Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: oefenen met ssh sleutels  (gelezen 1038 keer)

Offline evarie

  • Lid
  • Steunpunt: Nee
oefenen met ssh sleutels
« Gepost op: 2011/08/09, 00:15:08 »
Vandaag heb ik de nederlandse wiki gelezen over ssh sleutels. Ik ben aan het oefenen gegaan.
Een sleutel maken dat lukt wel. Maar een sleutel kopieren via een andere poort dan poort 22 lukt niet.
In de manpagia van ssh-copy-id staat geen mogelijkheid voor een poortnummer. Is er een andere mogelijkheid om toch dit te doen via een ander poort nummer?

Als ik een sleutel maak met commando ssh-copy-id evarie@host
wordt er om een wachtwoord gevraagd. Ik begrijp niet waar dat wachtwoord dan terecht komt en wanneer ik dat wachtwoord dan weer moet in vullen? Er wordt ook een keyfingerprint gegeven. Wat kan ik daar mee controleren?

Mijn wens is om met ssh in te loggen met, en een wachtwoord en met een sleutel. Dat is toch veel veiliger toch? Hoe kan ik dat controleren dat de werking dan ook goed functioneerd? Ik wil ook een keer testen om in te loggen met sleutel en zonder wachtwoord.

Na het toevoegen van de sleutel heb ik opnieuw ingelogt. Ik kreeg deze melding, maar ik weet niet zeker wat er wordt bedoelt: Agent admitted failure to sign using the key

Daarna heb ik de service herstart. Ik kreeg deze melding:
evarie@ub4me2011feb:~/.ssh$ service ssh restart
restart: Rejected send message, 1 matched rules; type="method_call", sender=":1.57" (uid=1000 pid=6308 comm="restart) interface="com.ubuntu.Upstart0_6.Job" member="Restart" error name="(unset)" requested_reply=0 destination="com.ubuntu.Upstart" (uid=0 pid=1 comm="/sbin/init"))

Is dit wel goed deze melding?

Nog even in het kort.
Ik had dus een sleutel gemaakt.
Daarna de sleutel gekopieert.
Daarna opnieuw ingelogt.
Toen kreeg ik de foutmelding.
Ik heb toen de sshd opnieuw op gestart
En weer ingelogd. Weer de melding:Agent admitted failure to sign using the key.
Er werd om een wachtwoord gevraagt.
Ik merkte niets van die sleutel.

Wat doe ik fout?
« Laatst bewerkt op: 2011/08/09, 00:25:49 door evarie »

Offline Bloom

  • Lid
  • Steunpunt: Ja
Re: oefenen met ssh sleutels
« Reactie #1 Gepost op: 2011/08/09, 00:36:45 »
Lees eerst deze how-to

ssh werkt standaard met poort 22 en met een wachtwoord. Dat moet eerst en vooral werken voordat je kunt beginnen met authenticatiesleutels. Als je op je server kunt inloggen met ssh user@server draait ssh op poort 22 als hij nu om een wachtwoord vraagt. Dan kun je ssh-copy-id user@server gebruiken om de eerder aangemaakte authenticatiesleutels naar de server te kopiëren. Daarbij vraagt ssh-copy-id een inlog en dat hoort zo want je voert een ssh-opdracht uit en dus moet je eerst inloggen. Eenmaal de sleutels gekopieerd zou een nieuwe ssh user@server je in de server moeten brengen zonder het wachtwoord te vragen. Let wel: afhankelijk van de Linux-variant van de server is het mogelijk dat inlogs via sleutels eerst geactiveerd moet worden in de /etc/ssh/sshd_config terwijl bij andere varianten dat al standaard aan staat. Kijk dat dus eerst na.
RSAAuthentication yes
PubkeyAuthentication yes

Je kunt ssh op een andere poort zetten door op de server de sshd_config te wijzigen en daar een andere poort op te geven. Let wel op: als je je server vanaf het internet wil benaderen via ssh moet je mogelijk diens firewallregels wijzigen. Dat geldt ook voor andere beveiligingen zoals fail2ban die je zou hebben draaien. Als je deze wijziging al uitgevoerd had, kom je nu tot de ontdekking dat ssh user@host -p poort wel werkt maar dat ssh-copy-id geen poortparameter heeft. Het probleem is dat ssh-copy-id eigenlijk maar één argument verwacht en de rest negeert. Je moet de poortparameter dus samen met gebruiker en server in één argument duwen. Dat kan als volgt:
ssh-copy-id "user@server -p poort"Let op de quotes! Die zorgen er hier voor dat ssh-copy-id maar één argument ziet. En op die manier kun je toch een poortnummer doorsluizen naar het onderliggende ssh-systeem.

Offline evarie

  • Lid
  • Steunpunt: Nee
Re: oefenen met ssh sleutels
« Reactie #2 Gepost op: 2011/08/09, 23:32:20 »
De laatste dagen had ik het weer druk met andere dingen. Ik zou willen dat ik het met de wiki ubuntu nl kon doen. Maar dat zit er denk ik niet in. Ik ga het dus verder uit zoeken. Dat komt een keer. Dus ik zet het in mijn agenda. Anders vergeet ik dit topic.

Offline softbart

  • Lid
  • Steunpunt: Nee
Re: oefenen met ssh sleutels
« Reactie #3 Gepost op: 2011/08/10, 12:28:29 »
Als je niet zo heel vaak ssh gaat gebruiken, volstaat het om op beide pc's die je wilt verbinden met ssh, het volgende te installeren:

Server:
sudo apt-get install openssh-server
Clients:
sudo apt-get install openssh-client
Verdere configuratie is optioneel.
Bovenstaande voldoet dus voor eenvoudig gebruik. Daarbij moet je toch een wachtwoord ingeven, namelijk het wachtwoord van de pc waar je via ssh wilt inloggen.

@femke98,
Wanneer je een ssh-server installeert staat er een poort(22) open. Iedere poort die open staat maakt een systeem kwetsbaarder.
Installeer alleen een ssh-server op het systeem waar hij echt nodig.

groet,

Theo

Offline evarie

  • Lid
  • Steunpunt: Nee
Re: oefenen met ssh sleutels
« Reactie #4 Gepost op: 2011/08/10, 13:32:39 »
Sorrie, maar het ging me niet om de basis. Ssh installeer ik altijd met sudo tasksel. En het poort nummer verander ik ook altijd. Ook plaats ik no achter permitrootlogin "permitrootlogin no"

Het probleem is dat ik de sleutel niet geinstalleerd krijg. Heeft iemand hier nog tips over?
Misschien moet ik in het configuratie bestand /etc/ssh/sshd_config een regel veranderen voor de sleutel, of niet soms?

IK had in mijn sshd_config staan:

#AuthorizedKeysFile   %h/.ssh/authorized_keys

Het hekje heb ik weggehaald. Ik weet alleen niet of dit juist is.
« Laatst bewerkt op: 2011/08/10, 13:36:01 door evarie »

Offline Bloom

  • Lid
  • Steunpunt: Ja
Re: oefenen met ssh sleutels
« Reactie #5 Gepost op: 2011/08/10, 13:41:52 »
Het kan geen kwaad. Het hekje stond er omdat dat de standaardinstelling is.

Welke foutmelding krijg je als je de sleutel probeert te installeren en welke opdracht heb je exact gegeven?

Offline evarie

  • Lid
  • Steunpunt: Nee
Re: oefenen met ssh sleutels
« Reactie #6 Gepost op: 2011/08/10, 13:44:36 »
Deze optie die je gaf bestaat niet: ssh-copy-id "user@server -p poort"

Het is aardig dat je wilt helpen. Alleen het is niet helemaal juist.

Het ligt ook aan mij, want ik had de wiki niet goed gelezen.

Ik had dit niet gezien: PubkeyAuthentication yes


Nu heb ik het allemaal nog een keer gedaan, maar dan met een centos 5.6 systeem en een ubuntu 10.04 desktop systeem. Ik krijg dan deze melding als ik inlog:
evarie@ub4me2011feb:~$ ssh evarie@192.168.1.7
Permission denied (publickey,gssapi-with-mic).

Ik zal wel weer iets niet goed gedaan hebben.
« Laatst bewerkt op: 2011/08/10, 14:19:01 door evarie »

Offline evarie

  • Lid
  • Steunpunt: Nee
Re: oefenen met ssh sleutels
« Reactie #7 Gepost op: 2011/08/10, 14:33:50 »
Ik loop vast bij de kwestie:

AuthorizedKeysFile   %h/.ssh/authorized_keys


Na dat ik het een en ander heb veranderd krijg ik nog steeds de melding: Permission denied (publickey,gssapi-with-mic).
Ik geef het op want ik weet nu niet meer waar het aan ligt.

Offline FreeTheBee

  • Lid
  • Steunpunt: Nee
Re: oefenen met ssh sleutels
« Reactie #8 Gepost op: 2011/08/10, 15:04:22 »
Staan de rechten voor de .ssh map en authorized_keys goed ingesteld, zoals hier uitgelegd (stap 2 en 3)?