PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem bei SSH Login mit Public Key authentication



Flowsen
06.07.09, 13:06
Hallo,

ich habe ein sehr seltsames Problem unter Ubuntu 9 Server beim konfigurieren einer "sicheren" SSH Verbindung.

Damit man sich per SSH nur noch mit Keyfile einloggen kann habe ich in der sshd_config folgenden Eintrag gesetzt:
PasswordAuthentication no

Dann habe ich die keys erzeugt und in ~/.ssh mit authorized_keys2 hinterlegt.

Auf dem Client Rechner in Putty den Key hinterlegt und das ganze auch für einen NXClient.
Getestet und das ganze läuft wunderbar. Jetzt das Problem... nach einem Reboot lässt er mich weder über den Putty SSH Client rein noch über den NXClient.

Mich zu Fuß :D an den Server begeben und Lokal mit dem Benutzerkonto angemeldet.
Sobald ich am Server lokal angemeldet bin, kann ich auf einmal wieder problemlos per keyfile (putty und NXClient) verbinden.
Lokal wieder abgemeldet, und schon lässt er mich nicht mehr extern über SSH einloggen.

Seltsames Problem, ich stehe etwas auf dem Schlauch und habe weder über Google noch Forensuche etwas gefunden.

muell200
06.07.09, 14:02
Seltsames Problem, ich stehe etwas auf dem Schlauch und habe weder über Google noch Forensuche etwas gefunden.

hallo und willkommen auf dem board.

wir stehen auch auf dem schlauch...

ES GEHT NICHT - IST KEINE FEHLERMELDUNG :)

gibt es eine fehlemeldung?
was steht in den log-dateien?

Flowsen
06.07.09, 14:56
Ich habe mir die auth.log angeschaut, hier kommt allerdings nur der Eintrag bei erfolgreichem Login:

Jul 6 14:43:18 server sshd[16297]: Accepted publickey for xxx from 192.168.0.3 port 2366 ssh2
Jul 6 14:43:18 server sshd[16297]: pam_unix(sshd:session): session opened for user xxx by (uid=0)
Jul 6 14:43:18 server sshd[16297]: Mount of private directory return code [0]

Bei den Anmeldungen die er verweigert schreibt er gar nichts in die Auth.log und über die Log von Putty erhalte ich:

"No supported authentication methods avaiable"

Ich kann es drehen und wenden wie ich will, ich kann mich lokal am server mit dem Nutzernamen anmelden und mich dann extern mit Putty verbinden -> klappt.
Dann kann ich mich Lokal auch wieder abmelden. Solange ich dann noch die aktive SSH Session offen habe, kann ich mich parallel auch nochmals mit SSH einloggen. Sobald ich überall ausgeloggt bin komme ich per SSH nicht mehr rein.

Bin kein Linux Profi bin aber gerne bereit dazuzuleren. In welchen LOG Dateien macht es noch Sinn nachzuschauen?

fubar
06.07.09, 15:20
Hast Du den Key auf dem Server - also via ssh-keygen - erstellt oder mit dem putty-gen?

Bei der 1ten Variante, musst Du den Key noch ins Putty-Format bringen(*.ppk). Mach doch mal ein
ssh -v user@localhost

regards
fubar

Flowsen
06.07.09, 15:29
Hallo Fubar,

Keys sind richtig erstellt und funktionieren unter Putty sowie dem NXClient. (Deswegen ja auch nochmal mein letzter Post mit der auth.log)
Das Problem liegt wohl eher daran, dass der Server mir keine Public Key Authentication anbietet solange ich -nicht- mit irgendeiner Session unter diesem Benutzer angemeldet bin.

Flowsen
06.07.09, 15:39
Mach doch mal ein
ssh -v user@localhost
fubar

Ja, das funktioniert und zwar wie gewünscht per key. Das war aber auch nicht anders zu erwarten, da ich ja bereits eingeloggt bin funktioniert das prächtig. Also mit den Keys ist offensichtlich alles richtig.

Edit:

Aus der daemon.log:

Jul 6 15:55:20 server gdm[3440]: pam_sm_authenticate: Called
Jul 6 15:55:20 server gdm[3440]: pam_sm_authenticate: username = [xxx]
Jul 6 15:55:20 server gdm[3440]: Warning: Using default salt value (undefined in ~/.ecryptfsrc)
Jul 6 15:55:21 server gdm[18663]: Passphrase key already in keyring; rc = [1]
Jul 6 15:55:21 server gdm[18663]: ecryptfs_add_passphrase_key_to_keyring: Error adding auth tok with sig [60f77$
Jul 6 15:55:21 server gdm[18663]: Error attempting to add filename encryption key to user session keyring; rc =$
Jul 6 15:55:21 server gdm[18663]: Passphrase key already in keyring; rc = [1]
Jul 6 15:55:21 server gdm[18663]: ecryptfs_add_passphrase_key_to_keyring: Error adding auth tok with sig [1baff$
Jul 6 15:55:21 server gdm[18663]: Error attempting to add passphrase key to user session keyring; rc = [1]
Jul 6 15:55:21 server gdm[18663]: There is already a key in the user session keyring for the given passphrase

Offensichtlich ein ähnliches Problem wie hier: https://bugs.launchpad.net/ubuntu/+bug/361984

Jemand eine Idee?

Edit 2: Gelöst

Problem gelöst. Da das home Verzeichniss verschlüsselt ist, kommt er an die Keyfiles in .ssh nicht ran. Workarround, das homeverzeichniss unmounten und die authorized_keys dort reinkopieren!
Anleitung in diesem bug-report: https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/362427/comments/12

muell200
10.07.09, 13:34
#7 gemeldet als spam