[Решено] sshd - некорректный вход по ключам Freebsd 9.0

[voledar]

На сервере использую Freebsd 9.0.
Настройка сервера с рабочей станции через ssh.
На сервере настроен sshd. Но работает как-то странно.

Должно было бы бить так.
На рабочей станции генерируется ключ, который потом забрасывается на сервер.
И используя который с рабочей станции имеем доступ к серверу.

Но по факту сервер запрашивает пароль пользователя, который запрашивается.
Если пользователь есть на сервере и пароль который вводится совпадает с паролем пользователя, то осуществляется вход в систему. Сгенерируемые ключи игнорируются. Если знаешь IP адрес, порт, пользователя и пароль, то доступ к серверу открыт. Пи том что сгенерируемых ключей на рабочей станции может и не быть.
В чем прикол?
Благо что сеть внутренняя и доступ с интернета закрыт.

sshd_config

Код: Выделить всё

sr1# cat /etc/ssh/sshd_config
Port 2202
Protocol 2
PermitRootLogin without-password
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    /usr/home/pointsr1/.ssh/authorized_keys
RhostsRSAAuthentication no
HostbasedAuthentication no
#IgnoreUserKnownHosts no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
X11Forwarding no
UseLogin no
UsePrivilegeSeparation no
# override default of no subsystems
Subsystem    sftp    /usr/libexec/sftp-server


sr1#

[daedalus]

От юзера которым будем использовать ssh на клиенте даем команду:

Код: Выделить всё

#ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/slim/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/slim/.ssh/id_rsa.
Your public key has been saved in /home/slim/.ssh/id_rsa.pub.
The key fingerprint is:
6c:62:f7:11:93:2d:47:90:66:80:88:43:c4:e3:95:7e slim@slim
The key's randomart image is:
+--[ RSA 2048]----+
| +o. o ....o. |
| = + . ++ |
| . = o= o |
| . . E. = |
| .o S . |
| . + . . |
| . |
| |
| |
+-----------------+

В резульате получаем 2 файла в папке ~/.ssh:
id_rsa – приватный (закрытый) ключ
id_rsa.pub – публичный ключ

По умолчанию публичные ключи хранятся в файлу /home/user/.ssh/authorized_keys
Нам необходимо загрузить публичный ключ (id_rsa.pub) на сервер и при помощи конкатенации добавить его содержимое в authorized_keys:

Код: Выделить всё

#cat id_rsa.pub >> /home/user/.ssh/authorized_keys

Теперь можно попробовать авторизоваться с клиента:

Код: Выделить всё

#ssh username@servername

Сие работает на 7.4, попробуйте, может прокатитт и в вашей версии.

[drBatty]

AuthorizedKeysFile /usr/home/pointsr1/.ssh/authorized_keys

сыграем в телепатов: путь правильный?

[voledar]

AuthorizedKeysFile /usr/home/pointsr1/.ssh/authorized_keys

сыграем в телепатов: путь правильный?

Путь правильный! pointsr1 - пользователь.

Я настройку на рабочей станции упустил, проблема с сервером.
А ключ на рабочей станции генерировал так

# cd /home/voledar/.ssh
# ssh-keygen -t rsa -b 4096 -f /home/voledar/.ssh/id_rsa
# cp id_rsa identity
# cp id_rsa.pub authorized_keys

authorized_keys перенес на сервер флешкой и поместил в папку
/usr/home/pointsr1/.ssh/

Вход #ssh pointsr1@192.168.3.2

Только запрашивает пароль pointsr1.

[drBatty]

authorized_keys перенес на сервер флешкой и поместил в папку
/usr/home/pointsr1/.ssh/

# cd /home/voledar/.ssh
# ssh-keygen -t rsa -b 4096 -f /home/voledar/.ssh/id_rsa
# cp id_rsa identity
# cp id_rsa.pub authorized_keys

вообще-то надо было залогинится как voledar, и там запустить ssh-keygen, а потом оттуда-же заходить на фряху. Что там у вас происходит я точно не знаю, зависит от настроек (и рута и юзера на клиенте, а также того и другого на сервере). В любом случае, непонятно, где в клиенте прописан порт 2202? Ну и вообще...
Попробуйте

$

ssh -v voledar1@192.168.3.2

что напишет?

ЗЫЖ точнее pointsr1@, я сам уже в ваших юзерах запутался,

[voledar]

ssh -v voledar1@192.168.3.2

Код: Выделить всё

[voledar@nb1 ~]$ ssh -v voledar1@192.168.3.2
OpenSSH_5.9p2, OpenSSL 1.0.0j 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 52: Applying options for 192.168.3.2
debug1: Connecting to 192.168.3.2 [192.168.3.2] port 2202.
debug1: Connection established.
debug1: identity file /home/voledar/.ssh/id_rsa type 1
debug1: identity file /home/voledar/.ssh/id_rsa-cert type -1
debug1: identity file /home/voledar/.ssh/id_dsa type -1
debug1: identity file /home/voledar/.ssh/id_dsa-cert type -1
debug1: identity file /home/voledar/.ssh/id_ecdsa type -1
debug1: identity file /home/voledar/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.8p2_hpn13v11 FreeBSD-20110503
debug1: match: OpenSSH_5.8p2_hpn13v11 FreeBSD-20110503 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 96:f8:02:e7:01:b3:d3:c5:da:44:d4:1f:d9:c8:18:2b
debug1: Host '[192.168.3.2]:2202' is known and matches the ECDSA host key.
debug1: Found key in /home/voledar/.ssh/known_hosts:2
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: keyboard-interactive
debug1: Next authentication method: keyboard-interactive
Password:

[drBatty]

debug1: Found key in /home/voledar/.ssh/known_hosts:2
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server

сервер тот, вы там уже были, с этим всё нормально. Но тот ключ, что вы ему суёте - неподходит.

[voledar]

Не заметил

Код: Выделить всё

ssh -v voledar1@192.168.3.2

На сервере нет пользователя voledar

З.Ы
У меня все нормально проходит на Linux, а с Freebsd нет,
с такимиже настройками sshd_config

[voledar]

[voledar@nb1 ~]$ ssh pointsr1@192.168.3.2

Код: Выделить всё

Password:
Last login: Tue Oct  2 13:45:14 2012 from 192.168.3.8
FreeBSD 9.0-RELEASE (GENERIC) #0: Tue Jan  3 07:46:30 UTC 2012

Welcome to FreeBSD!
......
$

И я на сервере а такого быть не должно.
Серевер должен запросить код ключа, а не пароль пользователя!

[voledar]

[voledar@nb1 ~]$ ssh -v pointsr1@192.168.3.2

Код: Выделить всё

OpenSSH_5.9p2, OpenSSL 1.0.0j 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 52: Applying options for 192.168.3.2
debug1: Connecting to 192.168.3.2 [192.168.3.2] port 2202.
debug1: Connection established.
debug1: identity file /home/voledar/.ssh/id_rsa type 1
debug1: identity file /home/voledar/.ssh/id_rsa-cert type -1
debug1: identity file /home/voledar/.ssh/id_dsa type -1
debug1: identity file /home/voledar/.ssh/id_dsa-cert type -1
debug1: identity file /home/voledar/.ssh/id_ecdsa type -1
debug1: identity file /home/voledar/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.8p2_hpn13v11 FreeBSD-20110503
debug1: match: OpenSSH_5.8p2_hpn13v11 FreeBSD-20110503 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 96:f8:02:e7:01:b3:d3:c5:da:44:d4:1f:d9:c8:18:2b
debug1: Host '[192.168.3.2]:2202' is known and matches the ECDSA host key.
debug1: Found key in /home/voledar/.ssh/known_hosts:2
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: keyboard-interactive
debug1: Next authentication method: keyboard-interactive
Password:
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.3.2 ([192.168.3.2]:2202).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Last login: Tue Oct  2 14:28:47 2012 from 192.168.3.8
FreeBSD 9.0-RELEASE (GENERIC) #0: Tue Jan  3 07:46:30 UTC 2012

Welcome to FreeBSD!

Before seeking technical support, please use the following resources:

o  Security advisories and updated errata information for all releases are
   at http://www.FreeBSD.org/releases/ - always consult the ERRATA section
   for your release first as it's updated frequently.

o  The Handbook and FAQ documents are at http://www.FreeBSD.org/ and,
   along with the mailing lists, can be searched by going to
   http://www.FreeBSD.org/search/.  If the doc package has been installed
   (or fetched via pkg_add -r lang-freebsd-doc, where lang is the
   2-letter language code, e.g. en), they are also available formatted
   in /usr/local/share/doc/freebsd.

If you still have a question or problem, please take the output of
`uname -a', along with any relevant error messages, and email it
as a question to the questions@FreeBSD.org mailing list.  If you are
unfamiliar with FreeBSD's directory layout, please refer to the hier(7)
manual page.  If you are not familiar with manual pages, type `man man'.

Edit /etc/motd to change this login announcement.

If you `set filec' (file completion) in tcsh and write a part of the
filename, pressing TAB will show you the available choices when there
is more than one, or complete the filename if there's only one match.
$

Ключ id_rsa генерировал на рабочей станции.

[pelmen]

Сгенерируемые ключи игнорируются...
...
В чем прикол?
...
sshd_config

Код: Выделить всё

sr1# cat /etc/ssh/sshd_config
...
PubkeyAuthentication no
...

Надеюсь, это поможет

[Bizdelnick]

# ssh-keygen -t rsa -b 4096 -f /home/voledar/.ssh/id_rsa
# cp id_rsa identity
# cp id_rsa.pub authorized_keys

И Вы ожидаете, что после этих манипуляций у юзера будет доступ на чтение к ключам?
Вообще то, чего Вы хотели добиться, делается гораздо проще:

$

$ ssh-keygen -t rsa -b 4096 $ ssh-copy-id pointsr1@192.168.3.2

Безо всяких флешек.

[voledar]

Сгенерируемые ключи игнорируются...
...
В чем прикол?
...
sshd_config

Код: Выделить всё

sr1# cat /etc/ssh/sshd_config
...
PubkeyAuthentication no
...

Надеюсь, это поможет

Изменил
PubkeyAuthentication yes

[voledar@nb1 ~]$ ssh pointsr1@192.168.3.2

Код: Выделить всё

Enter passphrase for key '/home/voledar/.ssh/id_rsa':
Password:
Last login: Tue Oct  2 14:57:33 2012 from 192.168.3.8
FreeBSD 9.0-RELEASE (GENERIC) #0: Tue Jan  3 07:46:30 UTC 2012

Welcome to FreeBSD!
................
$

Если не ввожу правильно пароль ключа, то запрашивает пароль пользователя!??
В том и другом случае попадаю на сервер.

[voledar]

На рабочей станции
[voledar@nb1 ssh]$ cat ssh_config

Код: Выделить всё

Host 192.168.3.1
    Port 2201

Host 192.168.3.2
    Port 2202

Host 192.168.3.3
    Port 2203

Host 192.168.3.4
    Port 2204

Host 192.168.3.5
    Port 2205


    ForwardX11 no
    Protocol 2
    ForwardX11Trusted no
    StrictHostKeyChecking ask

    RhostsRSAAuthentication no
    RSAAuthentication yes
    PasswordAuthentication no
    HostbasedAuthentication no

    IdentityFile /home/voledar/.ssh/identity

[voledar]

На даный момент решение только одно - правильно настроенный firewall

[daedalus]

правильно настроенный firewall

Сие есть костыль, а не решение.

[voledar]

правильно настроенный firewall

Сие есть костыль, а не решение.

А что делать? )
На втором сервере с Freebsd 9.0 такая же картина.
С теми же самыми настройками на сервере Linux, sshd работает, а на Freebsd 9.0 нет!
В Freebsd 9.0 можно войти на сервер и по ключю и по паролю пользователя,
А необходимо только по ключю, При том не по ключю сгенерированому сервером,
а сгенерированому пользователем, и заброшенному на сервер.

[pelmen]

Я запутался, переформулируйте еще раз... При чем тут proftpd ? И как вы файерволом заблокируете доступ к ssh-серверу по паролю, при этом оставив возможность осуществлять доступ к ssh-серверу по ключу?

[voledar]

Я запутался, переформулируйте еще раз... При чем тут proftpd ? И как вы файерволом заблокируете доступ к ssh-серверу по паролю, при этом оставив возможность осуществлять доступ к ssh-серверу по ключу?

Proftpd ни причем!!! У меня уже у самого глюки.
Я паралельно настраивал Proftpd, Вот и опечатка получилась.
А с фаерволом только один вариант, разрешить доступ к серверу по определенному порту, только с определенноого IP адреса или мак - адреса. А для всех остальных этот порт закрыт.
При чем никакого доступа с интернета, только локальной сети.
Я специально систему переставил с нуля, глюк остается. В чем прикол не знаю.

[pelmen]

Я правильно понял, что при одном и том же конфиге sshd_config на linux работает так, как вам хочется, а на бсд - нет?
При этом то, что вы хотите = аутентификация по ключу проходит, а без ключа (то биш по паролю) сразу отказ. Так? Я всё верно понимаю?

[voledar]

Я правильно понял, что при одном и том же конфиге sshd_config на linux работает так, как вам хочется, а на бсд - нет?
При этом то, что вы хотите = аутентификация по ключу проходит, а без ключа (то биш по паролю) сразу отказ. Так? Я всё верно понимаю?

Я попадаю на сервер и по паролю и по ключю.
А должен только по ключю. При чем по ключю сгенерированому пользователем, а не сервером!

Что до конфига то настройки стандартные.

Код: Выделить всё

Port 2202
Protocol 2
PermitRootLogin without-password
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    /usr/home/pointsr1/.ssh/authorized_keys
RhostsRSAAuthentication no
HostbasedAuthentication no
#IgnoreUserKnownHosts no
IgnoreRhosts yes
PasswordAuthentication no
PermitEmptyPasswords no
X11Forwarding no
UseLogin no
UsePrivilegeSeparation no

# override default of no subsystems
Subsystem    sftp    /usr/libexec/sftp-server

[voledar]

Интересный факт. Если удалить папку .ssh на рабочей станции, то при подключении к серверу она содается.
А в папке создается файл known_hosts.

Код: Выделить всё

[192.168.3.2]:2202 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHaIT0ZuAPf8eOMUrG9ebBl4Vzd8/NluvWvMTz6CVihSpE98Kx8CetW7GVaXIUIkFJPDlNiqhwFqWzdtY+p3HRk=

Далее просит ввести пароль пользователя.
И вход в систему, в папку пользователя, на сервере.

Какие еще баги есть не знаю! Но если использование ssh не кретично,
то оптимальный вариант, настроить сервер, а sshd отключить.[code][code]

[voledar]

Ради интереса изменил значение параметров настройки

RSAAuthentication no
PubkeyAuthentication no

В результате
[voledar@nb1 ~]$ ssh pointsr1@192.168.3.2

Код: Выделить всё

Password:
Last login: Tue Oct  2 21:55:31 2012 from 192.168.3.8
FreeBSD 9.0-RELEASE (GENERIC) #0: Tue Jan  3 07:46:30 UTC 2012

Welcome to FreeBSD!
.......
$

И все равно попал на сервер.
Такое впечатление, что настройки в sshd_config никакой роли не играют.
Хорошая дыра в безопасности

[pelmen]

какбэ надо перезагружать сервис после внесения настроек

[voledar]

какбэ надо перезагружать сервис после внесения настроек

Да если что-то изменяю, то перегружаю сервер. Но результат по факту тот же.

[drBatty]

При чем по ключю сгенерированому пользователем, а не сервером!

ну я читать не буду, ибо лень. Суть в том, что вы попадаете по паролю сервера И юзера.

Какие еще баги есть не знаю!

я упал с крыши. Разбил голову. Какие ещё баги в ваших крышах?!

[daedalus]

RhostsRSAAuthentication no
HostbasedAuthentication no

исправьте оба пункта на yes и перезапустите sshd.

[voledar]

RhostsRSAAuthentication no
HostbasedAuthentication no

исправьте оба пункта на yes и перезапустите sshd.

Да я уже пробовал, Да зайти по ключю пользователя можно.
Но при этом можно попасть и по паролю!
Как отключить вход по паролю, оставив при этом возможность входа только по ключю???!!!

[drBatty]

Как отключить вход по паролю, оставив при этом возможность входа только по ключю???!!!

PasswordAuthentication
Specifies whether password authentication is allowed. The default is “yes”.

вот конфиг:

# sed -r '/^(#.*|\s*)$/d' /etc/ssh/sshd_config

Port 666 AuthorizedKeysFile .ssh/authorized_keys PasswordAuthentication no UsePrivilegeSeparation sandbox # Default for new installations. Subsystem sftp /usr/libexec/sftp-server

вот лог

Код: Выделить всё

debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/drbatty/.ssh/id_rsa
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Trying private key: /home/drbatty/.ssh/id_dsa
debug1: Trying private key: /home/drbatty/.ssh/id_ecdsa
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: No more authentication methods to try.
Permission denied (publickey,keyboard-interactive).

УМВР

[voledar]

PasswordAuthentication
Specifies whether password authentication is allowed. The default is ”yes”.

Значение переменной PasswordAuthentication в конфиге sshd_config установлено как
PasswordAuthentication no

Смотрите конфиг на первом посту