Du bist nicht angemeldet.

#1 15.08.2015 01:55:55

LessWire
Mitglied

OPENSSH 7.0-p1-1

Version 7.0p1-1 ist jetzt im aktuellen repo (nicht mehr testing). Damit funktioniert bei mir die Authentisierung bei anderen Rechnern nicht mehr (ursprünglich initialisiert mit ssh-copy-id), es kommt immer die Passwortabfrage. Mit Downgrade auf 6.9p1-2 ist wieder alles bestens.

Mich wundert es ja, nachdem ich gestern im engl. Forum unter Rubrik  "testing" dazu einen thread eröffnet hatte, dann sinnvollerweise auf die "dev mailing list" hingewiesen wurde und dort war das Problem tatsächlich auch schon bekannt.

Erstaunlich, daß es jetzt trotzdem im allg. Repo auftaucht ?

Gruß, mmi

Beitrag geändert von LessWire (15.08.2015 02:01:12)

Offline

#2 15.08.2015 11:51:42

stefanhusmann
Moderator

Re: OPENSSH 7.0-p1-1

Ich habe dazu gerade auf der Startseite etwas geschrieben, leider zu spät. Ich hätte es gut gefunden, man hätte noch ein paar Tage gewartet, bis die Leute die Chance gehabt hätten, die Schlüssel nach Möglichkeit zu fixen.

Offline

#3 15.08.2015 12:55:44

Creshal
Mitglied

Re: OPENSSH 7.0-p1-1

OpenSSH 7.0p1 fixt nebenbei noch 4 kritische Sicherheitslücken. Besser DSA-Keys aussperren als Hacker reinlassen. smile

Offline

#4 15.08.2015 13:13:38

23arch
Gast

Re: OPENSSH 7.0-p1-1

Ich habe davon nichts gemerkt, da ich überall ausschließlich RSA Schlüssel habe. smile Allerdings nicht absichtlich. ^^> Ist RSA nicht der Standard, wenn neue Schlüssel erzeugt werden? wink

#5 15.08.2015 13:55:03

Creshal
Mitglied

Re: OPENSSH 7.0-p1-1

Leider, ja.

Offline

#6 15.08.2015 14:07:38

23arch
Gast

Re: OPENSSH 7.0-p1-1

Warum 'leider'?

#7 15.08.2015 14:10:08

Creshal
Mitglied

Re: OPENSSH 7.0-p1-1

Weil RSA ineffizient wie Sau ist, und Quantencomputer, die das brechen können, so langsam realistisch werden. Wird Zeit, das ed25519 Standard wird.

Offline

#8 16.08.2015 05:16:16

LessWire
Mitglied

Re: OPENSSH 7.0-p1-1

Soweit ok mit den alten dsa keys.

In der "known_hosts" fällt mir auf, daß Neueinträge jetzt mit

ecdsa-sha2-nistp256

gekennzeichnet sind, die alten haben "ssh-rsa". Beides funktioniert zwar, aber wär's nicht empfehlenswert, die alten Authentisierungen auch Zug um Zug zu erneuern ?

Beitrag geändert von LessWire (16.08.2015 05:19:54)

Offline

#9 18.08.2015 17:57:19

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

Moinsen!

Seit neuestem kann ich mich auf meinen Computern in meinem Netzwerk nicht mehr per ssh einwählen, genauer gesagt:

Das geht

ssh user@192.zzz.yyy.xxx

Das geht nicht mehr

ssh root@192.zzz.yyy.xxx

Liegt das an dem neuen OPENSSH 7.0-p1-1? Wenn ja, wie kann ich mich wieder per root und ssh zu Administrationszwecken auf meine Computer einwählen?

BTW.

grep ssh-dss ~/.ssh/authorized_keys

liefert (vor und nach dem Update) "grep: /root/.ssh/authorized_keys: Datei oder Verzeichnis gefunden"

Wünsche allen einen schönen Sommerabend,

Edward

Beitrag geändert von Edward d'Eath (18.08.2015 18:02:19)

Offline

#10 18.08.2015 20:43:26

Photor
Mitglied

Re: OPENSSH 7.0-p1-1

Edward d'Eath schrieb:

Das geht nicht mehr

ssh root@192.zzz.yyy.xxx

Schau mal nach, ob ein ROOT-Login überhaupt erlaubt ist. Das ist meist per default ausgeschlossen. Wenn Du es unbedingt willst, kannst Du in /etc/ssh/sshd_config den Eintrag

#PermitRootLogin yes

einkommentieren (d.h. den '#' wegnehmen) - wenn Du das wirklich willst. Und mach Dich am besten auch mit den anderen Schaltern dort vertraut.

Nachtrag: Du wolltest ja noch wissen, wie Du den Rechner remote per SSH administrieren kannst. Ich mache das so, dass ich mich als user einlogge und dann mittels su - ROOT werde.

Ciao,

Photor

Beitrag geändert von Photor (18.08.2015 20:46:15)

Offline

#11 18.08.2015 20:50:58

LessWire
Mitglied

Re: OPENSSH 7.0-p1-1

Offline

#12 19.08.2015 09:38:09

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

LessWire schrieb:

Juten Morjen LessWire,

den obigen Link habe ich natürlich schon gelesen, bevor ich meinen Beitrag geschrieben habe. Auf Grund meiner Unkenntniss sehe ich keinen Zusammenhang zwischen dem Link und meinem Betrag.

Grüße und so,

Edward

Offline

#13 19.08.2015 09:46:53

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

Hi Photor,

Photor schrieb:

Schau mal nach, ob ein ROOT-Login überhaupt erlaubt ist. Das ist meist per default ausgeschlossen. Wenn Du es unbedingt willst, kannst Du in /etc/ssh/sshd_config den Eintrag

#PermitRootLogin yes

einkommentieren (d.h. den '#' wegnehmen) - wenn Du das wirklich willst.

Ja will ich. Hat ja früher (out of the box (ohne irgendwelche Einstellungen meinerseits in der /etc/ssh/sshd_config)) auch funktioniert. Vielen Dank für Deine Hilfestellung.


Photor schrieb:

Du wolltest ja noch wissen, wie Du den Rechner remote per SSH administrieren kannst. Ich mache das so, dass ich mich als user einlogge und dann mittels su - ROOT werde.

Ja das ist mir schon klar und so habe ich es gestern nach dem Update auch gemacht. Nur ist das ein zusätzlicher Schritt, den ich aus Bequemlichkeit nicht machen möchte. Es sein denn, es sprechen Sicherheitsaspekte für den zusätzlichen Schritt (die sind mir aber derzeit unbekannt). Vor dem Update hat es out of the box (ohne irgendwelche Einstellungen meinerseits in der /etc/ssh/sshd_config) funktioniert. Warum wurde der Zugriff per root überhaupt abgeschaltet?


Ciao und vielen Dank für Eure Hilfe,

Edward

Beitrag geändert von Edward d'Eath (19.08.2015 09:48:54)

Offline

#14 19.08.2015 17:34:44

dagget
Mitglied

Re: OPENSSH 7.0-p1-1

Wenn ichs richtig verstanden hab, kannst du root auch nur für Befehle aktivieren.

       PermitRootLogin
              Specifies  whether  root  can log in using ssh(1).  The argument
              must be  ``yes'',  ``prohibit-password'',  ``without-password'',
              ``forced-commands-only'', or ``no''.  The default is ``prohibit-
              password''.

              If this option is set  to  ``prohibit-password''  or  ``without-
              password'', password and keyboard-interactive authentication are
              disabled for root.

              If this option is set to  ``forced-commands-only'',  root  login
              with  public key authentication will be allowed, but only if the
              command option has been specified (which may be useful for  tak‐
              ing  remote backups even if root login is normally not allowed).
              All other authentication methods are disabled for root.

              If this option is set to ``no'', root is not allowed to log in.

In den man-pages stehen auch noch viele weitere Interessante sachen. Du könntest dich z.B. auch ganz bequem ohne Passwort einloggen - Stichwort AuthorizedKeys.

LG
Markus

Offline

#15 20.08.2015 07:22:57

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

Moin Moin,

eine Frage habe ich noch. Welches wäre den nun der beste/sicherste Weg mit dem neuen OPENSSH 7.0-p1-1, wann man sich in seinem Heimnetz per ssh als root auf dem Zweitrechner anmelden will?

Beitrag geändert von Edward d'Eath (20.08.2015 07:23:41)

Offline

#16 20.08.2015 18:25:37

Creshal
Mitglied

Re: OPENSSH 7.0-p1-1

1. PermitRootLogin prohibit-password

2. ed25519-Key generieren und Pubkey in /root/.ssh/authorized_keys eintragen.


Ist auch der sicherste Weg für alle anderen Deployments. smile

Offline

#17 21.08.2015 07:44:20

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

Moin!

So, habe ein wenig in den folgenden Wikis gestöbert.
http://man7.org/linux/man-pages/man1/ssh-keygen.1.html
https://wiki.archlinux.org/index.php/SSH_keys
https://wiki.archlinux.de/title/Ssh
https://wiki.archlinux.de/title/SSH-Aut … sselpaaren

Ein Beispiel

ssh-keygen [-q] [-b bits] [-t dsa | ecdsa | ed25519 | rsa | rsa1] [-N new_passphrase] [-C comment] [-f output_keyfile]

So würde ich den ed25519-Key generieren. (-b bits) ist hier wohl überflüssig*.

ssh-keygen -t ed25519

oder so

ssh-keygen -t ed25519 -C "$(whoami)@$(hostname)-$(date -I)"

*

-b bits
             Specifies the number of bits in the key to create.  For RSA
             keys, the minimum size is 768 bits and the default is 2048
             bits.  Generally, 2048 bits is considered sufficient.  DSA keys
             must be exactly 1024 bits as specified by FIPS 186-2.  For
             ECDSA keys, the -b flag determines the key length by selecting
             from one of three elliptic curve sizes: 256, 384 or 521 bits.
             Attempting to use bit lengths other than these three values for
             ECDSA keys will fail.  Ed25519 keys have a fixed length and the
             -b flag will be ignored.


Ich habe folgende Hardware mit Archlinux drauf:
Seagate Dockstar
Raspberry Pi 2 Model B
Laptop HP OmniBook XE3GF
Laptop Fujitsu Siemens Amilo A 7620
Laptop MSI MegaBook GX 700
Desktop

Bisher habe ich mich nicht mit ssh kaum und mit der Schlüsselgenerierung überhaupt nicht beschäftigt. Wie geht es denn jetzt weiter?

Von allen Geräten möchte ich zu allen Geräten z.B. mittels scp Dateien kopieren können und ich möchte auch die (theoretische) Möglichkeit haben, mich per ssh von jedem Gerät auf jedes Gerät als User und root einloggen zu können.

Was muss ich dafür tun?
Auf jedem Gerät neue ed25519-Schlüssel erzeugen?
Die alten Schlüssel löschen?
Reicht es, auf jedem Gerät die Datei ~/.config/ssh/known_host zu löschen?

Fragen über Fragen und ich freue mich über Eure Antworten.

Edward

Beitrag geändert von Edward d'Eath (21.08.2015 07:49:16)

Offline

#18 21.08.2015 20:00:43

LessWire
Mitglied

Re: OPENSSH 7.0-p1-1

Erstmal auf jedem Remote-PC einloggen und dort für jeden User:

cd ~/.ssh
rm id_*     # alte keys löschen
rm authorized_keys
rm known_hosts
ssh-keygen -t ed25519
systemctl restart sshd

Sind alle Remote-PC's umgestellt, Hauptrechner (von dem aus Du das alles gemacht hast) ebenso umstellen.

Und schon funzts. wink

Ich habe so extra alles von Grund auf neu aufgesetzt, um alte Überbleibsel zu vermeiden.

Gruß, LW

Offline

#19 22.08.2015 10:33:44

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

Moin Moin,

habe meine Rechner jetzt umgestellt, sowohl root als auch User.

ssh-keygen -t ed25519

Enter file in which to save the key (/user/.ssh/id_ed25519): 
Enter passphrase (empty for no passphrase): 

Als passphrase habe ich das gleiche Passwort vergeben, welches ich auch direkt zum einloggen benutzen würde. Ist das soweit richtig?



Habe dann versucht, von einem Rechner auf die anderen per ssh zuzugreifen. Ich komme auch auf die Rechner, wenn ich mich dort als User einloggen will.

Als root gelingt mir das nicht. Was muss ich tun, damit ich als root auf die anderen Rechner komme?

Beim ersten Zugriff kommt der folgende Text. Was hat es mit der Warnung auf sich? Kann ich die ignorieren?

$ ssh root@192.168.yyy.xxx
The authenticity of host '192.168.yyy.xxx (192.168.yyy.xxx)' can't be established.
ECDSA key fingerprint is SHA256:jOuj9d/yA0ghzvd6ykKPEkTeVuSZfnMC3e0/SZ9olh8.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.yyy.xxx' (ECDSA) to the list of known hosts.
root@192.168.231.12's password: 
Permission denied, please try again.
root@192.168.231.12's password: 

Beitrag geändert von Edward d'Eath (22.08.2015 14:32:08)

Offline

#20 22.08.2015 14:27:47

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

Sodele, ich bin ein bischen weiter.

Beim recherchieren bin ich hier und hier fündig geworden.

Im Prinzip habe ich das hier gemacht:

$ scp ~/.ssh/id_ed25519.pub username@192.168.yyy.xxx:

Und das hier:

$ ssh username@192.168.yyy.xxx
$ cat ~/id_ed25519.pub >> ~/.ssh/authorized_keys
$ rm ~/id_ed25519.pub
$ chmod 600 ~/.ssh/authorized_keys
$ chmod go-w ~/.ssh

Nach dem aus- und wieder einloggen

$ ssh user@archlinux.de
Enter passphrase for key '/home/user/.ssh/id_ed25519':

Da drücke ich ENTER und dann kommt das:

user@192.168.yyy.xxx's password:

Ich sehe in dem neuen Verfahren keinen Mehrwert. Statt dessen habe ich mehr Arbeit beim anlegen der Konfiguration (es lief früher out of the box) und ich muss nun beim einloggen auf das entfernte System noch ein ENTER extra drücken. Wo sind die Vorteile des neuen Verfahrens?

Beitrag geändert von Edward d'Eath (22.08.2015 14:28:18)

Offline

#21 22.08.2015 15:26:44

LessWire
Mitglied

Re: OPENSSH 7.0-p1-1

@Edward:

- Beim Erzeugen des Schlüssels mit 'ssh-keygen' hättest Du kein Passwort eingeben sollen, das also nochmal wiederholen.

- Für das Einloggen als root musst Du in '/etc/ssh/sshd_config' 'PermitRootLogin=yes' setzen, wenn Du es trotz Sicherheitsmangel  so haben willst

- Darauf mit 'yes' antworten, diese Abfrage kommt je Rechner nur einmal, künftig dann nicht mehr:

'The authenticity of host '192.168.yyy.xxx (192.168.yyy.xxx)' can't be established.
ECDSA key fingerprint is SHA256:jOuj9d/yA0ghzvd6ykKPEkTeVuSZfnMC3e0/SZ9olh8.
Are you sure you want to continue connecting (yes/no)?

- Um künftig die Passwortabfrage zu unterdrücken, damit der Remote-PC automatisch authentisiert wird, einfach 'ssh-copy-id ...' verwenden (mit Kopieren, wie Du es gemacht hast,  geht's natürlich auch).

Gruß, LW

Beitrag geändert von LessWire (22.08.2015 15:27:33)

Offline

#22 23.08.2015 10:13:01

Edward d'Eath
Mitglied

Re: OPENSSH 7.0-p1-1

Moin Moin und Danke für Eure Hilfe.

Gestern habe ich mal wieder falsch gedacht aber heute Morgen hat es dann funktioniert. :-)

Jetzt habe ich mir die id_ed25519.pub-Dateien der User von den Zielrechnern auf den Steuerungsrechner kopiert, in die authorized_keys des Steuerungsrechners übernommen und sshd neu gestartet und nun geht es wieder wie vorher. Den Zugriff auf root auf den Zielrechnern werde ich mit su - machen.

Schönen Sonntag Euch allen,

Edward

Offline

#23 23.08.2015 11:01:34

Dirk
Moderator

Re: OPENSSH 7.0-p1-1

23arch schrieb:

Ich habe davon nichts gemerkt, da ich überall ausschließlich RSA Schlüssel habe. smile

Eben, wer hat bitte noch DSA-Schlüssel?

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums