Re: sshd mag kein pub-key-auth mehr
On 01.12.05 22:18:02, Sebastian Kayser wrote:
> * Andreas Pakulat <apaku@gmx.de> wrote:
> > On 01.12.05 21:40:23, Wolf Wiegand wrote:
> > > Hallo!
> > >
> > > Andreas Pakulat wrote:
> > >
> > > > musste vorhin einen meiner keys neu generieren (war bisher ohne PW,
> > > > jetzt mit).
> > > >
> > > > [...] und nun kann ich als normaler User nicht mehr mittels -l root
> > > > auf dem jeweils anderen Rechner einloggen mittels pub-key-auth. [...]
> > >
> > > Irgendwas im Log vom sshd/im Syslog?
> >
> > In auth.log steht nichts auch mit LogLevel VERBOSE nicht.
>
> Meinst Du nichts wie überhaupt nichts oder nichts wie nichts Relevantes?
> ;)
Eigentlich ersteres, sprich es erscheint erst eine Meldung wenn die
Anmeldung erfolgreich war oder abgebrochen wurde. Aber nicht wenn eine
der Methoden fehlschlaegt und die naechste genommen wird...
> Üblicherweise haben solche Pubkey-Probleme mit zu offenen Berechtigungen
> der authorized_keys bzw. von ~/.ssh zu tun. Sobald dort
> Schreibberechtigungen für die Gruppe drauf sitzen, weigert sich sshd
> Pubkey-Authentifizierung zu fahren.
Ich weiss, kenn ich auch von gnupg...
> Insofern Du also im Zuge Deiner Neugenerierung von Schlüsseln (so ganz
> kapiert, was Du jetzt genau wo erneuert hast, habe ich noch nicht)
Kurz:
ssh-keygen -t dsa -b 2048 fuer 4 User (2xandreas, 2xroot) auf 2
Rechnern. Bei den Usern jeweils ne Passphrase.
Dann mit scp die id_dsa.pub umherkopiert und in authorized_keys
gecattet. Aber (siehe andere Antwort an dich) dabei hab ich wohl was
durcheinandergewuerfelt oder vergessen (bin z.B. nicht sicher ob ich bei
den beiden root's auch die pub-keys der user in die authorized_keys
uebernommen hatte)
Ich werde aber bzgl. der Passphrase gleich nochmal nen Thread oeffnen,
hab da glaub ich ein Verstaendnissproblem.
> mit einer zu losen umask
Ich denke 0022 ist Ok oder?
> Wenn ich mich recht entsinne würde das aber mit einer entsprechenden
> Meldung in auth.log quittiert (bad ownership o.ä.).
Ich denke da klingelt was bei mir, soll heissen: So denke ich auch.
Andreas
--
It's all in the mind, ya know.
Reply to: