kanotix.com

Netzwerk - Einrichtung von SSH und NX über Public Key
bevo - 23.11.2006, 11:28 Uhr
Titel: Einrichtung von SSH und NX über Public Key
Hallo,
ich versuche eine Verbindung wie im WIKI beschreiben einzurichten...bisher ohne Erfolg.

Das Einrichten des Keys
Code:
ssh-keygen -t dsa -b 2048
fordert eine Änderung auf 1024bit an, was aber m.E. nicht kritisch ist.

Vorgehen am Server wie beschrieben bis zur Eingabe
Code:
ssh -X <ip-adresse>

das Passwort wird nicht abgefragt obwohl es erforderlich ist und es erscheint die Meldung
Code:
Permission denied (publickey,keyboard-interactive).


Der Key auf dem Server entspricht dem erstellten pub-key.

Bernd
Raider700 - 23.11.2006, 12:40 Uhr
Titel: Re: Einrichtung von SSH und NX über Public Key
bevo hat folgendes geschrieben::
Hallo,
ich versuche eine Verbindung wie im WIKI beschreiben einzurichten...bisher ohne Erfolg.

Das Einrichten des Keys
Code:
ssh-keygen -t dsa -b 2048
fordert eine Änderung auf 1024bit an, was aber m.E. nicht kritisch ist.

Stimmt - müsste "ssh-keygen -t rsa -b 2048" heißen. Die Dateien die erstellt werden sind dann id_rsa und id_rsa.pub. Habs im Wiki angepasst.
Zitat:

Vorgehen am Server wie beschrieben bis zur Eingabe
Code:
ssh -X <ip-adresse>

das Passwort wird nicht abgefragt obwohl es erforderlich ist und es erscheint die Meldung
Code:
Permission denied (publickey,keyboard-interactive).


Der Key auf dem Server entspricht dem erstellten pub-key.

Bernd

Die Meldung Permission denied wäre soweit richtig. Das beweist, dass man sich ohne Key nicht mehr einloggen kann. Da es bei dir nicht funktioniert musst du beim eintragen des Keys am Server einen Fehler gemacht haben.

Dein id_dsa befindet sich in deinem Homeverzeichnis unter .ssh?

Der Inhalt deiner id_dsa.pub wurde am Server in die Datei authorized_keys importiert und hat am Ende noch eine Leerzeile?

Wenn ja stimmt der Link von der Datei /etc/ssh/sshd_config auf die authorized_keys Datei? Weil normalerweise steht da ~/.ssh/authorized_keys was auf das Homeverzeichnis des Users weist.
Am Server ist es teilweise feiner eine Fixe und vom User unabhängige Datei zu haben. So wie is im Wiki steht kannst du dich mit jedem User über ssh und dem Passwort der Keydatei einloggen. z.b.: ich@<server>.at oder du@<server|.at haben dann das gleiche Passwort.
Wenn du das nicht willst braucht man in jedem home eine authorized_keys Datei. Dafür kann man Verschiedene Keys für verschiedene User verwenden.
slh - 23.11.2006, 13:15 Uhr
Titel: RE: Re: Einrichtung von SSH und NX über Public Key
Das in dem Wikibeitrag beschriebene Vorgehen bzgl. FreeNX ist eklatant unsicher und sollte umgehend rückgängig gemacht werden!
Raider700 - 23.11.2006, 13:53 Uhr
Titel: RE: Re: Einrichtung von SSH und NX über Public Key
Slh, hab gerade deine Änderungen im Wiki gelesen. Danke fürs aufdecken der Sicherheitslücke.

Wäre interessant zu wissen wie man sonst Nx über SSH und Public-Key zum laufen bringt. Ich hab einige Foren durchforsten müssen um auf eine Lösung zu kommen die funktioniert.

Die Kopplung von Nx an die normalen Keys hab ich nicht zusammengebracht ...
bevo - 23.11.2006, 15:43 Uhr
Titel: Re: Einrichtung von SSH und NX über Public Key
Raider700 hat folgendes geschrieben::
bevo hat folgendes geschrieben::
Hallo,
ich versuche eine Verbindung wie im WIKI beschreiben einzurichten...bisher ohne Erfolg.

Das Einrichten des Keys
Code:
ssh-keygen -t dsa -b 2048
fordert eine Änderung auf 1024bit an, was aber m.E. nicht kritisch ist.

Stimmt - müsste "ssh-keygen -t rsa -b 2048" heißen. Die Dateien die erstellt werden sind dann id_rsa und id_rsa.pub. Habs im Wiki angepasst.
Zitat:

Vorgehen am Server wie beschrieben bis zur Eingabe
Code:
ssh -X <ip-adresse>

das Passwort wird nicht abgefragt obwohl es erforderlich ist und es erscheint die Meldung
Code:
Permission denied (publickey,keyboard-interactive).


Der Key auf dem Server entspricht dem erstellten pub-key.

Bernd

Die Meldung Permission denied wäre soweit richtig. Das beweist, dass man sich ohne Key nicht mehr einloggen kann. Da es bei dir nicht funktioniert musst du beim eintragen des Keys am Server einen Fehler gemacht haben.

Dein id_dsa befindet sich in deinem Homeverzeichnis unter .ssh?


Ja, auf dem Client

Zitat:
Der Inhalt deiner id_dsa.pub wurde am Server in die Datei authorized_keys importiert und hat am Ende noch eine Leerzeile?


Ja, wie sehe ich ob da eine Leezeile dranhängt?


Zitat:
Wenn ja stimmt der Link von der Datei /etc/ssh/sshd_config auf die authorized_keys Datei? Weil normalerweise steht da ~/.ssh/authorized_keys was auf das Homeverzeichnis des Users
weist.


Ja, /etc/ssh/authorized_keys, ohne Punkt vor ssh.

Zitat:
Am Server ist es teilweise feiner eine Fixe und vom User unabhängige Datei zu haben. So wie is im Wiki steht kannst du dich mit jedem User über ssh und dem Passwort der Keydatei einloggen. z.b.: ich@<server>.at oder du@<server|.at haben dann das gleiche Passwort.
Wenn du das nicht willst braucht man in jedem home eine authorized_keys Datei. Dafür kann man Verschiedene Keys für verschiedene User verwenden.


Mit dem Hinweis von slh kann ich im Moment nichts anfangen, aber ich will erstmal dieses Problem beseitigen.

Bernd
Raider700 - 23.11.2006, 21:01 Uhr
Titel:
Hmm also ich gehe mal davon aus, dass du keinen Rechtschreibfehler hast.
(Nicht so wie ich wo ich dann 3 Tage lang probier ...)

Hier wäre einmal meine funktionierende Konfiguration:

Zitat:

# Package generated configuration file
# See the sshd(Cool manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# ...but breaks Pam auth via kbdint, so we have to turn it off
# Use PAM authentication via keyboard-interactive so PAM modules can
# properly interface with the user (off due to PrivSep)
#PAMAuthenticationViaKbdInt no
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin no
StrictModes no

RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile /etc/ssh/authorized_keys
#AuthorizedKeysFile %h/.ssh/authorized_keys

# rhosts authentication should not be used
#RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no


# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM no


Vieleicht findest du deinen Fehler wenn nicht poste mal deine Config.

------------------------

Bei der /etc/ssh/authorized_keys kannst du eine leere Schlusszeile leicht erkennen. Einfach mit einen Editor nach unten Fahren wenn es nach der letzten Textzeile noch weiter geht passt es.

Natürlich kannst du auch ohne schauen einfach eine weitere Leerzeile eintragen:

Zitat:

echo >> /etc/ssh/authorized_keys

(Hab nach echo 3 leerzeichen)

-------------------------

Ein cat meiner /etc/ssh/authorized_keys sieht so aus: (Zeichenkette des Keys gekürtzt ...)

Zitat:

# Raider700 - Desktop
ssh-dss AAAAB3Nz...s9dlis4kMLh2nGlqPSA0H2zgw= raider700@PC-2000
# Raider700 - Leptop
ssh-rsa AAAAB3Nza...8sXq0wK05ECYcMncVw== raider700@Laptop-Vaio



Ich hoffe das hilft dir weiter. Meine Konfiguration vom Nx poste ich jetzt nicht da sie ja laut Slh unsicher ist.
bevo - 24.11.2006, 08:33 Uhr
Titel:
Ich habe die Config abgeglichen...keine Unterschiede.

Leerzeile in /etc/ssh/authorized_keys vorhanden,

/etc/ssh/authorized_keys sieht so aus: (Zeichenkette des Keys gekürtzt ...)

ssh-dss
AAAAB3NzaC1kc3MAAACBAKmN1xlyYhFikgy6b2JPAmXpbffkP
8o2y0Y= bevo@volkmx09

der Unterschied hier ist die erste Zeile, da steht nur ssh-dss.

Bernd
Raider700 - 24.11.2006, 13:17 Uhr
Titel:
Irgendwo muss sich da ein kleiner Fehler eingeschlichen haben, denn die Meldung "Permission denied (publickey,keyboard-interactive)." zeigt ja, dass es funktioniert und nur der Key nicht stimmt.

Der Key steht aber schon in einer Zeile bei dir?

-------------------------------------------------

Ansonsten lass es uns mal von der anderen Seite probieren. Angenommen der Server ist in Ordnung, dann muss der Client etwas haben.

Dazu würd ich folgendes vorschalgen:

Lösch am Client einfach mal alle Einträge in der ~/.ssh/known_hosts. Beim nächsten mal Verbinden wird er wieder wie beim ersten mal nachfragen.

Dann verbinde dich mit dem direkten Usernames des entfernten PC's:
Wobei der User nicht root sein darf - der ist ja nicht mehr zulässig.

ssh -x <user>@<ip>


In der Datei /etc/ssh/ssh_config hab ich nichts ändern müssen. Zur Not kannst du aber damit etwas experimentieren ...
Ansonsten fällt mir nichts ein was sein kann.
bevo - 24.11.2006, 15:47 Uhr
Titel:
@Raider700

ich habe nochmal den Key erneuert, aber das hat auch nichts gebracht. Allerdings steht bei mir ssh-rsa in der ersten Zeile separat in der zweiten steht dann der Schlüssel als eine Zeile. Ein einzelnes Leerzeichen läßt sich dort nicht eingeben, sondern immer nur ein Zeilenumbruch.

Der zweite Vorschlag endet so:

Code:
bevo@volkmx09:~$ ssh -x charly@192.168.0.3
The authenticity of host '192.168.03 (192.168.0.3)' can't be established.
RSA key fingerprint is a4:33:56:8d:e9:0a:1d:75:31:58:51:5c:dc:2b:71:9a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.03,192.168.0.3' (RSA) to the list of known hosts.
Permission denied (publickey,keyboard-interactive).
bevo@volkmx09:~$


Ich denke ich versuche mal mit pure NX, vielleicht tickt das.

Danke

Bernd
Raider700 - 25.11.2006, 10:32 Uhr
Titel:
Also das reine Nx mit normalen Passwort SSH geht sofort. Nur is dann die Sicherheit nur so hoch wie das Passwort.

Außerdem hab ich grad Probiert die Keys auf 3 Zeilen zu trennen. Anschießend konnte ich mich nicht mehr einloggen.
Offne die Datei nochmal mit dem "mcedit" und bring alles auf eine Zeile.

Wenns das nicht ist kann ich dir leider nicht helfen.

lg
Raider700
flippo99 - 07.12.2006, 10:54 Uhr
Titel: Re: RE: Re: Einrichtung von SSH und NX über Public Key
Raider700 hat folgendes geschrieben::
Slh, hab gerade deine Änderungen im Wiki gelesen. Danke fürs aufdecken der Sicherheitslücke.

Wäre interessant zu wissen wie man sonst Nx über SSH und Public-Key zum laufen bringt. Ich hab einige Foren durchforsten müssen um auf eine Lösung zu kommen die funktioniert.

Die Kopplung von Nx an die normalen Keys hab ich nicht zusammengebracht ...


Ich bin ein wenig verunsichert - wo liegt denn die eklatante Sicherheitslücke in der beschriebenen Vorgehensweise?

Der Login ohne Passwort - nur mittels Private Key - sollte doch prinzipiell sicherer sein, als PAM zuzulassen, oder?

Welche Alternative gibt es denn, falls man ein Passwort-Login unterbinden möchte?

Vielen Dank im Voraus für Eure Antworten
Alle Zeiten sind GMT + 1 Stunde
PNphpBB2 © 2003-2007