Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: Axuu - 19.02.09 - klo:13.55
-
Oon yrittäny monien oppaiden avulla laittaa ssh kirjautumisen ilman salasanaa, mutta mistään en saa toimimaan
olen luonu avaimet ja kopioinu julkisen siitä authorized_keys nimiseks tiedostotks palvelimelle.
asetuksist olen pubkeyauthetication päälle sekä tiedoston siihen.
Mitä voisin vielä yrittää? (kirjautuminen toimii normil salasanal)
-
Hiukan lisätietoja kun antaisit asenteluistasi niin voisimme auttaa.
Miten tuon ssh-palvelimen asensit?
http://wiki.ubuntu-fi.org/ssh-palvelin ohjeen mukaanko, vai miten?
cat /etc/ssh/sshd_config
-
Moi,
hmm, haetkohan nyt tätä..
Aloita tällä:
[Teemu@localhost ~]$ ssh-keygen
Saat kyselyn mihin haluat tallentaa avaimen, oletus on hyvä, paina enter
Generating public/private rsa key pair.
Enter file in which to save the key (/home/Teemu/.ssh/id_rsa):
Mikäli olet jo luonut avaimen aikasemmin, kysellään haluatko ylikirjoittaa vanhan.. omantunnon mukaan.
/home/Teemu/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Seuraavaksi kysellään passphrase, jonka voi jättää tai olla jättämättä tyhjäksi.. jos jätät tyhjäksi, ei salasanaa kysellä, MUTTA, mikäli joku saa käsiinsä sinun id_rsa -avaimesi, on hänellä vapaa pääsy etäpalvelimeen!
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Jonka jälkeen avain onkin käyttövalmis..
Your identification has been saved in /home/Teemu/.ssh/id_rsa.
Your public key has been saved in /home/Teemu/.ssh/id_rsa.pub.
Seuraavaksi tuo id_rsa.pub pitää siirtää etäkoneelle, tiedostoon ~/.ssh/authorized_keys.
Mikäli tuo tiedosto on siellä jo olemassa, voit esim. käskyttää suoraan promptilta (HUOM! Ylikirjoittaa mahdollisesti jo olemassa olevat avaimet!)
[Teemu@localhost ~]$scp ~/.ssh/id_rsa.pub TUNNUS.ETAKONEELLA@ETAKONE:~/.ssh/authorized_keys
Lopuksi tuon authorized_keys tiedoston oikeudet pitää vielä käydä muuttamassa,
ssh TUNNUS_ETAKONEELLA@ETAKONE "chmod 600 ~/.ssh/authorized_keys"
Lopuksi voit testata toimiiko homma
[Teemu@localhost ~]$ ssh TUNNUS_ETAKONEELLA@ETAKONE
Jos kaikki meni hyvin, pitäisi kirjautuminen onnistua ilman salasanan kyselyä.
Paremmat ohjeet löydät toki http://wiki.ubuntu-fi.org/ssh-palvelin#head-ffaf1d832037eb05ba8b517ae77fb138cf75078e
tuolta.
-
open-ssh:n asensin valitsemalla sen jo distron asennus vaiheessa.
Mutta olen myös tuon ohjeen perusteella koittanut saada salasanatonta kirjautumista, myöskään tuo teemun ei auttanut.
sshd.config:
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
#PermitEmptyPasswords yes
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM no
-
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no
Tuosta kommentti pois.
Ja ssh:n uudelleen käynnistys
sudo /etc/init.d/ssh restarttai
sudo invoke-rc.d ssh restart
Luodun avaimen voi kopioida kohdekoneelle myös seuraavalla tavalla
ssh-copy-id kohdekoneenkäyttäjätunnus@kohdekoneen.osoiteTuo ei toimi, jos portti on muutettu pois oletuksesta.
Avaimen voi myös kopioida seuraavalla tavalla kohdekoneelle
cat ~/.ssh/id_rsa.pub | ssh tunnus@osoite "cat >> ~/.ssh/authorized_keys"
-
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no
Tuosta kommentti pois.
Toi estää vaan normaalin salasanalla kirjautumisen, mut koitin totaki kyl jo aikasemmi, mut si en pysty enää ollenkaan etänä kirjautuun.
ja tiedoston kopiointi palvelimelle ei ole ongelmana....
-
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no
Tuosta kommentti pois.
Toi estää vaan normaalin salasanalla kirjautumisen, mut koitin totaki kyl jo aikasemmi, mut si en pysty enää ollenkaan etänä kirjautuun.
No eikös se salasanan poisto ollut tarkoitus??
Oon yrittäny monien oppaiden avulla laittaa ssh kirjautumisen ilman salasanaa, mutta mistään en saa toimimaan
Jos tarkoitus on kirjautua serverille
ssh tunnus@kohde
tunnus@kohde:~$
Muutama muutos kohdekoneelle:
PermitRootLogin yesTuon arvoksi "no"
#PermitEmptyPasswords yesKommentti pois ja arvoksi "no"
#PasswordAuthentication noKommentti pois
Ja lisäturvaksi lisää rivi
allowUsers käyttäjätunnustunnus joka siis on kohdekoneella (ssh-serveri)
Onko ne julkiset avaimet nyt varmasti laitettu oikeaan paikkaan?
~/.ssh/authorized_keys tiedostoon
-
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no
Tuosta kommentti pois.
Toi estää vaan normaalin salasanalla kirjautumisen, mut koitin totaki kyl jo aikasemmi, mut si en pysty enää ollenkaan etänä kirjautuun.
No eikös se salasanan poisto ollut tarkoitus??
Oon yrittäny monien oppaiden avulla laittaa ssh kirjautumisen ilman salasanaa, mutta mistään en saa toimimaan
Mutoilen lauseeni siis uudelleen: Toi estää salasanalla kirjautumisen. Ei mitenkään salli salasanatonta kirjautumista. ---> nyt ainoana kirjautumis vaihtoehtona siin on tuo public & private key juttu, mikä ei siis toimi. ---> ei pysty kirjautuun ollenkaan etänä.
kun yritän kirjautua ssh:lla niin se sanoo vaan "Permission denied (publickey)."
tiedostot ovat oikein
etäkoneella oleva julkinen on: /home/aleksi/.ssh/authorized_keys
ja omalla oleva privaatti on: /home/aleksi/.ssh/id_rsa
molemmilla tiedostoilla on myös tarvittavat lukuoikeudet
juu ja osaan kirjautua ssh:lla
Eikä asetusten muokkaus auttanut noin
-
SSH daemoni taitaa olla aika tarkka tuosta .ssh kansion oikeuksista.
Kato auttaako seuraava, mulla toimii näillä:
serveruser@server:~$ chmod go-w .
serveruser@server:~$ cd .ssh/
serveruser@serve:r~/.ssh$ chmod 700 .
serveruser@server:~/.ssh$ chmod 600 *
Kato auttaako tämä topic mitään, minulla oli myös ongelmaa koneauthentikoinnin kanssa:
http://forum.ubuntu-fi.org/index.php?topic=22554.0#bot
T.
Tunkkaamo
-
SSH daemoni taitaa olla aika tarkka tuosta .ssh kansion oikeuksista.
Kato auttaako seuraava, mulla toimii näillä:
serveruser@server:~$ chmod go-w .
serveruser@server:~$ cd .ssh/
serveruser@serve:r~/.ssh$ chmod 700 .
serveruser@server:~/.ssh$ chmod 600 *
Kato auttaako tämä topic mitään, minulla oli myös ongelmaa koneauthentikoinnin kanssa:
http://forum.ubuntu-fi.org/index.php?topic=22554.0#bot
T.
Tunkkaamo
JEAP! u r king!
en ollu kansion oikeuksia tarkastanu ja tiedostois oli liian isot oikeudet varmuudeks laitettu ku ei toimi.
Nyt toimii!
-
::) No kiitti... Hyvä että pelaa. Jos heität sen (Ratkaistu) merkkauksen ekaan postiin vielä ni muutkin osaa hakea apua tästä.
Noi 0600 oikeudet on näköjään SSH daemonin turvajuttuja, ettei kukaan muu saa identi_rsa filua käsiinsä.
T.
Tunkkaamo