Forum Debian Users Gang

ippo76 · 2010-10-15 18:43:01

Witam,

szlag mnie trafi z tym dziadostwem... ustawiłem sobie pół roku temu dostęp pomiędzy dwoma kompami za pomocą kluczy; pół roku działało a teraz coś się zesrało i znów rzuca się o hasło. Nie jest to pierwszy raz, zdarza się co kilka miesięcy, więc podejrzewam, że aktualizacje, nie wiem jednak dlaczego, bo nie zmieniam plików konfiguracyjnych.

Ktoś ma jakiś pomysł?

PS.

Próbuję ustawić od nowa, poprzez skopiowanie klucza publicznego z jednego kompa na drugi, do authorized_keys a;e bez efektu - ciągle chce hasła debil jeden :(

Od lat robię wszystko wg tego opisu i pojęcia nie mam, dlaczego ta zakała przestaje działać po jakimś czasie... Inna przyczyna, która przychodzi mi do głowy, to to, że mogłem coś namieszać w prawach dostępu, robiąc przy jakiejś innej okazji chmod -R na katalogu domowym...

Jacekalex · 2010-10-15 19:42:41

A w logach pod kryptonimem ssh ani słowa?
Przecież ssh ma opcje logowania debug,
gdzie ładnie pisze, jak mu się coś z kluczem nie podoba.

A jak twoim strasznym problemem zgwałciłem Google, to popatrz, jakie bzdury wypluł:
http://www.aixmind.com/?p=702
http://www.snailbook.com/faq/general-debugging.auto.html
http://www.linuxquestions.org/questions/solaris-ope … -10-a-751711/

Pozdrawiam
;-)

ippo76 · 2010-10-15 19:48:21

Sęk w tym, że ... szkoda mi czasu :( Kur.a ileż można wciąż to samo... Chciałem zrobić 1 rzecz a okazało się, że 15 innych się zesrało :( Teraz to naprawię a za miesiąc znów się zesra...

Jacekalex · 2010-10-15 19:52:44

A czy naprawdę w /var/log/auth.log ani słowa? ssh nie napisał, dlaczego nie poszło kluczem?
Przecież to praktycznie niemożliwe.
Poza tym, o ile mi wiadomo, sshd odrzuci klucz autoryzacji, jeśli nie zgadzają się uprawnienia.
Daj 700 na folder ~/.ssh i klucze w środku, i powinno ruszyć.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2010-10-15 19:54:04)

ippo76 · 2010-10-15 19:54:47

Nie bierz tego wybuchu do siebie :) po prostu szlag mnie trafia, bo od 2 lat używam ssh i mogłoby się wydawać, że wystarczy raz skonfigurować i powinno działać...

Najbardziej mnie trafia, jak muszę coś po raz n-ty robić... Dlatego omijam wszystkie testingi...

Nie mam nic w logach od ssh... Ale mam pewną hipotezę...

Jacekalex · 2010-10-15 20:10:01

Ja nie biorę wybuchu do siebie, ale dziwię się widząc usera Gentoo, który przy takim problemie klnie pół godziny, zamiast zajrzeć do logu i coś poprawić.

A jak nie masz w logach nic z ssh, to włącz go w trybie debug - i wtedy tak zacznie srać logami,
że na pewno się dowiesz, co nie gra.
Ponadto - jak aktualizowałeś ssh - mógł się nadpisać konfig, jeśli robiłeś coś z uprawnieniami do $HOME, to też od razu wiadomo, gdzie szukać.

Trochę ambicji nie zawadzi.
A na wybuchy, to sobie jakaś ładną saperkę skołuj, jeśli żona pozwoli ;)

Pozdrawiam
;-)

ippo76 · 2010-10-15 20:12:47

Miałem film oglądać a nie ssh naprawiać :)

Właśnie specjalnie pilnowałem dispatch-confa żeby konfigów nie zmieniał...
Myślałem, że to przez aliasy ale to bzdura, bo alias to tylko skrót dla basha...

Edyta:

Rozumiesz coś z tego:

Kod:

...
debug1: Found key in /home/ippo/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: /home/ippo/.ssh/id_rsa
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Trying private key: /home/ippo/.ssh/id_dsa
debug1: Next authentication method: keyboard-interactive
Password:

??

Ostatnio edytowany przez ippo76 (2010-10-15 20:20:36)

qlemik · 2010-10-16 19:20:00

Witam

Widzę że macie tu burzliwą debatę.
A więc jeśli można prosić o wykonanie polecenia:

Kod:

ssh ip -l uzytkownik -p port_na_ktorym_slucha_sshd -vvvvvvv

i wklejenie tutaj to co wypluje w/w polecenie.

Miałem ten sam problem nagle przestało działać i okazało się że użytkownik zmienił sobie prawa dostępu do wsojego katalogu w /home/nazwa_użytkownika

okazało sie że dał 777 i ssh po kluczu automatycznie przestało działać. Oczywiście działało normalnie po hasle ale po kluczu nie. Jeżeli dobrze pamiętam to z grupą na katalogu też coś namieszał ale problem był z uprawnieniami na katalogu i ot cała przyczyna. Oczywiściwe w logu nic nie było :( dopiero przy poleceniu z palucha z

Kod:

-vvvvvv    (musi być kilkaniascie v anie tylko jedno (vvvvvv))

napisał co mu tak naprawdę nie pasuje - jak on to ładnie napisał "uprawnienia za wysokie" czy jakoś tak.

Może to pomoże :)
Napisz czy pomogło bo to ciekawy przypadek strasznie utrudniający życie.
Pozdrawiam

Ostatnio edytowany przez qlemik (2010-10-16 19:28:12)

Jacekalex · 2010-10-16 21:53:27

Zmień nazwę ~/.ssh, stowórz nowy pusty katalog ~/.ssh i wygeneruj klucze od nowa.
Zobaczysz wtedy, czy pluje się o klucze, czy coś nie gra innego.

Bo ten log zbyt wiele nie wyjaśnia.

Na 99% uprawnienia - u mnie działa - kiedy klucze mają 600, folder ~/.ssh 700, w innych przypadkach blokuje połączenie.

Mam zainstalowany:

Kod:

Installed versions:  5.6_p1-r1{tbz2}(03:25:14 21.09.2010)(X X509 hpn libedit pam skey static tcpd -kerberos -ldap -selinux)
     Homepage:            http://www.openssh.org/
     Description:         Port of OpenBSD's free SSH release

Logi w /var/log/messages:

Kod:

2010-10-16T21:41:28.268677+02:00 localhost sshd[20549]: SSH: Server;Ltype: Version;Remote: 127.0.0.1-51791;Protocol: 2.0;Client: OpenSSH_5.6p1-hpn13v9
2010-10-16T21:41:28.340110+02:00 localhost sshd[20549]: Found matching RSA key: 1c:26:b2:bc:04:07:6c:77:89:f7:2c:78:b1:d3:1d:45
2010-10-16T21:41:28.545438+02:00 localhost sshd[20549]: Found matching RSA key: 1c:26:b2:bc:04:07:6c:77:89:f7:2c:78:b1:d3:1d:45
2010-10-16T21:41:28.547861+02:00 localhost sshd[20549]: Accepted publickey for root from 127.0.0.1 port 51791 ssh2

Logowanie:

Kod:

sudo grep -i debug /etc/ssh/sshd_config 
LogLevel DEBUG

Klucze o długości 4096 bit.
Działanie:

Kod:

user ~  $ ssh root@box -p <port>
Kto tam, do czorta?
root ~ #

Więc najlepiej wygeneruj nowe klucze do nowego folderu .ssh, posprawdzaj nazwy plików i ustaw uprawnienia jak trzeba.

Powinno zaskoczyć.

EDYTA:
SSH sprawdza przy logowaniu uprawnienia katalogu domowego usera, i odrzuca logowanie, jeśli ktokolwiek poza userem ma prawo zapisu w katalogu.
Spróbuj dać uprawnienia do $HOME na 700 i sprawdź, czy się zalogujesz.

Ostatnio edytowany przez Jacekalex (2010-10-17 17:37:28)

ippo76 · 2010-10-17 17:55:36

Nic z tego. Odpuszczam sobie, bo nie widzę sensu abym po raz 57 generował klucze, które po jakieś aktualizacji ch.j strzeli... Szkoda czasu i nerwów.

Jacekalex · 2010-10-17 18:14:06

Jacekalex napisał(-a):
EDYTA:
SSH sprawdza przy logowaniu uprawnienia katalogu domowego usera, i odrzuca logowanie, jeśli ktokolwiek poza userem ma prawo zapisu w katalogu.
Spróbuj dać uprawnienia do $HOME na 700 i sprawdź, czy się zalogujesz.

Chyba nie musisz generować żadnych kluczy, ino czasem doczytać do końca, co napisane.

ippo76 · 2010-10-17 18:22:40

Dzięki za Twój czas ale zmieniłem prawa dostępu na 700 i jest ten sam stolec jak wcześniej. Zatem nie będę bawił się w generowanie kluczy, bo szkoda na to czasu, przynajmniej w dystrybucji rolling-release, która różne niespodzianki ma w założeniach...

czadman · 2010-10-17 22:47:14

ssh-copy-id ?

lis6502 · 2010-10-18 01:01:04

ippo76 ja też mam serwer na Gentoo i spokojnie autoryzuję się po kluczach publicznych. Zrobiłem to wieeeeki temu (konsultowałem się z Mojżeszem co do ssh-keygen) i działa po dziś dzień. Lepiej sprawdź czy czasem nie zmienia Ci się klucz na kliencie z którego próbujesz się logować, bo też miałem taką akcję.
Aha, loguję się po kluczu i po LAN'ie (domowe wifi i kabel) jak i przez net (mam ssh wystawiony na zewnątrz).
Podaj jakie masz wersje ssh, emerge --info i inne bzdety ;)

Ostatnio edytowany przez lis6502 (2010-10-18 01:01:42)

ippo76 · 2010-10-18 08:17:02

Ależ ja miałem działające ssh z logowaniem po kluczu. Sęk w tym, że któraś aktualizacja namieszała (ew. ja, zmieniając chmod na ~/) w efekcie klucze nie działają i ssh żąda hasła.

Taki pieprzony urok dystrybucji rolling-release - nigdy nie wiesz, co się spieprzyło, bo po każdej aktualizacji musiałbyś sprawdzać, czy wszystko działa...

Teraz już szkoda mi na to czasu, bo jestem pewien, że wygeneruję sobie klucze, pohula jakieś 3 - 6 miesięcy a potem znów się rozkraczy...

winnetou · 2010-10-18 08:21:25

ippo - nie narzekaj - na rollin-release miałem może ze 2 problemy. Pierwszy teoretycznie awykonalne przejście z 64bit na multiliba ;] Drugi już nie pamiętam ale też nic strasznego. No a w razie wątpliwości mamy kilku "żentowcooff" więc jest kogo zapytać :) No i ja jadę na ~ARCH ;] Teraz jeszcze coś mi się o kmaila pluje ale przez to że mu się wersje kilku pakietów nie zgadzają ;] Poczekam i będzie działać ;)

ippo76 · 2010-10-18 08:56:30

Wodzu, ja nie jestem studentem, nie jestem adminem - jestem zwykłym leszczem, który czasami chce wypalić płytę albo zrzucić zdjęcia z aparatu. I akurat wtedy okazuje się, że graveman nagrywa płyty ale wciąż są puste :) a to drugie gówno (zapomniałem nazwy) wywala komunikat, że nie mam uprawnień :)

Jeśli uznam, że system jest narzędziem, a nie celem samym w sobie, to niestety rolling-release się nie nadaje. W tej roli sprawdza się stable i to w wydaniu debiana. Przez rok używania lennego miałem tylko jedną hydrozagadkę - taczpad przestał działać. Ale inne aplikacje działały stabilnie.

Nie mogę zaakceptować sytuacji, kiedy poświęcam x godzin na to, żeby sobie coś skonfigurować, a po 2-3 miesiącach przestaje działać, bo aktualizacja zepsuła. Nikt mi tego czasu nie zwróci :)

Czasami nie mam ochoty na grzebanie w systemie i w necie, żeby naprawić coś, co wcześniej działało, bo po prostu potrzebuję szybko coś zrobić ale niestety - nie mam uprawnień :) Ileż razy jeszcze mam generować te klucze do ssh albo zmieniać program do nagrywania, bo żaden u mnie nie chce działać (płyty wypalam w konsoli)?

Idealną dystrybucją byłby gebian :) czyli gentoo z cyklami jak w debianie ;)

Jacekalex · 2010-10-18 10:03:21

Uprawnienia folderu .ssh:

Kod:

root ~ # ls -l /home/pies/.ssh
razem 8
-rw------- 1 pies pies  131 10-17 17:47 agent-localhost
-rw------- 1 pies pies 3528 10-17 17:29 autorized.keys
root ~ # ls -al /home/pies | grep ssh
drwx------  2 pies pies   4096 10-17 17:47 .ssh
root ~ #

Zależność logowania od uprawnień $HOME:

Kod:

root ~ # chmod 777 /home/pies
root ~ # ssh pies@localhost -p <port>
Permission denied (publickey,keyboard-interactive).

root ~ # chmod 700 /home/pies
root ~ # ssh pies@localhost -p <port>
Kto tam, do czorta?
pies ~ $

ippo76 napisał(-a):
....... Inna przyczyna, która przychodzi mi do głowy, to to, że mogłem coś namieszać w prawach dostępu, robiąc przy jakiejś innej okazji chmod -R na katalogu domowym...

SOA#1

Ostatnio edytowany przez Jacekalex (2010-10-18 10:04:44)

ippo76 · 2010-10-18 10:06:31

@ Jacekalex

Nie rozumiemy się. Nie chodzi o to, że nie mam dostępu na serwer. Mam. Chodzi o to, że miałem ustawione logowanie z kluczami, bezhasłowe. Do piątku działało, a od soboty wymaga hasła. I tego nie mogę zrozumieć.

Jacekalex · 2010-10-18 10:15:02

A ja po raz nie liczę który, piszę, - że logowanie ssh poprzez klucze jest zależne od uprawnień katalogu domowego usera.

A u Ciebie ssh się spieprzyło po operacji z uprawnieniami $HOME.
Więc gdzie jeszcze może być jakaś przyczyna?

Pokaż wynik:

Kod:

ls -l $HOME/.ssh
ls -al $HOME | grep ssh
ls -l /home | grep $USER

ssh u mnie loguje przy uprawnieniach następujących uprawnieniach $HOME - sprawdzałem: 700, 755.
Nie loguje przy 777.

Wszystkich kombinacji uprawnień sprawdzić nie mogę, więc chętnie spróbuję na takich,
jakie są u Ciebie.

To wszystko
;-)

Ostatnio edytowany przez Jacekalex (2010-10-18 10:16:45)

ippo76 · 2010-10-18 10:19:07

Jacekalex napisał(-a):
A ja po raz nie liczę który, piszę, - że logowanie ssh poprzez klucze jest zależne od uprawnień katalogu domowego usera.....

ippo76 napisał(-a):
Dzięki za Twój czas ale zmieniłem prawa dostępu na 700 i jest ten sam stolec jak wcześniej....

Nie ma sensu ciągnąć tego wątku dalej.

Dzięki.

Ostatnio edytowany przez ippo76 (2010-10-18 10:20:34)

Jacekalex · 2010-10-18 10:40:24

Na 99% jakiś drobiazg w uprawnieniach, jeśli nie do $HOME, to do $HOME/.ssh, albo samego autorized.keys.

Poza tym jeśli aktualizowałeś openssh - to coś się mogło zmienić, w przeciwnym razie to raczej niezbyt możliwe.

Ja mam wersję ~x86 (5.6_p1-r1), flagi USE:

Kod:

net-misc/openssh X X509 hpn libedit pam skey static tcpd

Mój konfig - i działa.

Prawdopodobnie użycie klucza u Ciebie blokuje jakiś drobiazg na tyle mało znaczący, że trudno go w ogóle zauważyć.

guzzi · 2010-10-18 12:21:09

jak nic nie widać na switchu to może poprostu przewód jest uszkodzony. Czasami jakaś pierdoła narobi sporo zamieszania.

winnetou · 2010-10-18 15:13:26

ippo ja jestem studentem, ale się nie uczyłem a studiowałem, systemu używam do tego co wszyscy inni - przeglądania sieci, "obróbki" fotek, ściągania pornoliedukacji. A admin ze mnie taki że niech to trafi ;] Zresztą poczytaj moje wątki to zobaczysz jakimi pierdołami głowę zawracam ;]

Forum Debian Users Gang

Ogłoszenie

#1 2010-10-15 18:43:01

ippo76 - fakam fszycho

ssh zdurniało

#2 2010-10-15 19:42:41

Jacekalex - Podobno człowiek...;)

Re: ssh zdurniało

#3 2010-10-15 19:48:21

ippo76 - fakam fszycho

Re: ssh zdurniało

#4 2010-10-15 19:52:44

Jacekalex - Podobno człowiek...;)

Re: ssh zdurniało

#5 2010-10-15 19:54:47

ippo76 - fakam fszycho

Re: ssh zdurniało

#6 2010-10-15 20:10:01

Jacekalex - Podobno człowiek...;)

Re: ssh zdurniało

#7 2010-10-15 20:12:47

ippo76 - fakam fszycho

Re: ssh zdurniało

Kod:

#8 2010-10-16 19:20:00

qlemik - Użytkownik

Re: ssh zdurniało

Kod:

Kod:

#9 2010-10-16 21:53:27

Jacekalex - Podobno człowiek...;)

Re: ssh zdurniało

Kod:

Kod:

Kod:

Kod:

#10 2010-10-17 17:55:36

ippo76 - fakam fszycho

Re: ssh zdurniało

#11 2010-10-17 18:14:06

Jacekalex - Podobno człowiek...;)

Re: ssh zdurniało

Jacekalex napisał(-a):

#12 2010-10-17 18:22:40

ippo76 - fakam fszycho

Re: ssh zdurniało

#13 2010-10-17 22:47:14

czadman - Bicycle repairman

Re: ssh zdurniało

#14 2010-10-18 01:01:04

lis6502 - Łowca lamerów

Re: ssh zdurniało

#15 2010-10-18 08:17:02

ippo76 - fakam fszycho

Re: ssh zdurniało

#16 2010-10-18 08:21:25

winnetou - złodziej wirków ]:->

Re: ssh zdurniało

#17 2010-10-18 08:56:30

ippo76 - fakam fszycho

Re: ssh zdurniało

#18 2010-10-18 10:03:21

Jacekalex - Podobno człowiek...;)

Re: ssh zdurniało

Kod:

Kod:

ippo76 napisał(-a):

#19 2010-10-18 10:06:31

ippo76 - fakam fszycho

Re: ssh zdurniało

#20 2010-10-18 10:15:02

Jacekalex - Podobno człowiek...;)

Re: ssh zdurniało

Kod:

#21 2010-10-18 10:19:07

ippo76 - fakam fszycho

Re: ssh zdurniało

Jacekalex napisał(-a):

ippo76 napisał(-a):

#22 2010-10-18 10:40:24