Kirjoittaja Aihe: ssh kirjautuminen ilman salasanaa  (Luettu 3886 kertaa)

Axuu

  • Käyttäjä
  • Viestejä: 87
    • Profiili
ssh kirjautuminen ilman salasanaa
« : 19.02.09 - klo:13.55 »
Oon yrittäny monien oppaiden avulla laittaa ssh kirjautumisen ilman salasanaa, mutta mistään en saa toimimaan

olen luonu avaimet ja kopioinu julkisen siitä authorized_keys nimiseks tiedostotks palvelimelle.

asetuksist olen pubkeyauthetication päälle sekä tiedoston siihen.

Mitä voisin vielä yrittää? (kirjautuminen toimii normil salasanal)

Kullervo

  • Käyttäjä
  • Viestejä: 876
    • Profiili
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #1 : 19.02.09 - klo:14.17 »
Hiukan lisätietoja kun antaisit asenteluistasi niin voisimme auttaa.
Miten tuon ssh-palvelimen asensit?
http://wiki.ubuntu-fi.org/ssh-palvelin ohjeen mukaanko, vai miten?

Koodia: [Valitse]
cat /etc/ssh/sshd_config

Teemu.Lainiola

  • Käyttäjä
  • Viestejä: 9
    • Profiili
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #2 : 19.02.09 - klo:14.19 »
Moi,
hmm, haetkohan nyt tätä..

Aloita tällä:
Koodia: [Valitse]
[Teemu@localhost ~]$ ssh-keygen
Saat kyselyn mihin haluat tallentaa avaimen, oletus on hyvä, paina enter
Koodia: [Valitse]
Generating public/private rsa key pair.
Enter file in which to save the key (/home/Teemu/.ssh/id_rsa):

Mikäli olet jo luonut avaimen aikasemmin, kysellään haluatko ylikirjoittaa vanhan.. omantunnon mukaan.
Koodia: [Valitse]
/home/Teemu/.ssh/id_rsa already exists.
Overwrite (y/n)? y

Seuraavaksi kysellään passphrase, jonka voi jättää tai olla jättämättä tyhjäksi.. jos jätät tyhjäksi, ei salasanaa kysellä, MUTTA, mikäli joku saa käsiinsä sinun id_rsa -avaimesi, on hänellä vapaa pääsy etäpalvelimeen!
Koodia: [Valitse]
Enter passphrase (empty for no passphrase):
Enter same passphrase again:

Jonka jälkeen avain onkin käyttövalmis..
Koodia: [Valitse]
Your identification has been saved in /home/Teemu/.ssh/id_rsa.
Your public key has been saved in /home/Teemu/.ssh/id_rsa.pub.

Seuraavaksi tuo id_rsa.pub pitää siirtää etäkoneelle, tiedostoon ~/.ssh/authorized_keys.
Mikäli tuo tiedosto on siellä jo olemassa, voit esim. käskyttää suoraan promptilta (HUOM! Ylikirjoittaa mahdollisesti jo olemassa olevat avaimet!)

Koodia: [Valitse]
[Teemu@localhost ~]$scp ~/.ssh/id_rsa.pub TUNNUS.ETAKONEELLA@ETAKONE:~/.ssh/authorized_keys

Lopuksi tuon authorized_keys tiedoston oikeudet pitää vielä käydä muuttamassa,
Koodia: [Valitse]
ssh TUNNUS_ETAKONEELLA@ETAKONE "chmod 600 ~/.ssh/authorized_keys"
Lopuksi voit testata toimiiko homma
Koodia: [Valitse]
[Teemu@localhost ~]$ ssh TUNNUS_ETAKONEELLA@ETAKONE
Jos kaikki meni hyvin, pitäisi kirjautuminen onnistua ilman salasanan kyselyä.

Paremmat ohjeet löydät toki http://wiki.ubuntu-fi.org/ssh-palvelin#head-ffaf1d832037eb05ba8b517ae77fb138cf75078e

tuolta.
« Viimeksi muokattu: 19.02.09 - klo:14.49 kirjoittanut Teemu.Lainiola »

Axuu

  • Käyttäjä
  • Viestejä: 87
    • Profiili
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #3 : 19.02.09 - klo:14.54 »
open-ssh:n asensin valitsemalla sen jo distron asennus vaiheessa.

Mutta olen myös tuon ohjeen perusteella koittanut saada salasanatonta kirjautumista, myöskään tuo teemun ei auttanut.

sshd.config:
Koodia: [Valitse]
# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::

#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication

#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
#PermitEmptyPasswords yes

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM no



gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #4 : 19.02.09 - klo:15.03 »
Koodia: [Valitse]
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

Tuosta kommentti pois.
Ja ssh:n uudelleen käynnistys
Koodia: [Valitse]
sudo /etc/init.d/ssh restarttai
Koodia: [Valitse]
sudo invoke-rc.d ssh restart
Luodun avaimen voi kopioida kohdekoneelle myös seuraavalla tavalla
Koodia: [Valitse]
ssh-copy-id kohdekoneenkäyttäjätunnus@kohdekoneen.osoiteTuo ei toimi, jos portti on muutettu pois oletuksesta.

Avaimen voi myös kopioida seuraavalla tavalla kohdekoneelle
Koodia: [Valitse]
cat ~/.ssh/id_rsa.pub | ssh tunnus@osoite "cat >> ~/.ssh/authorized_keys"
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Axuu

  • Käyttäjä
  • Viestejä: 87
    • Profiili
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #5 : 19.02.09 - klo:15.15 »
Koodia: [Valitse]
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

Tuosta kommentti pois.


Toi estää vaan normaalin salasanalla kirjautumisen, mut koitin totaki kyl jo aikasemmi, mut si en pysty enää ollenkaan etänä kirjautuun.


ja tiedoston kopiointi palvelimelle ei ole ongelmana....
« Viimeksi muokattu: 19.02.09 - klo:15.17 kirjoittanut Axuu »

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #6 : 19.02.09 - klo:15.36 »
Koodia: [Valitse]
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

Tuosta kommentti pois.


Toi estää vaan normaalin salasanalla kirjautumisen, mut koitin totaki kyl jo aikasemmi, mut si en pysty enää ollenkaan etänä kirjautuun.

No eikös se salasanan poisto ollut tarkoitus??

Oon yrittäny monien oppaiden avulla laittaa ssh kirjautumisen ilman salasanaa, mutta mistään en saa toimimaan

Jos tarkoitus on kirjautua serverille
ssh tunnus@kohde
tunnus@kohde:~$


Muutama muutos kohdekoneelle:
Koodia: [Valitse]
PermitRootLogin yesTuon arvoksi "no"

Koodia: [Valitse]
#PermitEmptyPasswords yesKommentti pois ja arvoksi "no"

Koodia: [Valitse]
#PasswordAuthentication noKommentti pois

Ja lisäturvaksi lisää rivi
Koodia: [Valitse]
allowUsers käyttäjätunnustunnus joka siis on kohdekoneella (ssh-serveri)

Onko ne julkiset avaimet nyt varmasti laitettu oikeaan paikkaan?
~/.ssh/authorized_keys tiedostoon
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Axuu

  • Käyttäjä
  • Viestejä: 87
    • Profiili
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #7 : 19.02.09 - klo:15.58 »
Koodia: [Valitse]
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no

Tuosta kommentti pois.


Toi estää vaan normaalin salasanalla kirjautumisen, mut koitin totaki kyl jo aikasemmi, mut si en pysty enää ollenkaan etänä kirjautuun.

No eikös se salasanan poisto ollut tarkoitus??

Oon yrittäny monien oppaiden avulla laittaa ssh kirjautumisen ilman salasanaa, mutta mistään en saa toimimaan
Mutoilen lauseeni siis uudelleen: Toi estää salasanalla kirjautumisen. Ei mitenkään salli salasanatonta kirjautumista. ---> nyt ainoana kirjautumis vaihtoehtona siin on tuo public & private key juttu, mikä ei siis toimi. ---> ei pysty kirjautuun ollenkaan etänä.

kun yritän kirjautua ssh:lla niin se sanoo vaan "Permission denied (publickey)."

tiedostot ovat oikein
etäkoneella oleva julkinen on: /home/aleksi/.ssh/authorized_keys
ja omalla oleva privaatti on: /home/aleksi/.ssh/id_rsa

molemmilla tiedostoilla on myös tarvittavat lukuoikeudet

juu ja osaan kirjautua ssh:lla

Eikä asetusten muokkaus auttanut noin





Tunkkaamo

  • Käyttäjä
  • Viestejä: 231
    • Profiili
    • Tunkkaamo
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #8 : 19.02.09 - klo:16.25 »
SSH daemoni taitaa olla aika tarkka tuosta .ssh kansion oikeuksista.
Kato auttaako seuraava, mulla toimii näillä:

serveruser@server:~$ chmod go-w .
serveruser@server:~$ cd .ssh/
serveruser@serve:r~/.ssh$  chmod 700 .
serveruser@server:~/.ssh$ chmod 600 *

Kato auttaako tämä topic mitään, minulla oli myös ongelmaa koneauthentikoinnin kanssa:

http://forum.ubuntu-fi.org/index.php?topic=22554.0#bot

T.
Tunkkaamo
T.
Tunkkaamo

Axuu

  • Käyttäjä
  • Viestejä: 87
    • Profiili
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #9 : 19.02.09 - klo:16.34 »
SSH daemoni taitaa olla aika tarkka tuosta .ssh kansion oikeuksista.
Kato auttaako seuraava, mulla toimii näillä:

serveruser@server:~$ chmod go-w .
serveruser@server:~$ cd .ssh/
serveruser@serve:r~/.ssh$  chmod 700 .
serveruser@server:~/.ssh$ chmod 600 *

Kato auttaako tämä topic mitään, minulla oli myös ongelmaa koneauthentikoinnin kanssa:

http://forum.ubuntu-fi.org/index.php?topic=22554.0#bot

T.
Tunkkaamo

JEAP! u r king!

en ollu kansion oikeuksia tarkastanu ja tiedostois oli liian isot oikeudet varmuudeks laitettu ku ei toimi.

Nyt toimii!

Tunkkaamo

  • Käyttäjä
  • Viestejä: 231
    • Profiili
    • Tunkkaamo
Vs: ssh kirjautuminen ilman salasanaa
« Vastaus #10 : 19.02.09 - klo:20.42 »
 ::) No kiitti... Hyvä että pelaa. Jos heität sen (Ratkaistu) merkkauksen ekaan postiin vielä ni muutkin osaa hakea apua tästä.
Noi 0600 oikeudet on näköjään SSH daemonin turvajuttuja, ettei kukaan muu saa  identi_rsa filua käsiinsä.

T.
Tunkkaamo
T.
Tunkkaamo