]/.ssh/id_dsa ((nil))
debug2: key: /home/[a]/.ssh/id_ecdsa ((nil))
debug2: key: /home/[a]/.ssh/id_ed25519 ((nil))
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/[a]/.ssh/id_rsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/[a]/.ssh/id_dsa
debug1: Trying private key: /home/[a]/.ssh/id_ecdsa
debug1: Trying private key: /home/[a]/.ssh/id_ed25519
debug2: we did not send a packet, disable method

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: ssh Anmelden ohne Passwort

Beitrag von MSfree » 10.01.2018 09:17:18

Der scheint ja alle möglichen Schlüssel unter ~/.ssh durchzuprobieren.
Du kannst auch die Benutzung eine bestimmten Schlüssels über die Kommandozeile erzwingen:

Code: Alles auswählen

ssh -vv b@c -i ~/.ssh/id_rsa
Oder auch über einen Eintrag in der ~/.ssh/config

Code: Alles auswählen

Host b
  IdentityFile ~/.ssh/id_rsa

guennid

Re: ssh Anmelden ohne Passwort

Beitrag von guennid » 10.01.2018 09:31:29

In beiden Fällen keine Chance, das PW loszuwerden.
uname hat geschrieben:Gibt es clientseitig bei A Unterschiede beim Aufruf von ssh -v b@B bzw. ssh -v b@C?
Habe ich auch mal versucht, aber ich ertrinke auch hier in den Ausgaben, die ich nicht zu deuten weiß.

Wenn ich einen neuen User anlege, wird das passwortlose login akzeptiert.
Ich lösche jetzt mal den User und lege ihn neu an.

Ist wohl nicht so das Wahre, aber es hat funktioniert! :wink:

owl102

Re: ssh Anmelden ohne Passwort

Beitrag von owl102 » 10.01.2018 10:26:09

BTW:
guennid hat geschrieben: ↑ zum Beitrag ↑
10.01.2018 08:28:44

Code: Alles auswählen

cat ~/.ssh/id_rsa.pub | ssh b@B 'cat >> .ssh/authorized_keys'
Dafür gibt es ssh-copy-id:

Code: Alles auswählen

ssh-copy-id b@B
guennid hat geschrieben: ↑ zum Beitrag ↑
10.01.2018 09:31:29
Wenn ich einen neuen User anlege, wird das passwortlose login akzeptiert.
Vermutlich waren die Rechte von .ssh und/oder .ssh/authorized_keys falsch, dann wird die Datei nicht akzeptiert.

Noch ein Grund mehr, ssh-copy-id zu verwenden, denn das legt Verzeichnis/Datei automatisch mit den korrekten Rechten an.

guennid

Re: ssh Anmelden ohne Passwort

Beitrag von guennid » 10.01.2018 10:36:09

owl102 hat geschrieben:Dafür gibt es ssh-copy-id:
Kenn' ich - aus dem fünf Jahre zurückliegenden Link. Und eine Wiederholung dessen, was TRex mir damals geraten hatte, hatte ich vor Wochen bereits erfolglos versucht. Und da Neues ja prinzipiell besser ist :wink:, habe ich mich auf die Suche gemacht und mit den zitierten Kommandos Erfolg gehabt. Ohne auch jetzt zu wissen, warum. :wink:

Schön wäre halt gewesen, eine relativ schnelle Lösung via Korrektur der ssh-Daten zu finden.

Aber sei's drum, danke und erledigt!

Antworten