forum.opennet.ru - "Freebsd ssh-key for non-root user" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Freebsd ssh-key for non-root user"

Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Freebsd ssh-key for non-root user"	+/–
Сообщение от Gaidamak (ok) on 16-Авг-12, 11:22
Много лет хожу рутом на свои FreeBSD сервера через ssh-авторизацию по ключу. Появилась нужда зайти нерутовым юзером. Создал юзера, скопировал /.ssh из рутовой директории в его home, сменил владельца, перезапустил sshd. Юзером не пускает. Рутом с тем же ключем пускает как и раньше. В sshd_config все по дефолту кроме PermitRootLogin yes ChallengeResponseAuthentication no UsePAM no Где я неправ?
Ответить \| Правка \| Cообщить модератору

Оглавление

Freebsd ssh-key for non-root user, parad, 11:40 , 16-Авг-12, (1)

Freebsd ssh-key for non-root user, Gaidamak, 11:50 , 16-Авг-12, (2)

Freebsd ssh-key for non-root user, lavr, 11:55 , 16-Авг-12, (3)

Freebsd ssh-key for non-root user, Gaidamak, 12:04 , 16-Авг-12, (4)

Freebsd ssh-key for non-root user, lavr, 12:52 , 16-Авг-12, (5)

Freebsd ssh-key for non-root user, Gaidamak, 13:08 , 16-Авг-12, (6)

Freebsd ssh-key for non-root user, lavr, 13:38 , 16-Авг-12, (7)

Freebsd ssh-key for non-root user, Gaidamak, 15:09 , 16-Авг-12, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Freebsd ssh-key for non-root user" +/–

Сообщение от parad (ok) on 16-Авг-12, 11:40

логи, сестра, логи.
множество вариантов сузят логи.
пс. ссш руту - дикий ахтунг.
псс. не прав пишется раздельно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Freebsd ssh-key for non-root user" +/–

Сообщение от Gaidamak (ok) on 16-Авг-12, 11:50

> логи, сестра, логи.
Failed publickey for zzz from xx.xxx.xx.xxx port 49414 ssh2
> множество вариантов сузят логи.
> пс. ссш руту - дикий ахтунг.
за много лет привык
> псс. не прав пишется раздельно.
Формы _неправ, неправа_ могут писаться как слитно (при утверждении отрицательного признака), так и раздельно (при отрицании положительного признака).
Учиццо, сестра, никому не рано и никогда не поздно.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Freebsd ssh-key for non-root user" +/–

Сообщение от lavr on 16-Авг-12, 11:55

> Много лет хожу рутом на свои FreeBSD сервера через ssh-авторизацию по ключу.
> Появилась нужда зайти нерутовым юзером. Создал юзера, скопировал /.ssh из рутовой
> директории в его home, сменил владельца, перезапустил sshd.  Юзером не
> пускает.  Рутом с тем же ключем пускает как и раньше.
жуть
> В sshd_config все по дефолту кроме
> PermitRootLogin yes
> ChallengeResponseAuthentication no
> UsePAM no
> Где я неправ?
выше практически НИЧЕГО нет чтобы относилось к public key auth.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Freebsd ssh-key for non-root user" +/–

Сообщение от Gaidamak (ok) on 16-Авг-12, 12:04

> выше практически НИЧЕГО нет чтобы относилось к public key auth.
А что должно быть? Все остальное по дефолту FreeBSD 9.0 и применительно к руту работает везде от линукса до солярки. Про ахтунг все знаю, но это больше религия, потому как с sudo можно наделать абсолютно то же самое, если не хуже :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Freebsd ssh-key for non-root user" +/–

Сообщение от lavr on 16-Авг-12, 12:52

>> выше практически НИЧЕГО нет чтобы относилось к public key auth.
> А что должно быть? Все остальное по дефолту FreeBSD 9.0 и применительно
> к руту работает везде от линукса до солярки. Про ахтунг все
> знаю, но это больше религия, потому как с sudo можно наделать
> абсолютно то же самое, если не хуже :)
мы про auth по публичным ключам?
целевой сервер: targetserver
целевой пользователь на target: usertag
локальная машина на которой работаем и с которой ходим на сервера: myhost
пользователь на локальной машине под которым работаем: meuser
на локальной машине:
myhost# id
meuser ...
myhost# ssh-keygen (создаем личный и публичный ключи)
...
myhost# ls -la .ssh   (видим что by default создается только rsa)
для dsa и ecdsa:
myhost# ssh-keygen -t dsa
...
myhost# ls -la .ssh
имеем на локальной у пользователя meuser (рабочей машине) публичные ключи:
myhost# ls -la .ssh/*.pub
-rw-r--r--  1 root  wheel  613 Aug 16 12:39 .ssh/id_dsa.pub
-rw-r--r--  1 root  wheel  405 Aug 16 12:36 .ssh/id_rsa.pub
myhost#
если планируем ходить по SSH Protocol-2 достаточно любого из ключей
После чего публичные ключи кладем на удаленный сервер targetserver
под пользователем usertag в .ssh/authorized_keys2 :
targetserver# id
usertag ...
targetserver# mkdir .ssh
targetserver# chmod 700 .ssh
targetserver# touch .ssh/authorized_keys2
targetserver# chmod 600 .ssh/authorized_keys2
targetserver# ls -la .ssh/authorized_keys2
--------------------------^^^^^^^^^^^^^^^^- вот сюда помещаем ключи meuser@myhost
это практически все что нужно чтобы meuser@myhost ходил по public-key на targetserver
под пользователем usertag:
myhost# id
meuser ...
myhost# slogin usertag@targetserver
но выше не хватает одного маленького ньюанса, про который можно почитать в руководствах,
faq'ах ... и про который уже надоело отписывать

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Freebsd ssh-key for non-root user" +/–

Сообщение от Gaidamak (ok) on 16-Авг-12, 13:08

> но выше не хватает одного маленького ньюанса, про который можно почитать в
> руководствах,
> faq'ах ... и про который уже надоело отписывать
Здоровый садизм люблю, но не применительно к себе :)
Это не про Strictmodes?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Freebsd ssh-key for non-root user" +/–

Сообщение от lavr on 16-Авг-12, 13:38

>> но выше не хватает одного маленького ньюанса, про который можно почитать в
>> руководствах,
>> faq'ах ... и про который уже надоело отписывать
> Здоровый садизм люблю, но не применительно к себе :)
> Это не про Strictmodes?
нет, это про ключи в памяти: использование демона ssh-agent и ssh-add для добавление
личных ключей в кеш ssh-agent'а
садизм - это когда не могут или не хотят прочитать FAQ или GUIDE и задают одни
и те же вопросы, FAQ по SSH-1 был переведен примерно в 97г, примерно тогда же
и руководство написано, хотя в сети полно различных руководств

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Freebsd ssh-key for non-root user" +/–

Сообщение от Gaidamak (ok) on 16-Авг-12, 15:09

Как и ожидалось, проблема оказалась не там. Я давал не те права на директорию .ssh
Руту это было все равно, а заход от юзера обламывался. Всем спасибо, все работает.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Freebsd ssh-key for non-root user"	+/–
Сообщение от parad (ok) on 16-Авг-12, 11:40
логи, сестра, логи. множество вариантов сузят логи. пс. ссш руту - дикий ахтунг. псс. не прав пишется раздельно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Freebsd ssh-key for non-root user"	+/–
	Сообщение от Gaidamak (ok) on 16-Авг-12, 11:50
	> логи, сестра, логи. Failed publickey for zzz from xx.xxx.xx.xxx port 49414 ssh2 > множество вариантов сузят логи. > пс. ссш руту - дикий ахтунг. за много лет привык > псс. не прав пишется раздельно. Формы _неправ, неправа_ могут писаться как слитно (при утверждении отрицательного признака), так и раздельно (при отрицании положительного признака). Учиццо, сестра, никому не рано и никогда не поздно.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Freebsd ssh-key for non-root user"	+/–
Сообщение от lavr on 16-Авг-12, 11:55
> Много лет хожу рутом на свои FreeBSD сервера через ssh-авторизацию по ключу. > Появилась нужда зайти нерутовым юзером. Создал юзера, скопировал /.ssh из рутовой > директории в его home, сменил владельца, перезапустил sshd. Юзером не > пускает. Рутом с тем же ключем пускает как и раньше. жуть > В sshd_config все по дефолту кроме > PermitRootLogin yes > ChallengeResponseAuthentication no > UsePAM no > Где я неправ? выше практически НИЧЕГО нет чтобы относилось к public key auth.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Freebsd ssh-key for non-root user"	+/–
	Сообщение от Gaidamak (ok) on 16-Авг-12, 12:04
	> выше практически НИЧЕГО нет чтобы относилось к public key auth. А что должно быть? Все остальное по дефолту FreeBSD 9.0 и применительно к руту работает везде от линукса до солярки. Про ахтунг все знаю, но это больше религия, потому как с sudo можно наделать абсолютно то же самое, если не хуже :)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Freebsd ssh-key for non-root user"	+/–
	Сообщение от lavr on 16-Авг-12, 12:52
	>> выше практически НИЧЕГО нет чтобы относилось к public key auth. > А что должно быть? Все остальное по дефолту FreeBSD 9.0 и применительно > к руту работает везде от линукса до солярки. Про ахтунг все > знаю, но это больше религия, потому как с sudo можно наделать > абсолютно то же самое, если не хуже :) мы про auth по публичным ключам? целевой сервер: targetserver целевой пользователь на target: usertag локальная машина на которой работаем и с которой ходим на сервера: myhost пользователь на локальной машине под которым работаем: meuser на локальной машине: myhost# id meuser ... myhost# ssh-keygen (создаем личный и публичный ключи) ... myhost# ls -la .ssh (видим что by default создается только rsa) для dsa и ecdsa: myhost# ssh-keygen -t dsa ... myhost# ls -la .ssh имеем на локальной у пользователя meuser (рабочей машине) публичные ключи: myhost# ls -la .ssh/*.pub -rw-r--r-- 1 root wheel 613 Aug 16 12:39 .ssh/id_dsa.pub -rw-r--r-- 1 root wheel 405 Aug 16 12:36 .ssh/id_rsa.pub myhost# если планируем ходить по SSH Protocol-2 достаточно любого из ключей После чего публичные ключи кладем на удаленный сервер targetserver под пользователем usertag в .ssh/authorized_keys2 : targetserver# id usertag ... targetserver# mkdir .ssh targetserver# chmod 700 .ssh targetserver# touch .ssh/authorized_keys2 targetserver# chmod 600 .ssh/authorized_keys2 targetserver# ls -la .ssh/authorized_keys2 --------------------------^^^^^^^^^^^^^^^^- вот сюда помещаем ключи meuser@myhost это практически все что нужно чтобы meuser@myhost ходил по public-key на targetserver под пользователем usertag: myhost# id meuser ... myhost# slogin usertag@targetserver но выше не хватает одного маленького ньюанса, про который можно почитать в руководствах, faq'ах ... и про который уже надоело отписывать
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Freebsd ssh-key for non-root user"	+/–
	Сообщение от Gaidamak (ok) on 16-Авг-12, 13:08
	> но выше не хватает одного маленького ньюанса, про который можно почитать в > руководствах, > faq'ах ... и про который уже надоело отписывать Здоровый садизм люблю, но не применительно к себе :) Это не про Strictmodes?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Freebsd ssh-key for non-root user"	+/–
	Сообщение от lavr on 16-Авг-12, 13:38
	>> но выше не хватает одного маленького ньюанса, про который можно почитать в >> руководствах, >> faq'ах ... и про который уже надоело отписывать > Здоровый садизм люблю, но не применительно к себе :) > Это не про Strictmodes? нет, это про ключи в памяти: использование демона ssh-agent и ssh-add для добавление личных ключей в кеш ssh-agent'а садизм - это когда не могут или не хотят прочитать FAQ или GUIDE и задают одни и те же вопросы, FAQ по SSH-1 был переведен примерно в 97г, примерно тогда же и руководство написано, хотя в сети полно различных руководств
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Freebsd ssh-key for non-root user"	+/–
	Сообщение от Gaidamak (ok) on 16-Авг-12, 15:09
	Как и ожидалось, проблема оказалась не там. Я давал не те права на директорию .ssh Руту это было все равно, а заход от юзера обламывался. Всем спасибо, все работает.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору