[gelöst]Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
nephilim
Beiträge: 39
Registriert: 06.03.2017 18:11:50

[gelöst]Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Beitrag von nephilim » 08.04.2018 08:42:09

Hallo zusammen,

ich versuche von einem Server auf einen anderen automatisiert mit root zuzugreifen, ohne Passwort eingeben zu müssen. Das ist nur zu Testzwecken und ich weiß, dass ich das nicht in real machen sollte und weiß um alle damit zusammenhängenden Gefahren. Ich teste es ausschließlich im heimischen Netz. Es geht mir in diesem Thread nur darum, es technisch zu meistern.

Ich schaffe es einfach nicht unter Stretch. Mit Jessie war das kein Problem. Ich glaube, ich mache in der /etc/ssh/sshd_config etwas faslch.

Das ist das Ziel: Server 1 soll auf Server 2 ohne Passwortabfrage automatisch zugreifen können mittels:

Code: Alles auswählen

ssh root@server
Ich habe auf Server 2 das folgende File mit dem public key erstellt und die erforderliche Berechtigung (600) vergeben:

Code: Alles auswählen

root@server2:~/.ssh# pwd
/root/.ssh
root@server2:~/.ssh# ls -alF
total 12
drwxr-xr-x 2 root root 4096 Mar 12 11:38 ./
drwx------ 4 root root 4096 Feb 21 19:33 ../
-rw------- 1 root root  416 Mar 12 11:31 authorized_keys
Ich habe dann auf Server 2 in der /etc/ssh/sshd_config folgende Werte gesetzt:

Code: Alles auswählen

PermitRootLogin without-password
PubkeyAuthentication yes

Code: Alles auswählen

root@server2:/etc/ssh# ls -alF
total 596
drwxr-xr-x  2 root root   4096 Apr  8 08:39 ./
drwxr-xr-x 98 root root   4096 Feb 21 17:48 ../
-rw-r--r--  1 root root 553122 Jun 18  2017 moduli
-rw-r--r--  1 root root   1723 Jun 18  2017 ssh_config
-rw-------  1 root root   3295 Apr  8 08:03 sshd_config
Hat jemand vielleicht eine Idee, was ich falsch mache?

Danke im Voraus.

LG // neph
Zuletzt geändert von nephilim am 24.08.2018 15:43:23, insgesamt 1-mal geändert.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Beitrag von mat6937 » 08.04.2018 09:24:24

nephilim hat geschrieben: ↑ zum Beitrag ↑
08.04.2018 08:42:09
Ich schaffe es einfach nicht unter Stretch. Mit Jessie war das kein Problem.

Code: Alles auswählen

ssh root@server
Wie sind die Ausgaben von:

Code: Alles auswählen

ssh -vvv root@server
?

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Beitrag von ingo2 » 12.04.2018 21:53:40

nephilim hat geschrieben: ↑ zum Beitrag ↑
08.04.2018 08:42:09
Ich habe dann auf Server 2 in der /etc/ssh/sshd_config folgende Werte gesetzt:

Code: Alles auswählen

PermitRootLogin without-password
PubkeyAuthentication yes
Ich weiß nicht, ob "PermitRootLogin without-password" unter Stretch noch funktioniert. Ich habe hier z.B. einen Mini-Server, da habe ich vom lokalen Netz aus den root-login mit folgendem Eintrag am Ende der sshd.config erlaubt:

Code: Alles auswählen

Match Address 192.168.xy.0/24  (oder auch nur die IP von deinen einzelnen Host/Server2)
	PasswordAuthentication yes
	PermitRootLogin yes
Probier das mal, und wenn es klappt kannst du ja die PasswordAuthentication wieder abschalten bzw. auf einen keyfile umstellen.

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Beitrag von ThorstenS » 13.04.2018 07:01:01

Du benutzt sicherlich noch einen alten DSA-key. Erzeug dir ein neues Schlüsselpaar - dann wird es gehen:
ssh-keygen -o -a 100 -t ed25519 -C "Mein neuer Key"
Edit:
Deine Rechte von ~/.ssh sind nicht i.O. ssh -vv hätte dir das auch sagen können. Abhilfe:
chmod 0700 ~/.ssh

nephilim
Beiträge: 39
Registriert: 06.03.2017 18:11:50

Re: Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Beitrag von nephilim » 24.08.2018 08:20:52

Ich ahbe jetzt alles das ausprobiert, was hier steht. Es hilft leider nichts. :-(

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Beitrag von bluestar » 24.08.2018 10:45:32

was sagt denn auf dem Server /var/log/auth.log ?

nephilim
Beiträge: 39
Registriert: 06.03.2017 18:11:50

Re: [gelöst]Schlüsselpaarbasierte Anmeldung geht nicht mit Stretch

Beitrag von nephilim » 24.08.2018 15:56:45

Hallo zusammen,

die Lösung ist:

in der /etc/ssh/sshd_config die folgenden Werte auf dem Server setzen:
  • PermitRootLogin without-password
  • PubkeyAuthentication yes
  • AuthorizedKeysFile %h/.ssh/authorized_keys %h/.ssh/authorized_keys2
dann, den öffentlichen Schlüssel (RSA) in /root/.ssh/authorized_keys2 packen, wie in https://debian-administration.org/artic ... th_OpenSSH beschrieben...
The contents of the keyfile will be appended to the file ~/.ssh/authorized_keys2 for RSA keys, and ~/.ssh/authorised_keys for the older DSA key types.
und mit Berechtigung 600 versehen. Wichtig ist dabei scheinbar, dass der gesamte Schlüssel in einer Zeile steht:

Code: Alles auswählen

ssh-rsa langerschlüssel nutzer@client
.

Mit diesem Setup läuft es dann jetzt.

Danke für all die Anregungen.

LG // neph

Antworten