URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5022
[ Назад ]

Исходное сообщение
"SSH по открытому ключу - пускает только root'a"

Отправлено Ricardo , 11-Апр-12 21:06 
Доброго времени суток всем!

Я новичок в Линукс! Поднял за 2 дня sshd, научился ходить с паролем, но финальная задача - научится аутентифицироваться при помощи открытого ключа.

Клиенткая машина Win7 c SecureCRT.

Сделал на клиенте ключ, положил в каталоги .ssh пользователей на сервере.

root стал ходить, а вот другие пользователи - нет. Почему? Ведь сгенерированный ключ для конкретной машины и для всех пользователей с нее - так?

Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на сервере - не помогло

Пытался менять параметр в /etc/ssh/sshd-config

AuthorizedKeysFile      %h/.ssh/authorized_keys

на

AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys


тоже не помогло.

Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?

Заранее большое спасибо!


Содержание

Сообщения в этом обсуждении
"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 11-Апр-12 21:51 
Да, и важный момент - не-root пользователей пускает по SSH, позволяет su делать и т.д.

"SSH по открытому ключу - пускает только root'a"
Отправлено sdog , 11-Апр-12 21:59 
> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
> делать и т.д.

запускай sshd -D -d и смотри


"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 11-Апр-12 22:27 
>> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
>> делать и т.д.
> запускай sshd -D -d и смотри

Честно говоря, не очень понял...


root@ricardo:/home/ilia# sshd -D -d
sshd re-exec requires execution with an absolute path

Все


"SSH по открытому ключу - пускает только root'a"
Отправлено sdog , 11-Апр-12 23:28 
>>> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
>>> делать и т.д.
>> запускай sshd -D -d и смотри
> Честно говоря, не очень понял...
> root@ricardo:/home/ilia# sshd -D -d
> sshd re-exec requires execution with an absolute path
> Все

знание английского необоходимо

но даже использую гугл транслейт можно понять в чём дело

http://translate.google.com/#en|ru|sshd%20re-...

P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс sshd


"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 11-Апр-12 23:55 
>[оверквотинг удален]
>>> запускай sshd -D -d и смотри
>> Честно говоря, не очень понял...
>> root@ricardo:/home/ilia# sshd -D -d
>> sshd re-exec requires execution with an absolute path
>> Все
> знание английского необоходимо
> но даже использую гугл транслейт можно понять в чём дело
> http://translate.google.com/#en|ru|sshd%20re-...
> P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс
> sshd

Убил killом и sshd и агента - точно так же ругается.


"SSH по открытому ключу - пускает только root'a"
Отправлено sdog , 12-Апр-12 00:44 
>[оверквотинг удален]
>>> Честно говоря, не очень понял...
>>> root@ricardo:/home/ilia# sshd -D -d
>>> sshd re-exec requires execution with an absolute path
>>> Все
>> знание английского необоходимо
>> но даже использую гугл транслейт можно понять в чём дело
>> http://translate.google.com/#en|ru|sshd%20re-...
>> P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс
>> sshd
> Убил killом и sshd и агента - точно так же ругается.

прочти перевод :)


"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 12-Апр-12 01:32 
Будь добр, объясни по-русски, пожалуйста, что даст запуск демона с конкретными ключами и почему он отказывается запускаться, потому что мне перевод ни гугловский ни собственный НИ@УЯ не говорит. Нужно указывать для запуска /usr/local/.../sshd -D -d ?

Заранее большое спасибо!


"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 12-Апр-12 01:38 
Я был неправ, извини, /usr/sbin/sshd -D -d запустился... Пробую приконнектиться.


"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 12-Апр-12 02:36 
Вот как ругается sshd в debug. Поставил все права на файл и на папку...

root@ricardo:/home/ilia/.ssh# /usr/sbin/sshd -D -d
debug1: sshd version OpenSSH_5.5p1 Debian-6+squeeze1
debug1: read PEM private key done: type RSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-D'
debug1: rexec_argv[2]='-d'
Set /proc/self/oom_adj from 0 to -17
debug1: Bind to port 22 on 0.0.0.0.
Server listening on 0.0.0.0 port 22.
debug1: Bind to port 22 on ::.
Server listening on :: port 22.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 5 out 5 newsock 5 pipe -1 sock 8
debug1: inetd sockets after dupping: 3, 3
Connection from 192.168.1.100 port 52732
debug1: Client protocol version 2.0; client software version SecureCRT_6.7.4 (build 354) SecureCRT
debug1: no match: SecureCRT_6.7.4 (build 354) SecureCRT
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze1
debug1: permanently_set_uid: 107/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes256-ctr hmac-sha1 none
debug1: kex: server->client aes256-ctr hmac-sha1 none
debug1: expecting SSH2_MSG_KEXDH_INIT
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user ilia service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "ilia"
debug1: userauth-request for user ilia service ssh-connection method publickey
debug1: attempt 1 failures 0
debug1: test whether pkalg/pkblob are acceptable
debug1: PAM: setting PAM_RHOST to "192.168.1.100"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-512
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-512
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
Failed publickey for ilia from 192.168.1.100 port 52732 ssh2
debug1: userauth-request for user ilia service ssh-connection method publickey
debug1: attempt 2 failures 1
debug1: test whether pkalg/pkblob are acceptable
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-512
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-512
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
Failed publickey for ilia from 192.168.1.100 port 52732 ssh2


"SSH по открытому ключу - пускает только root'a"
Отправлено sdog , 12-Апр-12 08:55 
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied

какие права на:
/home/ilia/.ssh
/home/ilia/.ssh/authorized_keys


"SSH по открытому ключу - пускает только root'a"
Отправлено PavelR , 11-Апр-12 22:45 
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile      %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!

Проверить привилегии на каталог ~/.ssh/ и  на файл ~/.ssh/authorized_keys
Запись на них должна быть доступна только владельцу. А лучше всего - права 0700.


"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 11-Апр-12 23:04 
Павел,

поставил 0700 на каталог и файл, но чудо не произошло - root пускает, других пользователей - нет.


"SSH по открытому ключу - пускает только root'a"
Отправлено Викентий Жопорезку , 12-Апр-12 02:03 
не authorized_keys, а authorized_keys2



"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 12-Апр-12 02:34 
> не authorized_keys, а authorized_keys2

Вы не могли бы пояснить...?


"SSH по открытому ключу - пускает только root'a"
Отправлено PavelR , 12-Апр-12 07:23 
> Павел,
> поставил 0700 на каталог и файл, но чудо не произошло - root
> пускает, других пользователей - нет.

Вы до сих пор не проверили и не исправили права и владельца файлов, о чем говорю я и очем говорят ваши отладочные логи.

что делать - вам уже указали, а разжевывать и возиться ... не всем надо, будьте более самостоятельными.


"SSH по открытому ключу - пускает только root'a"
Отправлено user , 12-Апр-12 15:39 
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile      %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!

после того как скопировали- нужно обязательно сделать
chown -R юзер:группаюзера /home/юзер/.ssh


"SSH по открытому ключу - пускает только root'a"
Отправлено user , 12-Апр-12 15:44 
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile      %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!

К тому же, ключи генерируются не для всех пользователей с машины, а под конкретного пользователя конкретной машины.

тоесть если был сгенерирован один ключь конкретного пользователя селф машины, и скопирован во все домашние папки всех пользователей таржет машины, то этот конкретный пользователь селф машины сможет заходить на таржет машину под любым юзером(из тех которым скопировали ключь)


"SSH по открытому ключу - пускает только root'a"
Отправлено Ricardo , 12-Апр-12 18:57 
Друзья, большое спасибо всем за помощь!

Помог в конце концов chown ilia:ilia /папка

Спасибо!

З.Ы. Осталось овладеть тонеллированием =(((