Toon posts:

[OpenSSH] Authorized_keys en scp werken niet

Pagina: 1
Acties:
  • 140 views sinds 30-01-2008

woensdag 19 december 2001 14:53

Acties:
  • Zarc.oh
  • Registratie: November 2000
  • Laatst online: 17-04 08:48

Zarc.oh

heeft een HD van 20 YottaByte

Topicstarter
Ik probeer het voorelkaar te krijgen dat ik automatisch via ssh een file kan kopiëren, maar er lukken dus 2 dingen niet:
- Als ik scp gebruik blijken de bestanden niet gekopieerd, LiNuX geeft geen vaudmelding (bijvoorbeeld scp 10.0.0.1:/file 10.0.0.2:/dir/file2)
- Om automatisch via ssh te kunnen inloggen moet ik het volgende doen:
ssh-keygen -t rsa
cp id_rsa.pub authorized_keys of
cp id_rsa.pub authorized_keys2
en dan naar ~/.ssh kopiëren, maar het werkt op geen van beide manieren.
Volgens mij doe ik het toch echt goed, maar het wil niet lukken :(

Zoek wat je niet eerder vond

woensdag 19 december 2001 15:09

Acties:
  • Onno
  • Registratie: Juni 1999
  • Niet online

Onno

Op woensdag 19 december 2001 14:53 schreef Zarc.oh het volgende:
- Als ik scp gebruik blijken de bestanden niet gekopieerd, LiNuX geeft geen vaudmelding (bijvoorbeeld scp 10.0.0.1:/file 10.0.0.2:/dir/file2)
Ik weet niet of je wel twee remote hosts kunt gebruiken met scp, ik dacht eigenlijk dat een lokaal moest zijn. (en het is Linux, zonder rare hoofdletters :))
- Om automatisch via ssh te kunnen inloggen moet ik het volgende doen:
ssh-keygen -t rsa
cp id_rsa.pub authorized_keys of
cp id_rsa.pub authorized_keys2
en dan naar ~/.ssh kopiëren,
Je hebt de keys van op de goede hosts staan? (private keys dus op de host vanaf waar je wilt inloggen, en public op de host waarop je wilt inloggen)

En probeer eens ssh -v bla@host, dan krijg je een hoop nuttige informatie over de voortgang van de verbinding. Het zou bijvoorbeeld kunnen dat de rechten op ~/.ssh verkeerd staan, dat krijg je dan netjes te zien.

woensdag 19 december 2001 15:51

Acties:
  • Zarc.oh
  • Registratie: November 2000
  • Laatst online: 17-04 08:48

Zarc.oh

heeft een HD van 20 YottaByte

Topicstarter
Op woensdag 19 december 2001 15:09 schreef Onno het volgende:

Ik weet niet of je wel twee remote hosts kunt gebruiken met scp, ik dacht eigenlijk dat een lokaal moest zijn.
Nee, het is Secure CoPy, da's niet echt nuttig lokaal... :)
(en het is Linux, zonder rare hoofdletters :))
Nee echt? :P
Je hebt de keys van op de goede hosts staan? (private keys dus op de host vanaf waar je wilt inloggen, en public op de host waarop je wilt inloggen)
Ja...
En probeer eens ssh -v bla@host, dan krijg je een hoop nuttige informatie over de voortgang van de verbinding. Het zou bijvoorbeeld kunnen dat de rechten op ~/.ssh verkeerd staan, dat krijg je dan netjes te zien.
Gaat ik nu doen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

debug1: bits set: 1602/3191
debug1: ssh_rsa_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/kingkong/.ssh/identity
debug1: try pubkey: /home/kingkong/.ssh/id_rsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: try privkey: /home/kingkong/.ssh/id_dsa
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password
kingkong@10.0.0.2's password:

Alles lijkt goed te gaan, maar toch vraagt ie om een wachtwoord :?

Zoek wat je niet eerder vond

woensdag 19 december 2001 16:07

Acties:
  • Onno
  • Registratie: Juni 1999
  • Niet online

Onno

Op woensdag 19 december 2001 15:51 schreef Zarc.oh het volgende:
Nee, het is Secure CoPy, da's niet echt nuttig lokaal...
Ken je het verschil tussen een en twee?
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/kingkong/.ssh/identity
debug1: try pubkey: /home/kingkong/.ssh/id_rsa
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: try privkey: /home/kingkong/.ssh/id_dsa
debug1: next auth method to try is keyboard-interactive
Dan kloppen je keys dus gewoon niet.

woensdag 19 december 2001 16:08

Acties:
  • ewasx
  • Registratie: Augustus 2000
  • Laatst online: 16-11-2025

ewasx

offtopic:
[quote]
LiNuX
[/quote]

Te veel met LaTeX gespeeld ;)?


Ik heb precies hetzelfde probleem. Ik zou ookwel willen weten hoe ik dat op los...

woensdag 19 december 2001 16:29

Acties:
  • ewasx
  • Registratie: Augustus 2000
  • Laatst online: 16-11-2025

ewasx

ik heb het, wel suf. Uit de manpage over de authorized_keys2 file:

It is recommended that it not be ac­cessible by others.

moet zijn:

It is REQUIRED that it not be ac­cessible by others.

Dan werkt het namelijk wel.

En daar krijg je dus helemaal geen melding over met die -v optie.

woensdag 19 december 2001 20:25

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

ik heb het, wel suf. Uit de manpage over de authorized_keys2 file:

It is recommended that it not be ac­cessible by others.
De manpages van OpenSSH zijn wel correct. Ter info.

donderdag 20 december 2001 10:39

Acties:
  • ewasx
  • Registratie: Augustus 2000
  • Laatst online: 16-11-2025

ewasx

De manpages van OpenSSH zijn wel correct. Ter info.
Nou, quote uit de manpage die ik eerder gebruikte komt van de manpage van OpenSSH-3.0.2p als ik het goed heb.

donderdag 20 december 2001 11:08

Acties:

Verwijderd

Het is inderdaad belangrijk dat de permissies op:

- je home dir goed staan (750)
- je ~/.ssh goed staan 700
- op je identity file goed staat (700)

Bij mij werkt et prima op solaris.

donderdag 20 december 2001 12:57

Acties:
  • ewasx
  • Registratie: Augustus 2000
  • Laatst online: 16-11-2025

ewasx

Ik heb mijn identity file op 600. Neregens voor nodig om die executable te maken...

Maar wat ik dus hierboven zei is dat de authorized_keys file ook 600 moet hebben, ik had hem op 660 en dat werkte dus niet.

zaterdag 12 april 2003 22:45

Acties:
  • J.Hollemans
  • Registratie: September 2001
  • Laatst online: 03-10-2025

J.Hollemans

In het bestand $HOME/.ssh/known_hosts op de server moet de ssh-rsa key van de client PC ook bekend zijn.

ff met password inloggen op de server, daarvandaan een ssh sessie naar de client starten en weer sluiten:

code:
1
2
3
4
5

$ ssh client
The authenticity of host 'client (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'client' (RSA) to the list of known hosts.


De key is dan toegevoegd.

Wanneer er bij het aanmaken van de key voor gekozen is om de private key te encoden door middel van een passphrase,
wordt niet meer om een username en password gevraagd, maar om de passphrase, om de private key
te kunnen ontcijferen, om daarmee vervolgend de challenge van de server te kunnen decrypten en terug sturen.

Met ssh-agent kun je die passphrases managen, zodat hier niet meer om wordt gevraagd.
Hiervoor moet ssh-agent worden gestart en de uitvoer ervan moet worden uitgevoerd:

code:
1
2
3
4
5
6
7
8
9
10
11

$ ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-XXiEM2aJ/agent.10868; export SSH_AUTH_SOCK;
SSH_AGENT_PID=10869; export SSH_AGENT_PID;
echo Agent pid 10869;
$ SSH_AUTH_SOCK=/tmp/ssh-XXiEM2aJ/agent.10868; export SSH_AUTH_SOCK;
$ SSH_AGENT_PID=10869; export SSH_AGENT_PID;


Dit kan gemakkelijker met:

$ eval `ssh-agent`


met het proggie ssh-add kan de passphrase door ssh-agent worden beheerd:

code:
1
2
3
4

$ ssh-add
Need passphrase for /home/user/.ssh/identity
Enter passphrase for /home/user/.ssh/identity <hier de passphrase invoeren>
Identity added: /home/user/.ssh/identity (/home/user/.ssh/identity)


Nu kan er vervolgens een ssh sessie worden gestart of een scp commando worden gegeven, zonder dat een
password noch een passphrase hoeft te worden opgegeven.

Als dit bij meerdere servers moet gebeuren, is het nu alleen nog een kwestie van de public key toe te voegen aan
het bestand $HOME/.ssh/known_hosts (of $HOME/.ssh/known_hosts2, afhankelijk van de gebruikte versie) te
worden toegevoegd. Dit kan als volgt:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

$ # Kopieer de public key naar de server
$ scp $HOME/.ssh/identity.pub user@server: # Let op de dubbelepunt
user@server's password:
identity             100% |*****************************|   951       00:00
$ ssh user@server
user@server's password:
user@server:~$ cat identity.pub >> .ssh/authorized_keys2 # Of zonder die 2 dus
user@server:~$ # Vervolgens nog even de host toevoegen aan known_hosts
user@server:~$ ssh client
The authenticity of host 'client (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'client' (RSA) to the list of known hosts.

Far from being some stuffy science, writing regular expressions is closer to an art.

zaterdag 12 april 2003 23:44

Acties:

Verwijderd

Ondanks dat het heel vriendelijk is, is het kicken van een oud topic vaak niet erg gewenst. Je maakt er zo wel een goed topic voor de search van :)
Maar eh, volgende keer maar even kijken hoe oud de draad is waarin je reageert :)
Pagina: 1

Dit topic is gesloten.