SSH Key erzeugen

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • SSH Key erzeugen

      Hallo,
      suche eine Anleitung wie man sich bei der Vuplus
      via Konsole - ohne SSH-Passwort Eingabe anmelden kann.
      Also nicht der übliche Weg:
      ssh boxip = passwd.
      Sondern den SSH-Schlüssel direkt auf der Vuplus erzeugen um
      ihn anschliessend auf der WS zu sichern
      so das man ohne Passworte Eingabe in die Box kommt. ;!:

    • Wieso willst du den Schlüßel direkt auf der Box erzeugen? Du brauchst auf der VU doch nur deinen Public-Key. Sinnvoller wäre es, das Keypaar an dem Ort zu erstellen, wo du den privaten Schlüssel hast. Anyway, willst du ihn trotzdem auf der Box anlegen, schau mal nach dem Command "dropbearkey". Einfach mal eingeben und du siehst die Hilfeseite.

      Ansonsten lege mal eine "authorized_keys" in /etc/dropbear an und packe den Public-Key dort rein. Dann sollte es klappen.

      LG pan

    • Leider sind beide Links nicht ohne Anpassung auf das VTI image anwendbar.

      Wenn man seine public key (id_rsa.pub) auf dem Client erstellt hat, muss dieser auf dem Receiver (host) an eine /home/root/.ssh/authorized_keys angehängt werden. Das Verzeichnis /home/root/.ssh muß man evtl. erst noch erstellen.

      Das Anhängen des Keys and die /etc/dropbear/authorized_keys auf dem Receiverhat keine Auswirkung. Zumindest bei mir.

      Wenn was nicht geht hilft vielleicht "ssh -vv root@ip-der-box" weiter, dann sieht man was ssh so macht.

      Also:
      1. id_rsa.pub auf dem Client (PC) erzeugen, falls nicht schon in Linux unter ~/.ssh vorhanden
      2. id_rsa.pub auf die Box (Host) kopieren, zB nach /tmp. Das geht unter Linux auch mit
      "scp ~/.ssh/id_rsa.pub root@ip-der-box:/tmp/id_rsa.pub"
      3. /home/root/.ssh Verzeichnis erstellen, wenn nicht vorhanden
      4. id_rsa.pub an /home/root/.ssh/authorized_keys anhängen, zB in einer ssh oder telnet session mit der Box:
      "cat /tmp/id_rsa.pub >>/home/root/.ssh/authorized_keys
      5. Falls die Box im Internet hängt, evtl noch die Zugriffsrechte setzen:
      "cd /home/root/.ssh"
      "chmod 0600 authorized_keys"
      Fertig

      Gruss

      Josef
      ==========
      VuSolo2 mit OpenHab

    • Danke für die Anleitung, ich gebe einen Hinweis wie es noch ein wenig kürzer geht. Meine Box kann auch cp, dann kann man sich cat und die Umleitung sparen.

      Quellcode

      1. scp ~/.ssh/id_rsa.pub root@IP-Adresse-Box:/home/root/.ssh/authorized_keys
      3. root@vuduo2:~/.ssh# ls -la /home/root/.ssh/authorized_keys
      4. -rwx------ 1 root root 387 Mar 18 21:49 /home/root/.ssh/authorized_keys


      Achtung, so funktioniert das nur mit 1 Key, braucht man mehrere würde ich mich via ssh anmelden und dann mit

      Quellcode

      1. vi /home/root/.ssh/authorized_keys


      den nächsten Key einfach über die mittlere Maustaste einfügen. am besten davor. Zuerst i für Einfügen drücken und dann den vorhandenen Key nach unten schieben, etc.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von ubuntuuser ()

    • Hi, erstmal vielen dank für die Erklärung hier. Ich möchte jetzt aber noch die Passwort Auth abschalten, so das nur das Zertifikat genutzt werden kann. Allerdings finde ich nicht wo. da es ja nicht wie bei Linux eine sshd.conf gibt

    • Ändere mal die Optionen in /etc/default/dropbear; da müsste wohl -s mit drin stehen, -B kann dann wohl weg:
      -s Disable password logins
      -B Allow blank password logins
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • dort habe ich nur ein

      DROPBEAR_EXTRA_ARGS="-B"

      Das also einfach in

      DROPBEAR_EXTRA_ARGS="-S"

      ändern ja?

      Gibt es noch weitere Anpassungen die möglich sind? Wie auch bei der normalen SSHD.conf wie Port Auth Methode usw?

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von funstyler ()

    • kleines -s! Nicht grosses -S! Und danach den Service neu starten mit /etc/init.d/dropbear restart.
      Wegen weiterer Anpassungen mal dropbear --help aufrufen oder auch ne manpage zu dropbear im Internet anschauen.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Ok danke nun habe ich es.

      Spoiler anzeigen
      Dropbear server v2014.66 Dropbear SSH
      Usage: dropbear [options]
      -b bannerfile Display the contents of bannerfile before user login
      (default: none)
      -r keyfile Specify hostkeys (repeatable)
      defaults:
      dss /etc/dropbear/dropbear_dss_host_key
      rsa /etc/dropbear/dropbear_rsa_host_key
      ecdsa /etc/dropbear/dropbear_ecdsa_host_key
      -R Create hostkeys as required
      -F Don't fork into background
      -E Log to stderr rather than syslog
      -m Don't display the motd on login
      -w Disallow root logins
      -s Disable password logins
      -g Disable password logins for root
      -B Allow blank password logins
      -j Disable local port forwarding
      -k Disable remote port forwarding
      -a Allow connections to forwarded ports from any host
      -p [address:]port
      Listen on specified tcp port (and optionally address),
      up to 10 can be specified
      (default port is 22 if none specified)
      -P PidFile Create pid file PidFile
      (default /var/run/dropbear.pid)
      -i Start for inetd
      -W <receive_window_buffer> (default 24576, larger may be faster, max 1MB)
      -K <keepalive> (0 is never, default 0, in seconds)
      -I <idle_timeout> (0 is never, default 0, in seconds)
      -V Version
      Das sind die Möglichkeiten, und wenn ich mehr angeben will einfach hinter einander rein.

      DROPBEAR_EXTRA_ARGS="-g -r keyfile rsa /etc/dropbear/rsa_host_key -p 122"

      usw.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von hgdo ()

    • Falls das bei manchen mit den ssh-keys immer noch nicht funktioniert (bei mir haben alle Tips wie "chmoden", dropbear Verzeichnis oder root .ssh Verzeichnis nichts gebracht). Ich habe es dann nach längerem Suchen mit einem EInzeiler hinbekommen (id_rsa.pub auf client vorhanden):

      Auf dem Client:
      - um sich automatisch als root auf der vu einloggen zu können
      "ssh-copy-id -i /pathto/.ssh/id_rsa.pub root@vuserverip"
      - als sich als gleicher user wie auf dem client einzulogen
      "ssh-copy-id -i /pathto/.ssh/id_rsa.pub vuserverip"

      Jeweils noch einmal Passwort eingeben und funktioniert (zumindest bei meiner vu solo4k und vu ultimo)

    • Hallo,

      bei mir klappt der Login per key nicht :/

      Quellcode

      1. root@vuultimo4k:~# ls -ld ~/.ssh ~/.ssh/authorized_keys
      2. drwx------ 2 root root 4096 May 6 17:41 /home/root/.ssh
      3. -rw------- 1 root root 2791 May 6 17:41 /home/root/.ssh/authorized_keys
      die Datei /home/root/.ssh/authorized_keys habe ich auch nach /etc/dropbear/authorized_keys kopiert.

      in der log steht so etwas:
      Spoiler anzeigen

      Quellcode

      1. […]
      2. debug1: Connecting to 192.168.178.28 [192.168.178.28] port 22.
      3. debug1: Connection established.
      4. debug1: identity file /home/USER/.ssh/id_rsa type 1
      5. debug1: key_load_public: No such file or directory
      6. debug1: identity file /home/USER/.ssh/id_rsa-cert type -1
      7. debug1: key_load_public: No such file or directory
      8. debug1: identity file /home/USER/.ssh/id_dsa type -1
      9. debug1: key_load_public: No such file or directory
      10. debug1: identity file /home/USER/.ssh/id_dsa-cert type -1
      11. debug1: key_load_public: No such file or directory
      12. debug1: identity file /home/USER/.ssh/id_ecdsa type -1
      13. debug1: key_load_public: No such file or directory
      14. debug1: identity file /home/USER/.ssh/id_ecdsa-cert type -1
      15. debug1: key_load_public: No such file or directory
      16. debug1: identity file /home/USER/.ssh/id_ed25519 type -1
      17. debug1: key_load_public: No such file or directory
      18. debug1: identity file /home/USER/.ssh/id_ed25519-cert type -1
      19. debug1: Enabling compatibility mode for protocol 2.0
      20. debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1
      21. debug1: Remote protocol version 2.0, remote software version dropbear_2014.66
      22. debug1: no match: dropbear_2014.66
      23. debug2: fd 3 setting O_NONBLOCK
      24. debug1: Authenticating to 192.168.178.28:22 as 'root'
      25. debug1: SSH2_MSG_KEXINIT sent
      26. debug1: SSH2_MSG_KEXINIT received
      27. […]
      28. debug2: key: /home/USER/.ssh/id_rsa (0x55c495418b40), agent
      29. debug2: key: /home/USER/.ssh/id_dsa ((nil))
      30. debug2: key: /home/USER/.ssh/id_ecdsa ((nil))
      31. debug2: key: /home/USER/.ssh/id_ed25519 ((nil))
      32. debug2: service_accept: ssh-userauth
      33. debug1: SSH2_MSG_SERVICE_ACCEPT received
      34. debug1: Authentications that can continue: publickey,password
      35. debug1: Next authentication method: publickey
      36. debug1: Offering RSA public key: /home/USER/.ssh/id_rsa
      37. debug2: we sent a publickey packet, wait for reply
      38. debug1: Server accepts key: pkalg ssh-rsa blen 2069
      39. debug2: input_userauth_pk_ok: fp SHA256:Cxr5TXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXgiNqI
      40. debug1: Authentications that can continue: publickey,password
      41. debug1: Trying private key: /home/USER/.ssh/id_dsa
      42. debug1: Trying private key: /home/USER/.ssh/id_ecdsa
      43. debug1: Trying private key: /home/USER/.ssh/id_ed25519
      44. debug2: we did not send a packet, disable method
      45. debug1: Next authentication method: password
      46. root@192.168.178.28's password:
      Alles anzeigen

      ist die Key Länge das Problem? ?(

      Quellcode

      1. USER@W530:/tmp$ openssl rsa -text -noout -in ~/.ssh/id_rsa |head -n1
      2. Enter pass phrase for /home/USER/.ssh/id_rsa:
      3. Private-Key: (16384 bit)
      4. Broken pipe
      mfg
      Twilo

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Twilo ()

    • Hallo,

      mit nen Key, der nur 2048 bits hat, funktioniert es.

      Quellcode

      1. ssh-keygen -b 2048 -t rsa -f ~/.ssh/id_rsa_vu
      2. ssh-copy-id -i ~/.ssh/id_rsa_vu root@192.168.178.2
      3. ssh-add ~/.ssh/id_rsa_vu
      4. ssh root@192.168.178.2
      Gibt es eine Bitbegrenzung? ?(