The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"SSH по открытому ключу - пускает только root'a"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Шифрование, SSH, SSL / Linux)
Изначальное сообщение [ Отслеживать ]

"SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 11-Апр-12, 21:06 
Доброго времени суток всем!

Я новичок в Линукс! Поднял за 2 дня sshd, научился ходить с паролем, но финальная задача - научится аутентифицироваться при помощи открытого ключа.

Клиенткая машина Win7 c SecureCRT.

Сделал на клиенте ключ, положил в каталоги .ssh пользователей на сервере.

root стал ходить, а вот другие пользователи - нет. Почему? Ведь сгенерированный ключ для конкретной машины и для всех пользователей с нее - так?

Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на сервере - не помогло

Пытался менять параметр в /etc/ssh/sshd-config

AuthorizedKeysFile      %h/.ssh/authorized_keys

на

AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys


тоже не помогло.

Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?

Заранее большое спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 11-Апр-12, 21:51 
Да, и важный момент - не-root пользователей пускает по SSH, позволяет su делать и т.д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от sdog (ok) on 11-Апр-12, 21:59 
> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
> делать и т.д.

запускай sshd -D -d и смотри

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 11-Апр-12, 22:27 
>> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
>> делать и т.д.
> запускай sshd -D -d и смотри

Честно говоря, не очень понял...


root@ricardo:/home/ilia# sshd -D -d
sshd re-exec requires execution with an absolute path

Все

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от sdog (ok) on 11-Апр-12, 23:28 
>>> Да, и важный момент - не-root пользователей пускает по SSH, позволяет su
>>> делать и т.д.
>> запускай sshd -D -d и смотри
> Честно говоря, не очень понял...
> root@ricardo:/home/ilia# sshd -D -d
> sshd re-exec requires execution with an absolute path
> Все

знание английского необоходимо

но даже использую гугл транслейт можно понять в чём дело

http://translate.google.com/#en|ru|sshd%20re-...

P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс sshd

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 11-Апр-12, 23:55 
>[оверквотинг удален]
>>> запускай sshd -D -d и смотри
>> Честно говоря, не очень понял...
>> root@ricardo:/home/ilia# sshd -D -d
>> sshd re-exec requires execution with an absolute path
>> Все
> знание английского необоходимо
> но даже использую гугл транслейт можно понять в чём дело
> http://translate.google.com/#en|ru|sshd%20re-...
> P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс
> sshd

Убил killом и sshd и агента - точно так же ругается.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от sdog (ok) on 12-Апр-12, 00:44 
>[оверквотинг удален]
>>> Честно говоря, не очень понял...
>>> root@ricardo:/home/ilia# sshd -D -d
>>> sshd re-exec requires execution with an absolute path
>>> Все
>> знание английского необоходимо
>> но даже использую гугл транслейт можно понять в чём дело
>> http://translate.google.com/#en|ru|sshd%20re-...
>> P.S. прежде чем запускать sshd в консоле, нужно остановить уже запущеный процесс
>> sshd
> Убил killом и sshd и агента - точно так же ругается.

прочти перевод :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 12-Апр-12, 01:32 
Будь добр, объясни по-русски, пожалуйста, что даст запуск демона с конкретными ключами и почему он отказывается запускаться, потому что мне перевод ни гугловский ни собственный НИ@УЯ не говорит. Нужно указывать для запуска /usr/local/.../sshd -D -d ?

Заранее большое спасибо!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 12-Апр-12, 01:38 
Я был неправ, извини, /usr/sbin/sshd -D -d запустился... Пробую приконнектиться.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 12-Апр-12, 02:36 
Вот как ругается sshd в debug. Поставил все права на файл и на папку...

root@ricardo:/home/ilia/.ssh# /usr/sbin/sshd -D -d
debug1: sshd version OpenSSH_5.5p1 Debian-6+squeeze1
debug1: read PEM private key done: type RSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: private host key: #0 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: private host key: #1 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-D'
debug1: rexec_argv[2]='-d'
Set /proc/self/oom_adj from 0 to -17
debug1: Bind to port 22 on 0.0.0.0.
Server listening on 0.0.0.0 port 22.
debug1: Bind to port 22 on ::.
Server listening on :: port 22.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 5 out 5 newsock 5 pipe -1 sock 8
debug1: inetd sockets after dupping: 3, 3
Connection from 192.168.1.100 port 52732
debug1: Client protocol version 2.0; client software version SecureCRT_6.7.4 (build 354) SecureCRT
debug1: no match: SecureCRT_6.7.4 (build 354) SecureCRT
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze1
debug1: permanently_set_uid: 107/65534
debug1: list_hostkey_types: ssh-rsa,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: client->server aes256-ctr hmac-sha1 none
debug1: kex: server->client aes256-ctr hmac-sha1 none
debug1: expecting SSH2_MSG_KEXDH_INIT
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: KEX done
debug1: userauth-request for user ilia service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "ilia"
debug1: userauth-request for user ilia service ssh-connection method publickey
debug1: attempt 1 failures 0
debug1: test whether pkalg/pkblob are acceptable
debug1: PAM: setting PAM_RHOST to "192.168.1.100"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-512
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-512
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
Failed publickey for ilia from 192.168.1.100 port 52732 ssh2
debug1: userauth-request for user ilia service ssh-connection method publickey
debug1: attempt 2 failures 1
debug1: test whether pkalg/pkblob are acceptable
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-512
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-512
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/1000 (e=0/0)
debug1: trying public key file /home/ilia/.ssh/authorized_keys
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied
debug1: restore_uid: 0/0
Failed publickey for ilia from 192.168.1.100 port 52732 ssh2

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от sdog (ok) on 12-Апр-12, 08:55 
debug1: Could not open keyfile '/home/ilia/.ssh/authorized_keys': Permission denied

какие права на:
/home/ilia/.ssh
/home/ilia/.ssh/authorized_keys

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

4. "SSH по открытому ключу - пускает только root'a"  +1 +/
Сообщение от PavelR (ok) on 11-Апр-12, 22:45 
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile      %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!

Проверить привилегии на каталог ~/.ssh/ и  на файл ~/.ssh/authorized_keys
Запись на них должна быть доступна только владельцу. А лучше всего - права 0700.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 11-Апр-12, 23:04 
Павел,

поставил 0700 на каталог и файл, но чудо не произошло - root пускает, других пользователей - нет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Викентий Жопорезку on 12-Апр-12, 02:03 
не authorized_keys, а authorized_keys2


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo (ok) on 12-Апр-12, 02:34 
> не authorized_keys, а authorized_keys2

Вы не могли бы пояснить...?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от PavelR (??) on 12-Апр-12, 07:23 
> Павел,
> поставил 0700 на каталог и файл, но чудо не произошло - root
> пускает, других пользователей - нет.

Вы до сих пор не проверили и не исправили права и владельца файлов, о чем говорю я и очем говорят ваши отладочные логи.

что делать - вам уже указали, а разжевывать и возиться ... не всем надо, будьте более самостоятельными.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от user (??) on 12-Апр-12, 15:39 
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile      %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!

после того как скопировали- нужно обязательно сделать
chown -R юзер:группаюзера /home/юзер/.ssh

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от user (??) on 12-Апр-12, 15:44 
>[оверквотинг удален]
> так?
> Скопировал содержимое рутовой папки .ssh во все папки .ssh прочих пользователей на
> сервере - не помогло
> Пытался менять параметр в /etc/ssh/sshd-config
> AuthorizedKeysFile      %h/.ssh/authorized_keys
> на
> AuthorizedKeysFile      /home/vasya/.ssh/authorized_keys
> тоже не помогло.
> Подскажите, пожалуйста, как заставить всех пользователей лазать по ssh?
> Заранее большое спасибо!

К тому же, ключи генерируются не для всех пользователей с машины, а под конкретного пользователя конкретной машины.

тоесть если был сгенерирован один ключь конкретного пользователя селф машины, и скопирован во все домашние папки всех пользователей таржет машины, то этот конкретный пользователь селф машины сможет заходить на таржет машину под любым юзером(из тех которым скопировали ключь)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "SSH по открытому ключу - пускает только root'a"  +/
Сообщение от Ricardo email(ok) on 12-Апр-12, 18:57 
Друзья, большое спасибо всем за помощь!

Помог в конце концов chown ilia:ilia /папка

Спасибо!

З.Ы. Осталось овладеть тонеллированием =(((

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру