login mit key statt password

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • login mit key statt password

      Hey Forum, ich versuche seit ein paar Tagen, das Login auf Login mit Key, statt mit Password umzustellen, was ich schon mal vor langer Zeit am Laufen hatte.
      Die alte Konfig gibt es nicht mehr und die aktuellen Versuche scheitern, es wird immer nach Password gefragt.

      Ich habe mit Puttygen unter Windows einen rsa-pub und -private. Key erstellt. Den Pub habe ich in /home/root/.ssh/authorized:keys und in /etc/dropbear/authorized_keys eingefügt.
      Umd zum Test auch als id_rsa.pub in ~/.ssh abgelegt.

      das gleiche habe ich auch mit einem per dropbearkeygen erzeugten und konvertierten Key (für pageant unter Windows)
      Hier im Forum habe ich einen recht alten Thread zum Thema gefunden, der mich aber nicht weiterbringt.

      Alle o.g. Versuche bringen beim Login nur die Abfrage nach Password, keine Meldung bezüglich Key o.ä.

      Hat jemand das ans Laufen gebracht und verrät mir, wie?
      ACHTUNG!!!! Hier folgt eine Signatur:


      Die Benutzung der Suche ist NICHT verboten! D:

      "Hilfe!!!" ist kein sinnvoller Titel für einen neuen Thread, ebensowenig "VU+Zero" oder vergleichbares.

      Keine Hilfe ohne ausgefülltes Profil!
      Kein Netzwerksupport bei manueller IP-Adress-Vergabe :-)
      Kein Support bei portforwardings/ Portfreigaben

      Profil extra angepasst für die arme Emma, die sonst nichts im Leben hat :happy1:
    • Meine Vermutung: ist ein Permission-Problem.

      Ich nehme mal an, dass /home/root/.ssh/authorized:keys ein Tippfehler ist und du in Wirklichkeit /home/root/.ssh/authorized_keys benutzt? Also ohne Doppelpunkt? Weil: mit Doppelpunkt im Filenamen funktioniert das sicher nicht. Das File ist korrekt, laut Doku kannst du auch /etc/dropbear/authorized_keys benutzen; ich würde aber bei ersterem bleiben.


      Für dropbear dürfte dasselbe gelten wie für OpenSSH: OpenSSH ist sehr pingelig was die Permissions des Verzeichnisses angeht: muss 0700 (drwx------) sein, und ich meine, dass auch das authorized_keys nur 0600 (-rw-------) haben darf.

      Die Public-Keys im File authorized_keys müssen auch für Dropbear im OpenSSH-Format abgelegt sein; also aus Putty heraus den Public-Key in dem Format exportieren. Ein id_dropbear brauchst du nur, wenn du von der Box woanders hin mit SSH verbinden möchtest, ansonsten reicht dasa authorized_keys-File.

      Wenn's kein Permission-Problem ist, hilft Debugging mit strace weiter. Ich selber bin seit ein paar Jahren auf den Boxen nur noch mit OpenSSH unterwegs, aber dropbear hat bei mir auch immer funktioniert. Es fehlt halt sowas wie der sftp-server.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.
    • Ich habe das diese Woche mit zwei NAS-Systemen gemacht.
      Wenn die Verbindung mit den keys mal funktioniert, kann dann die Passwortabfrage über die Datei /etc/ssh/ssh_config deaktiviert werden.
      In der Datei die Zeile

      Quellcode

      1. # PasswordAuthentication yes
      auskommentieren und auf "no" setzen.
      The quadruple question mark should be used never. Never ever. Even if you are one question away from death or meeting Angela Lansbury, you should rather die than use that many question marks, and Angela would never approve anyway.
    • @rdamas Adlerauge! Klar ist das ein Tippfehler
      die /etc/dropbear/authorized_keys habe ich mal auf die ~/.ssh/authorized_keys verlinkt und auch mal je eine authorized_keys2 angelegt
      0700 auf /etc/dropbear/ und ~/.ssh habe ich ebenso gesetzt wie 0600 auf das File selbst.
      Die Keys habe ich jeweils im Putty-Fomat gelassen/angelegt, das konvertieren des mit dropbearkeygen angelegten Keys war der bisher letzte Versuch :)

      Was mich etwas irritiert, ist das format des Public_keys, sonst fängt der Key überall mit ssh-rsa an, bei den neuerstellten Keys nicht mehr. Hier habe ich den Key jeweils 2 mal eingefügt und einmal ssh-rsa vorangestellt.
      Einstellungen in Puttygen habe ich wie folgt gemacht:
      RSA 2048
      SSH2 RSA Key
      auch mit der neuesten Version von Puttygen



      strace kennt meine Ultimo4K nicht und ich auch nicht. Habe ich also zuerst installiert.
      wie würde ich strace verwenden?



      @bartali Die Option ändere ich natürlich erst, wenn der Login per Key läuft, bei dropbear ist das dann wohl in /etc/default/dropbear
      DROPBEAR_EXTRA_ARGS="-B" auf -s oder -g ändern



      Habe gerade nochmal ein Login versucht und jetzt folgende Meldun erhalten:
      Using username "root".
      Server refused our key
      root@mad99.mynetgear.com's password:
      Also hat er es per Key versucht.
      Jetzt muß ich nur noch alle meine Versuche mit den Keys aussortieren und klar Schiff machen :)


      Nachtrag: Irgendetwas funktioniert mit dem Pageant nicht, die Meldung mit dem Key bekomme ich nur, wenn ich in der Putty.conf ein Keyfile eintrage?
      ACHTUNG!!!! Hier folgt eine Signatur:


      Die Benutzung der Suche ist NICHT verboten! D:

      "Hilfe!!!" ist kein sinnvoller Titel für einen neuen Thread, ebensowenig "VU+Zero" oder vergleichbares.

      Keine Hilfe ohne ausgefülltes Profil!
      Kein Netzwerksupport bei manueller IP-Adress-Vergabe :-)
      Kein Support bei portforwardings/ Portfreigaben

      Profil extra angepasst für die arme Emma, die sonst nichts im Leben hat :happy1:

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von GaborDenes ()

    • Das Format der Keys in der authorized_keys Datei ist:
      - eine Zeile pro Key.
      - Format pro Key: durch Leerzeichen getrennt: Optionen, Key-Typ, Base64-kodierter Key, Kommentar; Optionen ist optional.
      - OpenSSH unterstützt die Key-Typen: sk-ecdsa-sha2-nistp256@openssh.com, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521, sk-ssh-ed25519@openssh.com, ssh-ed25519, ssh-dss, ssh-rsa - Dropbear wohl lange nicht alle davon, sondern mindestens ssh-rsa und wohl ssh-dss.

      Meine Keys sehen immer so aus: "ssh-rsa AAAAB3... rdamas@home"

      Mit strace kannst du mitloggen, was dropbear an System-Calls ausführt - also die Unterhaltung mit dem Kernel mitschneiden.

      Dafür klemmst du dich einfach an den Prozess, z.B. mit strace -f -s 256 -p <dropbear-prozess-id>, mit der zusätzlichen Option "-o prozesslog.txt" kannst du das auch in eine Datei speichern. Wenn strace gestartet ist, kannst du mal versuchen, dich mit ssh zu verbinden. strace kannst du mit Ctrl+C wieder stoppen.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von rdamas ()

    • Der Hinweis

      rdamas schrieb:

      eine Zeile pro Key.
      war wohl des Rätsels Lösung. Alles in eine Zeile gepackt, Dropbear neu gestartet und Login funktioniert, allerdings nur, wenn ich das Keyfile in der Puttyconf lade, nicht per pageant
      ACHTUNG!!!! Hier folgt eine Signatur:


      Die Benutzung der Suche ist NICHT verboten! D:

      "Hilfe!!!" ist kein sinnvoller Titel für einen neuen Thread, ebensowenig "VU+Zero" oder vergleichbares.

      Keine Hilfe ohne ausgefülltes Profil!
      Kein Netzwerksupport bei manueller IP-Adress-Vergabe :-)
      Kein Support bei portforwardings/ Portfreigaben

      Profil extra angepasst für die arme Emma, die sonst nichts im Leben hat :happy1:
    • Puttygen gerniert die Keyfiles im falschen Format.

      @GaborDenes
      Du kopierst den Public Key (id_rsa.pub) von Puttygen zur vu in das Verzeichnis /home/root/.ssh
      Dann an der VU anmelden und folgendes Script ausführen:

      cd /home/root/.ssh;echo -n 'ssh-rsa ' >> authorized_keys;grep -v 'PUBLIC KEY' id_rsa.pub | grep -v Comment | tr -d '\n' | tr -d '\r' >> authorized_keys; echo >> authorized_keys


      Dann funktioniert die Anmeldung auch mit Putty ohne Kennwort.


      Putty1.pngPutty2.pngPutty3.png

      EDIT:
      Hast es schon selbst hinbekommen :)
      Rechtschreibfehler sind beabsichtigt, sie fördern ein genaueres Lesen
      Debug Log aktivieren Putty Telnet Screenshots erstellen

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von hajeku123 ()

    • Danke für eure Unterstützung :thumbup:
      Was mich jetzt noch irritiert, ist das das Login nicht über den Pageant funktioniert, das hat früher problemlos geklappt. Aber wichtig ist erst einmal, das es überhaupt geht, jetzt kann ich das Login per Password deaktivieren.

      Na Klasse, jetzt beschwert sich KiTTy, das das key file zu neu ist Selbst mit 0.74.4.12 ?( , ok zurück zu putty

      Letzter Nachtrag:
      Ich habe mir jetzt ein neues Key-Paar generiert, mit dem alten puttygen 0.73, jetzt funktioniert auch der Pageant.
      K.A. ob da ein Bug im neuesten Puttygen0.76 drin ist, oder tatsächlich das Fileformat geändert wurde.
      ACHTUNG!!!! Hier folgt eine Signatur:


      Die Benutzung der Suche ist NICHT verboten! D:

      "Hilfe!!!" ist kein sinnvoller Titel für einen neuen Thread, ebensowenig "VU+Zero" oder vergleichbares.

      Keine Hilfe ohne ausgefülltes Profil!
      Kein Netzwerksupport bei manueller IP-Adress-Vergabe :-)
      Kein Support bei portforwardings/ Portfreigaben

      Profil extra angepasst für die arme Emma, die sonst nichts im Leben hat :happy1:

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von GaborDenes ()