scp mit key-auth

_Uzul_ · 13.02.2003

hi,

ich frickel jetzt schon nen geschlagenen tag an dieser scheiss authorization für scp rum.

das will ich:
es soll per scp eine datei von einem anderen linux rechner geholt werden.

ich weiss inzwischen schon das das im prinzip nur über key-auth oder mit passwd und expect funzt. expect fällt weg, bleibt also noch die key-auth.

da scheitere ich allerdings immer wieder an der passwortabfrage die leider dennoch auftaucht. scheint ein bekanntes problem zu sein da es massig beschreibungen dafpür gibt, aber leider funzt bei mir keine gefundene...

das hab ich gemacht:
auf beiden systemen einen backup-user angelegt. gleicher name, gleiches pass.

auf dem host mit 'ssh-keygen -t rsa (dsa auch getestet) -b 2048'
ein schlüsselpaar angelegt.

im $HOME den ordner '.ssh' mit permission 755 angelegt.

auf dem remote-sys 'authorized_keys' und 'authorized_keys2' jeweils mit permission 600 in '.ssh' angelegt.

darein den .pub-key kopiert.

== nix funzt.. bzw. er fragt halt immer noch nach dem scheiss pass!

villeicht hat ja eine beschreibung für 3jährige wie man das hinkricht... evtl. binn ich dann ja in der lage das hinzukriegen

hier noch die -v von scp:

Code:

scp -vB [email][email protected][/email]:/home/backup/temp/tester /Halde/backup/xxx
Executing: program /usr/bin/ssh host xxx.xxx.de, user backup, command scp -v -f /home/backup/temp/tester
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
15499: debug1: Reading configuration data /etc/ssh/ssh_config
15499: debug1: Applying options for *
15499: debug1: Rhosts Authentication disabled, originating port will not be trusted.
15499: debug1: ssh_connect: needpriv 0
15499: debug1: Connecting to xxx.xxx.de [212.79.178.7] port 22.
15499: debug1: Connection established.
15499: debug1: identity file /home/backup/.ssh/identity type -1
15499: debug1: identity file /home/backup/.ssh/id_rsa type 1
15499: debug1: identity file /home/backup/.ssh/id_dsa type 2
15499: debug1: Remote protocol version 1.99, remote software version OpenSSH_2.9.9p2
15499: debug1: match: OpenSSH_2.9.9p2 pat OpenSSH_2.*,OpenSSH_3.0*,OpenSSH_3.1*
15499: Enabling compatibility mode for protocol 2.0
15499: debug1: Local version string SSH-2.0-OpenSSH_3.4p1
15499: debug1:  Miscellaneous failure (see text)
15499: debug1: open(/tmp/krb5cc_502): No such file or directory
15499: debug1: SSH2_MSG_KEXINIT sent
15499: debug1: SSH2_MSG_KEXINIT received
15499: debug1: kex: server->client aes128-cbc hmac-md5 none
15499: debug1: kex: client->server aes128-cbc hmac-md5 none
15499: debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent
15499: debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
15499: debug1: dh_gen_key: priv key bits set: 123/256
15499: debug1: bits set: 1537/3191
15499: debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
15499: debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
15499: debug1: Host 'xxx.xxx.de' is known and matches the RSA host key.
15499: debug1: Found key in /home/backup/.ssh/known_hosts:1
15499: debug1: bits set: 1592/3191
15499: debug1: ssh_rsa_verify: signature correct
15499: debug1: kex_derive_keys
15499: debug1: newkeys: mode 1
15499: debug1: SSH2_MSG_NEWKEYS sent
15499: debug1: waiting for SSH2_MSG_NEWKEYS
15499: debug1: newkeys: mode 0
15499: debug1: SSH2_MSG_NEWKEYS received
15499: debug1: done: ssh_kex2.
15499: debug1: send SSH2_MSG_SERVICE_REQUEST
15499: debug1: service_accept: ssh-userauth
15499: debug1: got SSH2_MSG_SERVICE_ACCEPT
15499: debug1: authentications that can continue: publickey,password
15499: debug1: next auth method to try is publickey
15499: debug1: try privkey: /home/backup/.ssh/identity
15499: debug1: try pubkey: /home/backup/.ssh/id_rsa
15499: debug1: authentications that can continue: publickey,password
15499: debug1: try pubkey: /home/backup/.ssh/id_dsa
15499: debug1: authentications that can continue: publickey,password
15499: debug1: no more auth methods to try
15499: Permission denied (publickey,password).
15499: debug1: Calling cleanup 0x8068070(0x0)

Dewitt · 13.02.2003

Original geschrieben von _Uzul_
im $HOME den ordner '.ssh' mit permission 755 angelegt.

Ich hatte ein Jahr lang das Problem ständig nach einem
Passwort gefragt worden zu sein, nur weil mein ~/.ssh/ Ordner
755 Rechte hatte. Ein chmod 700 ~/.ssh hatte da geholfen.

vielleicht bei dir das gleiche Problem?

_Uzul_ · 14.02.2003

hatte mich leider verschrieben ...
.ssh hat schon 700, das is ja der kack :tr

irgendwie weiss ich nicht weiter.

kannst du mir mit bestimmtheit sagen welcher ordner genutzt wird: 'authorized_keys' oder'authorized_keys2' ? und welche permission hast du den keys auf dem client gegeben?

danke

Praetorian · 15.02.2003

Hmm ich vermute jetzt mal grob die Schuld beim SSH-Server, schau mal in die /etc/ssh/sshd_config ob RSAAuthentication eingeschaltet ist:

RSAAuthentication yes

Bei neueren SSH-Versionen muss die Datei übrigens authorized_keys (nicht authorized_keys2) heissen, da Schlüssel für SSH 1 und SSH 2 beide in der Datei landen. Wo ich gerade dabei bin - hast di in der sshd_config auch SSH 2 eingeschaltet?

Protocol 2,1

Hmm was gibt es noch...ich generiere meine Keys immer mit ssh-keygen -t rsa (ohne -b 2048).

Ich hoffe, irgendwas von meinen Gedanken hier hilft!

Dewitt · 17.02.2003

Sind deine Secret-Keys auch im .ssh Ordner?

Code:

insgesamt 40
drwx------    2 dennis   dennis       4096 2003-01-31 00:31 .
drwxr-xr-x   72 dennis   dennis       8192 2003-02-17 10:45 ..
-rw-r--r--    1 dennis   dennis       1114 2002-12-30 19:41 authorized_keys
-rw-------    1 dennis   dennis       1192 2002-12-31 16:13 id_dsa
-rw-r--r--    1 dennis   dennis       1113 2002-12-31 16:13 id_dsa.pub
-rw-------    1 dennis   dennis       1192 2002-12-31 16:14 identity
-rw-r--r--    1 dennis   dennis        601 2002-12-30 19:34 identity.pub
-rw-r--r--    1 dennis   dennis       6536 2003-02-14 12:48 known_hosts

So sieht mein ~/.ssh/ Ordner aus. Die *.pub Dateien sind natürlich
bereits auf dem Remote Host in die ~/.ssh/authorized_keys kopiert
worden.

Wie sieht deine sshd_config aus?
Meine sieht auf dem Server so aus:

Code:

Port 22
Protocol 2,1

HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

UsePrivilegeSeparation yes
PAMAuthenticationViaKbdInt no
KeyRegenerationInterval 3600
ServerKeyBits 768

SyslogFacility AUTH
LogLevel INFO

LoginGraceTime 600
PermitRootLogin yes
StrictModes yes

[color=red]RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys[/color]

RhostsAuthentication no
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no

PermitEmptyPasswords no
PasswordAuthentication yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
KeepAlive yes
Banner /etc/issue.net
Subsystemsftp/usr/lib/sftp-server

Lordazrael · 17.02.2003

PermitEmptyPasswords no

muss das nicht "yes" sein, denn bei dem key-auth kannst du ja kein PW verwenden, wenn es automatisch per scp gehen soll, oder ?

Dewitt · 17.02.2003

Original geschrieben von Lordazrael
PermitEmptyPasswords no

muss das nicht "yes" sein, denn bei dem key-auth kannst du ja kein PW verwenden, wenn es automatisch per scp gehen soll, oder ?

Nein. PermitEmptyPasswords gilt für Passwort Authentifizierung. Nicht
für Publickey Authentifizierung.

BTW: PubkeyAuthentication
Specifies whether public key authentication is allowed. The de-
fault is ``yes''. Note that this option applies to protocol ver-
sion 2 only.

Vielleicht mal versuchen, nur auf Protokoll 2 zu fahren und Protokoll 1
ganz weglassen.

Lordazrael · 17.02.2003

Originally posted by Dewitt
Nein. PermitEmptyPasswords gilt für Passwort Authentifizierung. Nicht
für Publickey Authentifizierung.

ok, war nur ne vermutung.

_Uzul_ · 18.02.2003

ARGH!

stupidity is my passion....

in allen beschreibungen die ich gelesen habe klang es immer so durch das 'authorized_keys' ein ordner ist, es is aber leider ein _FILE_ ...

konnte ja nicht funktionieren.

jetzt fluppts ohne probs.
danke für die hilfe.

scp mit key-auth

_Uzul_

Dewitt

_Uzul_

Praetorian

Dewitt

Lordazrael

Dewitt

Lordazrael

_Uzul_

scp mit key-auth

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums