Доброго времени суток всем!Я новичок в Линукс! Поднял за 2 дня sshd, научился ходить с паролем, но финальная задача - научится аутентифицироваться при помощи открытого ключа.
Клиенткая машина Win7 c SecureCRT.
Сделал на клиенте ключ, положил в каталоги .ssh пользователей на сервере.
root стал ходить, а вот другие пользователи - нет. Почему? Ведь сгенерированный ключ для конкретной машины и для всех пользователей с нее - так?
Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на сервере - не помогло
Пытался менять параметр в /etc/ssh/sshd-config
AuthorizedKeysFile %h/.ssh/authorized_keys
на
AuthorizedKeysFile /home/vasya/.ssh/authorized_keys
тоже не помогло.Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
Заранее большое спасибо!
Да, и важный момент - не-root пользователей пускает по SSH, позволяет su делать и т.д.
> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
> делать и т.д.запускай sshd -D -d и смотри
>> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
>> делать и т.д.
> запускай sshd -D -d и смотриЧестно говоря, не очень понял...
root@ricardo:/home/ilia# sshd -D -d
sshd re-exec requires execution with an absolute pathВсе
>>> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
>>> делать и т.д.
>> запускай sshd -D -d и смотри
> Честно говоря, не очень понял...
> root@ricardo:/home/ilia# sshd -D -d
> sshd re-exec requires execution with an absolute path
> Всезнание английского необоходимо
но даже использую гугл транслейт можно понять в чём дело
http://translate.google.com/#en|ru|sshd%20re-...
P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс sshd
>[оверквотинг удален]
>>> запускай sshd -D -d и смотри
>> Честно говоря, не очень понял...
>> root@ricardo:/home/ilia# sshd -D -d
>> sshd re-exec requires execution with an absolute path
>> Все
> знание английского необоходимо
> но даже использую гугл транслейт можно понять в чём дело
> http://translate.google.com/#en|ru|sshd%20re-...
> P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс
> sshdУбил killом и sshd и агента - точно так же ругается.
>[оверквотинг удален]
>>> Честно говоря, не очень понял...
>>> root@ricardo:/home/ilia# sshd -D -d
>>> sshd re-exec requires execution with an absolute path
>>> Все
>> знание английского необоходимо
>> но даже использую гугл транслейт можно понять в чём дело
>> http://translate.google.com/#en|ru|sshd%20re-...
>> P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс
>> sshd
> Убил killом и sshd и агента - точно так же ругается.прочти перевод :)
Будь добр, объясни по-русски, пожалуйста, что даст запуск демона с конкретными ключами и почему он отказывается запускаться, потому что мне перевод ни гугловский ни собственный НИ@УЯ не говорит. Нужно указывать для запуска /usr/local/.../sshd -D -d ?Заранее большое спасибо!
Я был неправ, извини, /usr/sbin/sshd -D -d запустился... Пробую приконнектиться.
Вот как ругается sshd в debug. Поставил все права на файл и на папку...root@ricardo:/home/ilia/.ssh# /usr/sbin/sshd -D -d
debug1: sshd version OpenSSH_5.5p1 Debian-6+squeeze1
debug1: read PEM private key done: type RSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-D'
debug1: rexec_argv[2]='-d'
Set /proc/self/oom_adj from 0 to -17
debug1: Bind to port 22 on 0.0.0.0.
Server listening on 0.0.0.0 port 22.
debug1: Bind to port 22 on ::.
Server listening on :: port 22.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 5 out 5 newsock 5 pipe -1 sock 8
debug1: inetd sockets after dupping: 3, 3
Connection from 192.168.1.100 port 52732
debug1: Client protocol version 2.0; client software version SecureCRT_6.7.4 (build 354) SecureCRT
debug1: no match: SecureCRT_6.7.4 (build 354) SecureCRT
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze1
debug1: permanently_set_uid: 107/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes256-ctr hmac-sha1 none
debug1: kex: server->client aes256-ctr hmac-sha1 none
debug1: expecting SSH2_MSG_KEXDH_INIT
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user ilia service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "ilia"
debug1: userauth-request for user ilia service ssh-connection method publickey
debug1: attempt 1 failures 0
debug1: test whether pkalg/pkblob are acceptable
debug1: PAM: setting PAM_RHOST to "192.168.1.100"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-512
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-512
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
Failed publickey for ilia from 192.168.1.100 port 52732 ssh2
debug1: userauth-request for user ilia service ssh-connection method publickey
debug1: attempt 2 failures 1
debug1: test whether pkalg/pkblob are acceptable
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-512
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-512
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
Failed publickey for ilia from 192.168.1.100 port 52732 ssh2
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission deniedкакие права на:
/home/ilia/.ssh
/home/ilia/.ssh/authorized_keys
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!Проверить привилегии на каталог ~/.ssh/ и на файл ~/.ssh/authorized_keys
Запись на них должна быть доступна только владельцу. А лучше всего - права 0700.
Павел,поставил 0700 на каталог и файл, но чудо не произошло - root пускает, других пользователей - нет.
не authorized_keys, а authorized_keys2
> не authorized_keys, а authorized_keys2Вы не могли бы пояснить...?
> Павел,
> поставил 0700 на каталог и файл, но чудо не произошло - root
> пускает, других пользователей - нет.Вы до сих пор не проверили и не исправили права и владельца файлов, о чем говорю я и очем говорят ваши отладочные логи.
что делать - вам уже указали, а разжевывать и возиться ... не всем надо, будьте более самостоятельными.
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!после того как скопировали- нужно обязательно сделать
chown -R юзер:группаюзера /home/юзер/.ssh
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!К тому же, ключи генерируются не для всех пользователей с машины, а под конкретного пользователя конкретной машины.
тоесть если был сгенерирован один ключь конкретного пользователя селф машины, и скопирован во все домашние папки всех пользователей таржет машины, то этот конкретный пользователь селф машины сможет заходить на таржет машину под любым юзером(из тех которым скопировали ключь)
Друзья, большое спасибо всем за помощь!Помог в конце концов chown ilia:ilia /папка
Спасибо!
З.Ы. Осталось овладеть тонеллированием =(((