A Dissabte 05 Setembre 2009 18:10:57, Orestes Mas va escriure:
> Hola,
>
> Tinc un contenciós amb el SSH que m'està portant de cap. A veure si algú de
> vosaltres hi veu la llum.
>
> La cosa és senzilla d'explicar: vull connectar via ssh a un servidor, i
> vull fer-ho sense password, és a dir amb clau ssh. Sé com fer-ho, i ho he
> fet altres vegades: Em genero un parell de claus RSA pública/privada, i
> copio la clau pública al fitxer .ssh/authorized_keys del servidor, però no
> hi ha manera. SEMPRE EM DEMANA EL PASSWORD. Abans que feu les vostres
> hipòtesis, deixeu-me dir el següent.
Em sembla que ja ho tinc. És a dir, que tinc una possible explicació, tot i que no se m'acut la manera de comprovar-ho de forma simple.
Després de comprovar-ho tot a fons, i de determinar que tot sembla normal, aquesta insistència en no deixar-me connectar via clau pública sembla indicar que és perquè, malgrat tot, NO POT LLEGIR EL FITXER AUTHORIZED_KEYS.
Però no és un problema de permisos. Ja ho he comprovat. Aleshores he recordat vagament que fa temps em vaig trobar amb un cas relativament similar, i que aleshores la culpa era dels PAM, així que he comparat minuciosament la configuració del PAM en el servidor problemàtic i en un altre que no ho és.
Finalment ha resultat que no és el PAM, però aquí he trobat una possible explicació, perquè m'he adonat que en instal·lar el sistema en l'ordinador problemàtic, vaig optar per xifrar el directori /home amb ecryptfs.
Aleshores tot quadra. El contingut del /home/orestes no és llegible perquè està xifrat, i només esdevé llegible quan es munta amb la paraula de pas adient, i això només succeeix quan fem el login amb password, atès que aquest password és justament la paraula de pas que permet desxifrar i muntar el /home. Suposo que m'explico. I suposo que això també explica el notable temps d'espera que s'observa en l'intent de negociar la clau pública (deu fer intents de llegir el fitxer authorized_keys i al final abandona).
Suposo que per aconseguir fer funcionar el login amb clau pública en el meu cas caldria col·locar el fitxer authorized_keys en algun lloc no xifrat, i aconseguir que en fer un login satisfactori amb aquesta clau pública desxifrés i muntés el /home, però no tinc ni idea de com es deu fer això.
Penseu que tinc raó? Ho considereríeu un bug si fos així? O és un problema òbvi de solució estàndard?
Orestes.
|