Hallo Hugo,
Hugo Wau <hugowau@gmx.net> (Do 16 Feb 2012 18:02:04 CET):
> Ich habe 3 Debian Rechner in einem kleinen Netz (ohne
> Internet-Zugang) (zwar gemischt, Kabel und WLAN mit WPA aber ohne
> DSL-Anschluss) und möchte von einem auf die anderen mit rlogin/ssh
> Zugang haben. Ich habe auf jedem Rechner openssh-server installiert,
> ein HowTo aus dem Internet heruntergeladen und demzufolge
> $ ssh-keygen -t dsa
> $ ssh-copy-id username@192.168.x.n (Adressen der anderen Rechner)
> $ ssh-add
> auf jedem der Rechner ausgeführt.
ssh-keygen machst Du normalerweise genau einmal. Dann verteilst Du den
entstandenen Public-Key auf die anderen Kisten.
(Bin mir nicht sicher, ob Du oben das ssh-keygen auch auf *jedem*
Rechner gemacht hast. Das ist unnötig, es sei denn, Du möchstest
wirklich sehr viele verschiedene Schlüssel haben.)
Nach dem ssh-cp-id solltest Du mal auf den Zielaccounts gucken, ob in
der ~/.ssh/authorized_keys wirklich etwas angekommen ist.
ssh-add ist erstmal auch unnötig, das brauchst Du, wenn Du den SSH-Agent
verwenden möchtest.
A --> B --> C
Dein Private Key liegt auf A, dann brauchst Du erstmal für die
Verbindung von A zu B keinen Agent, aber, wenn Du von B zu C weiter
möchstest *und* auf A ein SSH-Agent läuft *und* der Client auf A mit der
Option ForwardAgent=yes gestartet wurde.
> In /etc/ssh_config habe ich all die # Kommentarzeichen entfernt und
> dort, wo es mir laienhaft sinnvoll erschienen ist, ein yes
> eingetragen, wie z.B: ForwardAgent yes
> ForwardX11 yes
> etc.
So lange Du keine dieser Optionen brauchst, kannst Du sie alle
ausgeschaltet lassen. Eventuell kannst Du später ForwardX11 und
ForwardAgent gebrauchen. (Für X11 muß auf der Serverseite in sshd_config
auch etwas eingeschaltet werden!)
Die Dinge, die Du in der /etc/ssh/ssh_config machst, sind für den *Client*,
die kannst Du auch einfacher in ~/.ssh/config eintragen.
> In eine Richtung (von Wheezy nach Squeeze) geht jetzt auch der ssh
> Zugriff mit ssh username@192.168.xx.xx einwandfrei
> aber in die andere Richtung halt nicht und auch nicht zwischen zwei
> Squeeze - Rechnern. (Terminal-Zugriff würde mir im Moment reichen.)
Wenn der Client nicht den Private Key hat, dann brauchst Du
Agent-Forwarding.
> Mein Wunsch wäre, ob jemand hier in der Liste die wesentlichen
> Elemente einer funktionierenden /etc/ssh_config posten könnte.
# This is the ssh client system-wide configuration file. See
# ssh_config(5) for more information. This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.
# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.
# Site-wide defaults for some commonly used options. For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.
Host *
# ForwardAgent no
# ForwardX11 no
# ForwardX11Trusted yes
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
# ProxyCommand ssh -q -W %h:%p gateway.example.com
SendEnv LANG LC_*
HashKnownHosts yes
GSSAPIAuthentication yes
GSSAPIDelegateCredentials no
> Und vielleicht fällt jemand ein, was ich besser machen muss.
>
> Ach ja, rsync ohne ssh kriege ich auch noch nicht hin. (Aber pingen
> funktioniert in jede Richtung.) Firewall, die Ports dicht macht,
Rsync wird gehen, wenn ssh geht.
> habe ich keine bewusst installiert. Wie beim Versuch mit ssh fängt
> der Rechner auch mit rsync an zu swappen und wird unendlich langsam
> während die Platte daueraktiv ist.
Das sollte eigentlich nicht so sein. Logfiles?
--
Heiko
Attachment:
signature.asc
Description: Digital signature