zaterdag 18 juni 2016 15:11

Acties:
  • 0Henk 'm!
  • Spacecowboy
  • Registratie: September 2000
  • Laatst online: 31-05 20:18

Spacecowboy

XBL: Biggmans

Topicstarter
Hi, ik zit even met het volgende issue wat ik niet opgelost krijg, en momenteel weet ik even niet goed in welke

Ik heb per ongeluk mijn private key op mijn local machine overschreven (don't ask :X ) met ssh-keygen. Hierdoor wordt uiteraard mijn authenticatie richting mijn Ubuntue server gedenied. Niks aan de hand, nieuw keypaar genereren, public key installeren op de server en je bent weer up en running.

Wat heb je gedaan

- Genereren nieuw keypair
code:
1

ssh-keygen -t rsa -b 4096

- private key geupload naar de server, en naar .ssh/authorized_keys gekopieerd:
code:
1

cat rsa_id.pub >> authorized_keys

- Ssh service ge-restart
- Opnieuw verbinding maken. De error die ik vervolgens krijg is "public key denied". Stukje verbose van het authenticeren:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key:  (0x7fbe11600de0),
debug2: key: /Users/User/.ssh/id_rsa (0x7fbe11600d00),
debug2: key: /Users/User/.ssh/id_rsa (0x7fbe116011f0),
debug2: key: /Users/User/.ssh/id_rsa (0x7fbe11601560),
debug2: key: /Users/User/.ssh/id_rsa (0x7fbe11714820),
debug2: key: /Users/User/.ssh/id_dsa (0x0),
debug2: key: /Users/User/.ssh/id_ecdsa (0x0),
debug2: key: /Users/User/.ssh/id_ed25519 (0x0),
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: 
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: /Users/User/.ssh/id_rsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: /Users/User/.ssh/id_rsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: /Users/User/.ssh/id_rsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: /Users/User/.ssh/id_rsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /Users/User/.ssh/id_dsa
debug1: Trying private key: /Users/User/.ssh/id_ecdsa
debug1: Trying private key: /Users/User/.ssh/id_ed25519
debug2: we did not send a packet, disable method
debug1: Next authentication method: password


Wat heb je gedaan/gezocht

Gezien er een miljard manuals zijn die dit adresseren, uiteraard eerst even een aantal zaken opgezocht en bekeken. Onder andere:

- Deze: https://www.digitalocean....ication-on-a-linux-server
- Deze: - https://help.ubuntu.com/community/SSH/OpenSSH/Keys

En nog een aantal. Een aantal zaken die mogelijkerwijs in de weg zaten heb ik nagelopen (folder en file security settings, restart ssh), maar dat mocht helaas niet baten.

In de sshd_config file staat keyauthentication en rsaauthentication aan (deze config is ook niet gewijzigd en heeft in het verleden gewerkt).

Wat ik zelf vreemd vind is deze melding in de verbose logging:

code:
1
2
3
4
5
6
7

debug2: key: /Users/User/.ssh/id_rsa (0x7fbe11600d00),
debug2: key: /Users/User/.ssh/id_rsa (0x7fbe116011f0),
debug2: key: /Users/User/.ssh/id_rsa (0x7fbe11601560),
debug2: key: /Users/User/.ssh/id_rsa (0x7fbe11714820),
debug2: key: /Users/User/.ssh/id_dsa (0x0),
debug2: key: /Users/User/.ssh/id_ecdsa (0x0),
debug2: key: /Users/User/.ssh/id_ed25519 (0x0),


Het lijkt alsof er meerdere pubkeys worden aangeboden (Kan zijn, want ik heb meerdere getracht een nieuw keypair aan te maken? Contents van /.ssh:
code:
1
2
3
4
5
6
7
8

host:.ssh User$ ls -la
total 24
drwx------@  5 User  staff   170 Jun 18 14:44 .
drwxr-xr-x+ 36 User  staff  1224 Jun 17 12:31 ..
-rw-------   1 User  staff  3326 Jun 18 14:44 id_rsa
-rw-r--r--   1 User  staff   744 Jun 18 14:44 id_rsa.pub
-rw-r--r--   1 User  staff   354 Jun 18 14:59 known_hosts
host:.ssh User$


Ik zie even niet meer wat ik fout doe... Is het mogelijk dat de previous key toch nog ergens hangt? Moet ik die eerst ergens verwijderen?

zaterdag 18 juni 2016 15:16

Acties:
  • 0Henk 'm!
  • BCC
  • Registratie: Juli 2000
  • Laatst online: 15:04

BCC

Wat zijn de rechten van de authorized keys file op de server? Als die te ruim zijn wil je ssh daemon hem wel eens overslaan.

zaterdag 18 juni 2016 15:17

Acties:
  • 0Henk 'm!
  • Soldaatje
  • Registratie: Juni 2005
  • Niet online

Soldaatje

Volgens mij moet die read flag weg van beide bestanden, voor groep en anderen.

zaterdag 18 juni 2016 15:21

Acties:
  • 0Henk 'm!
  • Spacecowboy
  • Registratie: September 2000
  • Laatst online: 31-05 20:18

Spacecowboy

XBL: Biggmans

Topicstarter
BCC schreef op zaterdag 18 juni 2016 @ 15:16:
Wat zijn de rechten van de authorized keys file op de server? Als die te ruim zijn wil je ssh daemon hem wel eens overslaan.
Authorized_keyfile rechten op server:
https://static.tweakers.net/ext/f/L9eh6jIrAnylfnkMMFeUO6QM/full.jpg
Soldaatje schreef op zaterdag 18 juni 2016 @ 15:17:
Volgens mij moet die read flag weg van beide bestanden, voor groep en anderen.
Je bedoelt op de local machine (keypair)? Die worden zo aangemaakt.

[Voor 27% gewijzigd door Spacecowboy op 18-06-2016 15:22]

zaterdag 18 juni 2016 15:37

Acties:
  • +1Henk 'm!
  • BCC
  • Registratie: Juli 2000
  • Laatst online: 15:04

BCC

Die zijn te ruim. Hij mag alleen user rw zijn. Zie ook https://help.ubuntu.com/c...nSSH/Keys#Troubleshooting

[Voor 44% gewijzigd door BCC op 18-06-2016 15:39]

zaterdag 18 juni 2016 15:43

Acties:
  • 0Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 04-06 22:27

Hero of Time

Moderator LNX

There is only one Legend

^ Dat. En wat zie je zelf op de server? Want ik neem aan dat je wel met wachtwoord aan kan melden. Daar moet je ook kunnen zien wat er gebeurt en of de key geweigerd wordt of niet, en waarom.

Je zegt aan het begin dat je je private key naar de server hebt gestuurd, maar dat moet je natuurlijk nooit doen. Gelukkig is die in het lijstje wat je post ook niet te vinden aan de andere kant, alleen bij je client is die te vinden en dat is goed.

Commandline FTW | Tweakt met mate

zaterdag 18 juni 2016 15:49

Acties:
  • 0Henk 'm!
  • Spacecowboy
  • Registratie: September 2000
  • Laatst online: 31-05 20:18

Spacecowboy

XBL: Biggmans

Topicstarter
Hero of Time schreef op zaterdag 18 juni 2016 @ 15:43:
^ Dat. En wat zie je zelf op de server? Want ik neem aan dat je wel met wachtwoord aan kan melden. Daar moet je ook kunnen zien wat er gebeurt en of de key geweigerd wordt of niet, en waarom.

Je zegt aan het begin dat je je private key naar de server hebt gestuurd, maar dat moet je natuurlijk nooit doen. Gelukkig is die in het lijstje wat je post ook niet te vinden aan de andere kant, alleen bij je client is die te vinden en dat is goed.
Dat moet inderdaad de public key zijn, excuus. De authenticatie events zijn in de ssh logs te vinden? Of in de generieke systemlogs (dit is de eerste keer unix/linux, dus af en toe nog even zoeken).
BCC schreef op zaterdag 18 juni 2016 @ 15:37:
Die zijn te ruim. Hij mag alleen user rw zijn. Zie ook https://help.ubuntu.com/c...nSSH/Keys#Troubleshooting
Dank. Ga ik even mee aan de slag.

[Voor 14% gewijzigd door Spacecowboy op 18-06-2016 15:49]

zaterdag 18 juni 2016 15:52

Acties:
  • +1Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 04-06 22:27

Hero of Time

Moderator LNX

There is only one Legend

Spacecowboy schreef op zaterdag 18 juni 2016 @ 15:49:
[...]

Dat moet inderdaad de public key zijn, excuus. De authenticatie events zijn in de ssh logs te vinden? Of in de generieke systemlogs (dit is de eerste keer unix/linux, dus af en toe nog even zoeken).
Die vind je als het goed is in /var/log/secure of /var/log/auth.log, afhankelijk van je distro. Je zou iets in syslog of messages kunnen zien, maar dat weet ik niet zeker.

Commandline FTW | Tweakt met mate

zaterdag 18 juni 2016 16:09

Acties:
  • 0Henk 'm!
  • Spacecowboy
  • Registratie: September 2000
  • Laatst online: 31-05 20:18

Spacecowboy

XBL: Biggmans

Topicstarter
Allrighty, gevonden waar het aan lag. De authorized_key rechten stonden inderdaad te ruim.

Echt moeten ze niet staan zoals hier: https://help.ubuntu.com/c...nSSH/Keys#Troubleshooting vermeld, maar zoals onderstaand:
code:
1
2
3

$ chmod 755 ~
$ chmod 755 ~/.ssh
$ chmod 644 ~/.ssh/authorized_keys


Na deze wijziging werkt e.e.a. weer. Bedankt voor het wijzen in de goede richting.

zaterdag 18 juni 2016 16:53

Acties:
  • +1Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 04-06 22:27

Hero of Time

Moderator LNX

There is only one Legend

Ik heb mijn .ssh map met 700 rechten staan. Iets ruimer en ik krijg problemen. Ook mijn authorized_keys is 600, evenals m'n private key. Ik zou ze daarom niet ruimer zetten dan strikt noodzakelijk. Dat wat er in je link staat is precies wat je hoort te hebben en ook wat OpenSSH in z'n documentatie heeft staan.
Chances are, your /home/<user> or ~/.ssh/authorized_keys permissions are too open by OpenSSH standards. You can get rid of this problem by issuing the following commands:

code:
1
2
3

chmod go-w ~/
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
Deze rechten worden overigens automatisch gezet als je een key maakt of eens met SSH naar een machine bent geweest (iig voor de .ssh map uiteraard). Het is verstandig om niet af te wijken hiervan.

Commandline FTW | Tweakt met mate

zaterdag 18 juni 2016 17:07

Acties:
  • 0Henk 'm!
  • Spacecowboy
  • Registratie: September 2000
  • Laatst online: 31-05 20:18

Spacecowboy

XBL: Biggmans

Topicstarter
Vreemd dat het dan niet werkt met 700 voor .ssh en 600 voor authorized keys.

Het werkt voor nu, maar ik ga het nog even nazoeken of ik de configuratie ook werkend kan krijgen met hetgeen wat jij aangeeft.

Bedankt voor de moeite wederom. :)

zondag 19 juni 2016 12:00

Acties:
  • 0Henk 'm!
  • Spacecowboy
  • Registratie: September 2000
  • Laatst online: 31-05 20:18

Spacecowboy

XBL: Biggmans

Topicstarter
Hero of Time schreef op zaterdag 18 juni 2016 @ 16:53:
Ik heb mijn .ssh map met 700 rechten staan. Iets ruimer en ik krijg problemen. Ook mijn authorized_keys is 600, evenals m'n private key. Ik zou ze daarom niet ruimer zetten dan strikt noodzakelijk. Dat wat er in je link staat is precies wat je hoort te hebben en ook wat OpenSSH in z'n documentatie heeft staan.

[...]

Deze rechten worden overigens automatisch gezet als je een key maakt of eens met SSH naar een machine bent geweest (iig voor de .ssh map uiteraard). Het is verstandig om niet af te wijken hiervan.
Weird, ik heb net /.ssh en /.ssh/_authorized_keys gezet naar respectievelijk 600 en 700, en nu blijkt het wel te werken. Heel apart.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee