abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 3
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 801 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: SSH: nefunkcni soukromy dsa klic

19.4.2010 12:18 Ondrej Lukas
SSH: nefunkcni soukromy dsa klic
Přečteno: 441×
Dobry den, na prihlaseni ke svemu soukromemu serveru pouzivam DSA klice. Z meho stareho notebooku takove pripojeni funguje dobre. Nyni jsem si prenesl soubor se soukromym klicem id_dsa na novy notebook, v /etc/ssh/ssh_config jsem pridal toto:
Host mujserver
    HostName domena.domena.sk
    User root
    IdentityFile ~/.ssh/id_dsa
Soubor se soukromym klicem ulozil do ~/.ssh/ a pokud se chci pripojit, dostanu toto:
$ ssh -vvv mujserver
OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for mujserver
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.xxx.sk [x.y.z.q] port 22.
debug1: Connection established.
debug3: Not a RSA1 key file /home/user/.ssh/id_dsa.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug2: key_type_from_name: unknown key type '-----END'
debug3: key_read: missing keytype
debug1: identity file /home/user/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version Sun_SSH_1.1
debug1: no match: Sun_SSH_1.1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes128-cbc,arcfour,3des-cbc,blowfish-cbc
debug2: kex_parse_kexinit: aes128-ctr,aes128-cbc,arcfour,3des-cbc,blowfish-cbc
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: cs-CZ,de,de-AT,de-CH,de-DE,en-CA,en-US,es-MX,fr-CA,fr-CH,hu-HU,pl,pl-PL,sk-SK,cz,es,fr,hu,i-default,sv
debug2: kex_parse_kexinit: cs-CZ,de,de-AT,de-CH,de-DE,en-CA,en-US,es-MX,fr-CA,fr-CH,hu-HU,pl,pl-PL,sk-SK,cz,es,fr,hu,i-default,sv
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 151/256
debug2: bits set: 512/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 73
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 74
debug1: Host 'x.y.sk' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:73
Host key fingerprint is bb:0d:dd:f8:............
debug2: bits set: 513/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/user/.ssh/id_dsa (0x9c3ad5X)
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: start over, passed a different list gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:                        
Nejak nejsem schopen urcit co se stalo. Nejdrive si ssh stezuje, ze id_dsa je enznamy typ klice, pozdeji se mi zda ze ho ale pouzije. Muze mi prosim nekdo ochotny prelozit tento vypis do srozumitelneho jazkyka a objasnit co je spatne?

Odpovědi

19.4.2010 12:33 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
jsou správně nastaveny práva klíče? zkuste vygenerovat cvičně jiný dsa klíč a porovnat hlavičku patičku klíče, neměl jste tenhle klíč otevřený, žebyste něco z něj smazal?
19.4.2010 12:42 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
$ ls -l id_dsa*
-rw------- 1 user users 672 2010-04-19 12:40 id_dsa_cvicny
-rw------- 1 user users 672 2010-04-19 12:00 id_dsa
id_dsa_cvicny je cvicne vygenerovany a id_dsa je ten puvodni. Maji stejna prava i velikost. Urcite jsem z toho klice nic nemazal.
19.4.2010 13:51 Cuda
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Jaká máš práva na složku ~/.ssh taky jen pro usera rw? jelikož to je taky důležité
19.4.2010 14:49 Miklik | skóre: 27 | Krnov
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Na .ssh složku musí být rwx. chmod 700
Netvrdím to, ale možná je to pravda.
19.4.2010 21:12 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Prava jsou ok
19.4.2010 14:53 Miklik | skóre: 27 | Krnov
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Já ho mám delší, 736B.

-rw------- 1 user users 736 Nov 30 13:12 id_dsa
Netvrdím to, ale možná je to pravda.
Chytrex avatar 22.4.2010 11:24 Chytrex | skóre: 27 | Bohumín
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
OffTopic: Už i tady se začnem předhánět kdo ho má delší?:D
Hrdý člen KERNEL ULTRAS .:. define QUESTION ((bb) || !(bb)) .:. Odmítám vaši realitu a nahrazuji ji svou vlastní..
19.4.2010 15:03 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Nechapu, proc to delas tak slozite, staci vygenerovat klic, verejny nahrat na server uzivateli, pod kterym se chces prihlasovat, do ~/.ssh/authorized_keys a melo by to fungovat. Zadne hacky v /etc/ssh/ssh_config nejous potreba...
19.4.2010 15:07 bardolf | skóre: 8 | blog: chulimanga
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
neni to pravda, nektere distribuce jsou mirne paranoidni. osobne sem se s tim setkal v red-hatu, dulezite jsou prava 700 na authorized_key, nebo tez viz http://www.root.cz/clanky/jak-se-prihlasovat-na-ssh-bez-zadavani-hesla-undefined-undefined/nazory/. nebo checkni /var/log/secure. b.
19.4.2010 15:46 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
RHEL5:
drwxr-x--- 2 nagios nagios 4096 Apr  7 11:28 .ssh
-rw-r--r-- 1 nagios nagios  622 Apr  7 11:28 authorized_keys
Ale to je jedno, spis me zaujalo to jeho carovani s konfiguracnimi soubory :-)
19.4.2010 15:55 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
třeba chce klíč použít pouze pro tuto doménu a jinam ho ssh nemá ani nabízet?
19.4.2010 16:24 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Ano, pokud to tak myslel, tak je to OK...
19.4.2010 15:57 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
To „šachování“ s konfiguračními soubory přece nemá s klíčem skoro nic společného (určuje se tam cesta, ale ta je předpokládám v pořádku). Nastavuje se tam zkratka pro jméno stroje a přihlašovací jméno – to přihlášení s klíčem rozhodně nemůže ublížit.
19.4.2010 16:21 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Pokud tak myslel, tak je to OK...
19.4.2010 15:08 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Divná je tahle sekvence:
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
Podívejte se do logů na serveru, zda klíč z nějakého důvodu neodmítne.
19.4.2010 21:14 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Ano, presne na tyto dva radky jsem se take dival. Bohuzel k logum na serveru pristup nemam (vim ze to zni divne ale je to tak). Slo by nejak jinak zjistit proc me to nepusti?
20.4.2010 08:14 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Připadá mi to divné, protože nejprve tvrdí, že paket poslal, a po dvou řádcích najednou, že ne. Předpokládal bych, že když server odmítne klíč, bude o tom v logu nějaká zmínka. Přemýšlel jsem o nějakém nestandardním důvodu odmítnutí, vzpomněl jsem si na nedávný problém s generováním klíčů v Debianu, zda se na vašem serveru zároveň (dost pozdě) nezaktualizoval SSH server a ten teď neodmítá váš klíč jako potenciálně nebezpečný. Ale to mi připadá jako dost nepravděpodobné.

Můžete zkusit rozběhnout si SSH server jinde, nahrát si tam svůj veřejný klíč a zkusit se přihlásit tam. Buď v logu uvidíte něco o odmítnutí, nebo se vám přihlášení podaří, a pak aspoň budete vědět, že chyba je buď jen v serveru nebo v interakci serveru a klienta.
20.4.2010 11:01 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
To je dobry napad. Hodil jsem tedy verejny klic na server, ktery mam pod vlastni spravou a ihned jsem se s timto klicem pripojil. Na tomto mem serveru bezi "OpenSSH_5.3p1 Debian-1, OpenSSL 0.9.8n", na serveru na ktery se chci pripojit a nejde to bezi "SunSSH 1.1 (protocol 2.0)"

Tim jsem si tedy overil, ze tento par klicu funguje ok i s pouzitim nove verze openssh. Jenze ten druhy server klic odmita. Mate prosim jeste nejaky napad?
20.4.2010 11:22 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Obávám se, že bez znalosti toho, co se děje na serveru, se s tím nepodaří pohnout. Někde jsem četl, že server záměrně neposílá informace o důvodech odmítnutí klíče, protože by to mohlo prozrazovat informace útočníkovi.
20.4.2010 15:16 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Tak se mi konecne podarilo shenat logy z toho serveru, je tam toto:
Apr 20 14:36:16 server sshd[5213]: [ID 800047 auth.info] Connection from x.y.z.q port 11859
Apr 20 14:36:19 server sshd[5213]: [ID 800047 auth.info] Failed none for root from x.y.z.q port 11859 ssh2
Apr 20 14:36:19 server sshd[5213]: [ID 800047 auth.info] Failed publickey for root from x.y.z.q port 11859 ssh2
Apr 20 14:36:19 server sshd[5213]: [ID 800047 auth.notice] Failed publickey for root from x.y.z.q port 11859 ssh2
Dokazate z toho vycist i duvod odmitnuti?
20.4.2010 15:50 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Důvod odmítnutí tam nevidím, snad jedině zvýšit úroveň logování…
20.4.2010 15:53 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
V souboru /etc/ssh/sshd_config je u nastaveni logovani nastaveno toto:
# Syslog facility and level 
SyslogFacility auth
LogLevel verbose
20.4.2010 11:06 Jiří Lisický | skóre: 31 | blog: JIL_blog | Olomouc
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Používáte ssh-agent?
20.4.2010 11:15 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Nepouzivam, klic nemam sifrovany.
20.4.2010 11:33 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
zkuste na ten sunserver pouzit ten cvicny klic, projde? kdo ma pod spravou ten server? nemuzete pozadat o vypis z logu, klidne jen pro vaseho uzivatele?
20.4.2010 11:47 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
První poznámka na server se hlásíte přímo jako root, je to OK a server to umožňuje (fuj :) ).
Jestli je to omyl tak:
ssh -2 -vvv uzivatel@mujserver

Nepátrejte po důvodu, ale zkusil bych to ještě takto:
ssh-add ~/.ssh/id_dsa
ssh -2 -vvv user@mujserver
a pak třeba pro smazani
ssh-add -D
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
20.4.2010 12:22 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
První poznámka na server se hlásíte přímo jako root, je to OK a server to umožňuje (fuj :) ).
Pokud tam má rootovská práva jediný člověk nebo je hlavní správce a nepotřebuje evidovat, že to byl právě on, kdo se na roota přihlásil, pak na tom není nic špatného.
Nepátrejte po důvodu
To není moc dobrá rada…
20.4.2010 13:02 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
ad. 1 - možná…, je to každého věc, chtěl jsem vyjádřit svůj pocit (viz má patička :))
ad. 2 - není, to je pravda, ale pokud to zkusí a nepomůže to, je zbytečné se o tom rozvádět, pokud to zabere, máme nové informace a pak můžeme hledat důvod…
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
20.4.2010 14:42 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
Ano ten root je tam schvalne. Udelal jsem to tedy tak jak jste psal a vypis vypada takto:
$ ssh-add ~/.ssh/id_dsa_sun
Identity added: /home/user/.ssh/id_dsa_sun (/home/user/.ssh/id_dsa_sun)
$ ssh -2 -vvv root@server.xyz
OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to server.xyz [x.y.56.37] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/id_rsa type -1
debug3: Not a RSA1 key file /home/user/.ssh/id_dsa.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug2: key_type_from_name: unknown key type '-----END'
debug3: key_read: missing keytype
debug1: identity file /home/user/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version Sun_SSH_1.1
debug1: no match: Sun_SSH_1.1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes128-cbc,arcfour,3des-cbc,blowfish-cbc
debug2: kex_parse_kexinit: aes128-ctr,aes128-cbc,arcfour,3des-cbc,blowfish-cbc
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: cs-CZ,de,de-AT,de-CH,de-DE,en-CA,en-US,es-MX,fr-CA,fr-CH,hu-HU,pl,pl-PL,sk-SK,cz,es,fr,hu,i-default,sv
debug2: kex_parse_kexinit: cs-CZ,de,de-AT,de-CH,de-DE,en-CA,en-US,es-MX,fr-CA,fr-CH,hu-HU,pl,pl-PL,sk-SK,cz,es,fr,hu,i-default,sv
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 128/256
debug2: bits set: 495/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 73
debug3: check_host_in_hostfile: filename /home/user/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 74
debug1: Host 'server.xyz' is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:73
Host key fingerprint is xx:0d:dd:f8:....
debug2: bits set: 526/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/user/.ssh/id_dsa_sun (0x93a1bc8)
debug2: key: /home/user/.ssh/id_rsa ((nil))
debug2: key: /home/user/.ssh/id_dsa (0x93987c0)
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: start over, passed a different list gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_dsa_sun
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug1: Trying private key: /home/user/.ssh/id_rsa
debug3: no such identity: /home/user/.ssh/id_rsa
debug1: Offering public key: /home/user/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:                                                                
Zda se mi, ze ten vypis vypada snad uplne stejne jako predtim. Co tento postup vubec ovlivnil oproti tomu jak jsem to delal puvodne?
20.4.2010 17:27 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
root .. ok :)
postupem, jsem jen chtěl vnutit jiný/stejný klíč explicitně přes agenta, aby se vyloučilo „nějaké špatné“ zpracování implicitního klíče/souboru definovaného directivou IdentityFile. Bo diskuzi sleduji, tak mně nenapadlo nic jiného než toto…

Evidentně server odmítl oba klíče.
Což se Vám potvrdilo i výše ze serverového logu.
Takže lze si jen pro jistotu položit i divné otázky, předem se za ně omlouvám:
„posílám tam opravdu-opravdu-opravdu správný klíč“,
„mám práva na id_dsa 600 a na adresář .ssh 700“(což bych teda očekával, že se to típne dříve.),
divná otázka: „zpracovává můj systém správně klíče bez hesla“,
„hlásím se na správného uživatele“( :)), „hlásím se na správný server není to třeba v sk/cz“,
„nemá server nějakou »vyšší«{hodně vysokou :)} politiku, která mně típe moji IP pro přihlášení, bo jsem to už zkoušel neúspěšně mockrát“ .
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
21.4.2010 15:06 qk
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic

jeste bych doplnil:

"zkopiroval jsem spravny klic spravne?" - zazil jsem pouziti more id_dsa.pub a zkopirovani vypisu - klic pak nebyl jako jeden radek, ale na nekolika radcich...

"mam prava na homedir max 755?" - minimalne aix a fedora pozaduje mit pravo zapisu pouze pro usera

22.4.2010 10:06 ivan
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
me se tohle kdysi stalo na AIXu. chyba v GCC zpusobovala, ze DSA klice s SSH nefungovaly.
22.4.2010 22:09 Ondrej Lukas
Rozbalit Rozbalit vše Re: SSH: nefunkcni soukromy dsa klic
A ma to nejake reseni?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.