ssh не спрашивает парольную фразу у новых ключей

smith7	# 12 лет, 1 месяц назад
Темы: 24 Сообщения: 67 Участник с: 12 февраля 2013	Почему-то ssh не спрашивает парольную фразу у новых ключей. Проверял на arch и xubuntu https://gist.github.com/5004587 Ничего понять не могу, почему старый ключик просит пароль, новый нет.

kurych	# 12 лет, 1 месяц назад
Темы: 0 Сообщения: 1395 Участник с: 06 ноября 2011	Одно из трех: 1. Либо на вопрос "Enter passphrase (empty for no passphrase):" Вы ничего не ввели и ключ остался незапаролен, 2. либо в графической среде запущен ssh-agent и он закешировал ключ, когда Вы его создавали. 3. либо одно из двух.

smith7	# 12 лет, 1 месяц назад
Темы: 24 Сообщения: 67 Участник с: 12 февраля 2013	user@dspt:~$ killall -9 ssh-agent ssh-agent: процесс не найден user@dspt:~$ ssh user@192.168.1.4 -i /home/user/.ssh/id_dsa user@192.168.1.4's password: Permission denied, please try again. user@192.168.1.4's password: Permission denied, please try again. user@192.168.1.4's password: Permission denied (publickey,password). user@dspt:~$ user@dspt:~$ user@dspt:~$ ssh user@192.168.1.4 -i /home/user/.ssh/id_rsa Enter passphrase for key '/home/user/.ssh/id_rsa': user@192.168.1.4's password: Permission denied, please try again. user@192.168.1.4's password: Ключ создавал новый, с другим именем. На двух компах сразу? Бред. Возможно что-то обновили? магия?

smith7

# 12 лет, 1 месяц назад

Темы: 24

Сообщения: 67

Участник с: 12 февраля 2013

user@dspt:~$ killall -9 ssh-agent
ssh-agent: процесс не найден
user@dspt:~$ ssh user@192.168.1.4 -i /home/user/.ssh/id_dsa
user@192.168.1.4's password:
Permission denied, please try again.
user@192.168.1.4's password:
Permission denied, please try again.
user@192.168.1.4's password:
Permission denied (publickey,password).
user@dspt:~$
user@dspt:~$
user@dspt:~$ ssh user@192.168.1.4 -i /home/user/.ssh/id_rsa
Enter passphrase for key '/home/user/.ssh/id_rsa':
user@192.168.1.4's password:
Permission denied, please try again.
user@192.168.1.4's password:

Ключ создавал новый, с другим именем.
На двух компах сразу?
Бред. Возможно что-то обновили? магия?

smith7	# 12 лет, 1 месяц назад
Темы: 24 Сообщения: 67 Участник с: 12 февраля 2013	Скачал puttygen.exe запустил в wine, создал ключ, экспортнул. И вдруг магия, пароль ключика спрашивается. Создаешь ключик с помощью ssh-keygen rsa \|\| dsa Пароль ключа не спрашивается. Решил проверить, создал ключ с помощью ssh-keygen, потом поменяел его формат в putty, и сделал экспорт в open-ssh Оригинал ssh-keygen https://gist.github.com/5005379 ssh-keygen -> puttygen -> export-open-ssh https://gist.github.com/5005502 Пароль ключа 123456 У всех все работает?

smith7

# 12 лет, 1 месяц назад

Темы: 24

Сообщения: 67

Участник с: 12 февраля 2013

Скачал puttygen.exe запустил в wine, создал ключ, экспортнул.
И вдруг магия, пароль ключика спрашивается.
Создаешь ключик с помощью ssh-keygen rsa || dsa
Пароль ключа не спрашивается.

Решил проверить, создал ключ с помощью ssh-keygen, потом поменяел его формат в putty, и сделал экспорт в open-ssh
Оригинал
ssh-keygen
https://gist.github.com/5005379

ssh-keygen -> puttygen -> export-open-ssh
https://gist.github.com/5005502

Пароль ключа 123456

У всех все работает?

smith7	# 12 лет, 1 месяц назад
Темы: 24 Сообщения: 67 Участник с: 12 февраля 2013	kurych Одно из трех: 1. Либо на вопрос "Enter passphrase (empty for no passphrase):" Вы ничего не ввели и ключ остался незапаролен, 2. либо в графической среде запущен ssh-agent и он закешировал ключ, когда Вы его создавали. 3. либо одно из двух. 1) Создал ключик на xubuntu, перетащик на флешке в arch, пароль не просит ключ :) (следствие вариант 2 отлетает) 2) puttygen просит для ключика пароль, пароль есть. (вариант 1 отлетает) По этому OpenSSH_6.1p1, OpenSSL 1.0.1e 11 Feb 2013 Linux qlan 3.7.9-1-ARCH #1 SMP PREEMPT Mon Feb 18 02:13:30 EET 2013 x86_64 GNU/Linux Какие новости надо прочитать?! Чтобы ключи создавать в OpenSSH_6.1p1, OpenSSL 1.0.1e 11 Feb 2013

smith7

# 12 лет, 1 месяц назад

Темы: 24

Сообщения: 67

Участник с: 12 февраля 2013

kurych
Одно из трех:
1. Либо на вопрос "Enter passphrase (empty for no passphrase):" Вы ничего не ввели и ключ остался незапаролен,
2. либо в графической среде запущен ssh-agent и он закешировал ключ, когда Вы его создавали.
3. либо одно из двух.

1) Создал ключик на xubuntu, перетащик на флешке в arch, пароль не просит ключ :) (следствие вариант 2 отлетает)
2) puttygen просит для ключика пароль, пароль есть. (вариант 1 отлетает)
По этому
OpenSSH_6.1p1, OpenSSL 1.0.1e 11 Feb 2013
Linux qlan 3.7.9-1-ARCH #1 SMP PREEMPT Mon Feb 18 02:13:30 EET 2013 x86_64 GNU/Linux
Какие новости надо прочитать?!
Чтобы ключи создавать в OpenSSH_6.1p1, OpenSSL 1.0.1e 11 Feb 2013

kurych	# 12 лет, 1 месяц назад
Темы: 0 Сообщения: 1395 Участник с: 06 ноября 2011	Еще одна робкая попытка принять участие в конкурсе ясновидящих: новый ключ Вы генерите в формате DSA. Возможно, что для учетной записи user на хосте 192.168.1.4 нет ни одного сохраненного открытого ключа (Вы же не экспортировали его туда?), и поэтому удаленная сторона даже не пытается запросить аутентификацию по dsa-ключу. Если нострадамус из меня не получился, то воспользуйтесь командой ssh с ключом -v (можно -vv, -vvv для увеличения информативности). И, скорее всего, мы все увидим своими глазами.

kurych

# 12 лет, 1 месяц назад

Темы: 0

Сообщения: 1395

Участник с: 06 ноября 2011

Еще одна робкая попытка принять участие в конкурсе ясновидящих: новый ключ Вы генерите в формате DSA. Возможно, что для учетной записи user на хосте 192.168.1.4 нет ни одного сохраненного открытого ключа (Вы же не экспортировали его туда?), и поэтому удаленная сторона даже не пытается запросить аутентификацию по dsa-ключу.
Если нострадамус из меня не получился, то воспользуйтесь командой ssh с ключом -v (можно -vv, -vvv для увеличения информативности). И, скорее всего, мы все увидим своими глазами.

sirocco	# 12 лет, 1 месяц назад
Темы: 29 Сообщения: 2506 Участник с: 25 июля 2007	Это не может быть связано с новостями про SSHD rootkit? Арча тоже касается.

smith7	# 12 лет, 1 месяц назад
Темы: 24 Сообщения: 67 Участник с: 12 февраля 2013	Это связано с последними обновлениями. Переустновил на обоих системах, всё что связано с ssh, и удалил /etc/ssh теперь появляется окошко(!) для ввода пароля "keychain"(наверно для него пароль просится) Почему-то в локальной сети работает, на VPS копирую ключ, и он просит пароль. (логи ssh -v) https://gist.github.com/5012147 Я нахожусь за NAT, только в этом разница. Порт пробросить надо Оо ?

smith7

# 12 лет, 1 месяц назад

Темы: 24

Сообщения: 67

Участник с: 12 февраля 2013

Это связано с последними обновлениями.
Переустновил на обоих системах, всё что связано с ssh, и удалил /etc/ssh
теперь появляется окошко(!) для ввода пароля "keychain"(наверно для него пароль просится)

Почему-то в локальной сети работает, на VPS копирую ключ, и он просит пароль.
(логи ssh -v) https://gist.github.com/5012147
Я нахожусь за NAT, только в этом разница. Порт пробросить надо Оо ?

kurych	# 12 лет, 1 месяц назад
Темы: 0 Сообщения: 1395 Участник с: 06 ноября 2011	Во-первых, в приведенном логе и клиент и сервер - debian или ubuntu. debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-3ubuntu1 debug1: match: OpenSSH_6.0p1 Debian-3ubuntu1 pat OpenSSH* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_6.0p1 Debian-3ubuntu1 Может, там и есть какая-то специфика, призванная помочь любой домохозяйке настроить безопасный удаленный доступ. Хотя я лично в этом сомневаюсь и считаю, что истинная причина того, что не запрашивается кодовая фраза к ключу в том, что ssh не находит нужным его использование в данном случае. Посмотрите внимательно на процесс: 1. Вы создаете пару ключей: private и public. (сейчас не важно, запаролены они кодовой фразой или нет) 2. Что бы он использовался при авторизации, необходимо, что бы public был прописан на удаленном хосте в файле ~/.ssh/authorized_keys 3. Если там нет соответствующего ключа, то и локальный приватный не будет использоваться. А следовательно, никакой кодовой фразы запрашиваться не будет, и авторизация от publickey перейдет к стадии password. Что мы и наблюдаем в логах. Никаких дополнительных портов для авторизации ssh, естественно, пробрасывать не надо. ps: я только что проверил все шаги на удаленных машинах. Все работает так, как описано.

kurych

# 12 лет, 1 месяц назад

Темы: 0

Сообщения: 1395

Участник с: 06 ноября 2011

Во-первых, в приведенном логе и клиент и сервер - debian или ubuntu.

debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-3ubuntu1
debug1: match: OpenSSH_6.0p1 Debian-3ubuntu1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.0p1 Debian-3ubuntu1

Может, там и есть какая-то специфика, призванная помочь любой домохозяйке настроить безопасный удаленный доступ.
Хотя я лично в этом сомневаюсь и считаю, что истинная причина того, что не запрашивается кодовая фраза к ключу в том, что ssh не находит нужным его использование в данном случае.
Посмотрите внимательно на процесс:
1. Вы создаете пару ключей: private и public. (сейчас не важно, запаролены они кодовой фразой или нет)
2. Что бы он использовался при авторизации, необходимо, что бы public был прописан на удаленном хосте в файле ~/.ssh/authorized_keys
3. Если там нет соответствующего ключа, то и локальный приватный не будет использоваться. А следовательно, никакой кодовой фразы запрашиваться не будет, и авторизация от publickey перейдет к стадии password. Что мы и наблюдаем в логах.
Никаких дополнительных портов для авторизации ssh, естественно, пробрасывать не надо.
ps: я только что проверил все шаги на удаленных машинах. Все работает так, как описано.

smith7	# 12 лет, 1 месяц назад
Темы: 24 Сообщения: 67 Участник с: 12 февраля 2013	Ключ скопирован с помощью ssh-copy-id, с конфиге стоит RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys В ~/.ssh/authorized_keys Есть публичные ключи! С какого перепуга у меня ключи пароль от ключей стал спрашивать GUI xfce! На VPS авторизоваться не могу скопировал конфиг ssh c локальной машины (перед этим проверил все) rsync -Saz /etc/ssh/sshd_config root@1.1.1.1:/etc/ssh/sshd_config На локальной машине все работает, в интернетах ключ не спрашивается? лог https://gist.github.com/anonymous/5013573#file-fff-txt-L56 Почему если перейти в tty1, вместе пароля к ключю, стало вдруг внезапно пароль.

smith7

# 12 лет, 1 месяц назад

Темы: 24

Сообщения: 67

Участник с: 12 февраля 2013

Ключ скопирован с помощью ssh-copy-id, с конфиге стоит
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

В ~/.ssh/authorized_keys
Есть публичные ключи!

С какого перепуга у меня ключи пароль от ключей стал спрашивать GUI xfce!
На VPS авторизоваться не могу скопировал конфиг ssh c локальной машины (перед этим проверил все)
rsync -Saz /etc/ssh/sshd_config root@1.1.1.1:/etc/ssh/sshd_config

На локальной машине все работает, в интернетах ключ не спрашивается?
лог https://gist.github.com/anonymous/5013573#file-fff-txt-L56

Почему если перейти в tty1, вместе пароля к ключю, стало вдруг внезапно пароль.