Ssh не получается авторизация по ключу

[Andx]

Помогите плиз я в шоке, не получается юзать ssh с авторизацией по ключу. Я делал все по этой инструкции http://www.nixp.ru/articles/Настройка-сервера-SSH-(теория-и-практика).html . На сервере 22 порт в iptables открыт, сервер запущен, на папку .ssh поставил права 700, прописал на сервер публичный ключ через ssh-copy-id, прописался нормально. Но коннекта не выходит помогите плиз что ему не нравится, головы не приложу. Выкладываю свои настройки и логи:

Конфиг сервера

# Номер порта и версия протокола
Port 22
Protocol 2



# Адреса, на которых слушает сервер, можно также указывать
# порт (server.test.ru:2022), но назначение ssh нестандартного порта
# нецелесообразно, т.к. заинтересует потенциальных взломщиков("А чего это там
# они прячут?")
# ListenAddress server.test.ru


# Ключ сервера для протокола версии 1
HostKey /etc/ssh/ssh_host_key
# Ключи rsa и dsa для ssh версии 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key


# Данные значения определяют длину ключа сервера и его время жизни для
# использования ssh версии 1(данный ключ будет заново генерироваться через
# заданное время)
#KeyRegenerationInterval 3600
#ServerKeyBits 768


# Далее определяем методы аутентификации для данного сервера и ее параметры


# Сервер отсоединяется по происшествии данного времени в секундах, если клиент
# не проходит аутентификацию
LoginGraceTime 600
# Разрешаем заходить по ssh руту. Долгое время эта тема обсуждалась на форуме,
# но я думаю все же, что со внутренней сети рут может заходить и по ssh (для
# этого надо настроить должным образом iptables). Также можно запретить руту
# входить по паролю: without-password, разрешая вход только по публичному ключу
PermitRootLogin without-password
# Проверка sshd прав доступа и владельцев домашних каталогов. Полезно для тех
# пользователей, что дают права всему 0777. Хотя таких болванов лучше держать на
# расстоянии от сервера(лучше всего это делать бревном, подвешенным в серверной
# к потолку, чтобы придать нежеланному гостю должное ускорение, и не забудьте
# оббить конец бревна какой-нибудь железкой, иначе бревна придется менять
# слишком часто
StrictModes yes


# Аутентификация через RSA (версия 1)
RSAAuthentication yes
# Аутентификация пользователя по ключу (версия 2)
PubkeyAuthentication yes
# Определяет публичный ключ пользователя для аутентификации по ключу. Можно
# применять шаблоны: %u - имя пользователя, %h - домашний каталог пользователя.
AuthorizedKeysFile   %h/.ssh/authorized_keys

# Не используем аутентификацию rhosts
RhostsAuthentication no
UseLogin no
# Можно также игнорировать rhosts и shosts при hostbased autentification,
# используя только known_hosts файл.
#IgnoreRhosts yes
# Используем ли аутентификацию через known_hosts совместно с .rhosts или
# .shosts. Опция действительна только для протокола версии 1.
RhostsRSAAuthentication no
# То же самое, что и предыдущее только для версии 2
HostbasedAuthentication yes
# Если нет доверия к known_hosts, то их можно не использовать при hostbased
# autentification. По умолчанию no
IgnoreUserKnownHosts no


# Чтобы запретить посылку хешей паролей через туннель ssh задайте значение
# данной опции no. По умолчанию аутентификация по паролю разрешена
PasswordAuthentication no
# Можно также разрешить пустые пароли, но это полный отстой, т.к. это огромная
# дыра на сервере, через которую можно наделать много гадостей! Поэтому должно
# быть no (по умолчанию)
PermitEmptyPasswords no


# Аутентификация через механизм PAM.
PAMAuthenticationViaKbdInt no


# Передача протокола иксов через туннель ssh
X11Forwarding yes
# Используем в качестве x-сервера данный, т.е. клиент, запуская у себя x-клиента
# будет фактически использовать наш сервер, но все данные от сервера к клиенту
# будут шифроваться, что есть хорошо!
X11UseLocalhost yes
# При логине пользователя выводим /etc/motd: в некоторых системах это отменено в
# целях безопасности
PrintMotd yes
# Сообщаем пользователю время и место последнего логина, ситуация, аналогичная
# предыдущей
PrintLastLog yes
# Посылать клиенту сообщения о доступности
KeepAlive yes
# Максимальное число возможных соединений, где не произошло аутентификации. Если
# клиентов, не прошедших аутентификацию больше, то новые соединения не будут
# обрабатываться
MaxStartups 10
# Путь к файлу, который будет отображаться при входе клиента ДО аутентификации
Banner /etc/ssh_message
# Проверка соответствия ip адреса клиента и его символического имени в backzone,
# затем снова сравнение имени с ip адресом. Таким образом (извращенным)
# проверяется подлинность ip, но метод этот достаточно тормозной и по умолчанию
# он отключен
VerifyReverseMapping no


# Новые системы, работающие через ssh. В данном примере определяется
# "безопасный" ftp сервер - sftp, аналогичный доступ пользователя, но с
# возможностью передачи файлов(т.е. пользователь получает доступ ко всем своим
# файлам и нет возможности настройки разрешений и виртуальных пользователей,
# как, например в proftpd). По сути дела подсистемы ssh могут обеспечивать
# прохождение других протоколов по сети, но под "крылышком" ssh. Например, для
# sftp сервера есть одноименный sftp клиент. Его интерфейс полностью идентичен
# оригинальному ftp, но с одним отличием: происходит та же самая аутентификация
# пользователя на удаленном сервере(методами ssh), но вместо оболочки с
# пользователем взаимодействует подсистема, в данном случае sftp.
Subsystem   sftp   /usr/lib/ssh/sftp-server

Вот конфиг клиента на компе с которого соединяюсь:

# Определение хоста, в данном случае включает все хосты домена test.ru, можно
# использовать одиночный символ * чтобы указать параметры доступа к любому хосту
Host *
# Эта опция определяет, будет ли ssh использовать передачу данных от удаленного
# X сервера через свой безопасный канал. Далее будет описано, каким образом
# организуются безопасные туннели через ssh. Данная возможность позволяет
# защищать по идее небезопасные протоколы(X, pop, smtp, ftp) шифрованием ssh. По
# умолчанию данная опция no
ForwardX11 yes
# Список предпочтительных методов аутентификации через ssh версии 2. Первым
# стоит самый предпочтительный протокол, думаю, значения данного параметра ясны
PreferredAuthentications publickey,hostbased,keyboard-interactive
# Этот параметр определяет, будет ли производится стандартная парольная проверка
# По умолчанию yes
PasswordAuthentication no
# Число попыток ввода пароля перед тем, как клиент отсоединяется от сервера. По
# умолчанию пароль можно вводить трижды
NumberOfPasswordPrompts 3
# Список допустимых пользователей для данного сервера. Можно применять два
# формата: список пользователей, разделенных пробелом, и список пользователей и
# хостов, разделенных пробелом(USER@HOST - разрешает данному пользователю доступ
# только с данного адреса). Можно использовать выражения * и ?. Подобное же
# назначение имеют опции AllowGroups, DenyUsers и DenyGroups(для групп нельзя
# указывать адрес клиента)
# AllowUsers *@*
# DenyUsers xakep lamer
# DenyGroups x*
# Использование ssh(2 версия) аутентификации через rhosts и RSA ключи. По
# умолчанию no.
HostbasedAuthentication yes
# Будет ли клиент пытаться работать по rsh, если ssh недоступен или по каким-то
# причинам работает неправильно. По умолчанию no
FallBackToRsh no
# Используем ли rsh. По умолчанию no
UseRsh no
# Режим скрипта, когда не спрашиваются пароли с терминала. По умолчанию no
BatchMode no
# Дополнительно проверяется ключ хоста удаленной машины в
# known_hosts, что исключает подмену ip. По умолчанию yes.
CheckHostIP yes
# Данный параметр означает, будет ли клиент доверять полученным от серверов
# ключам. Параметр может принимать следующие значения: yes - ключи никогда
# автоматически не помещаются в known_hosts, ask - ключ может быть помещен в
# known_hosts только после подтверждения пользователя, no - все ключи
# автоматически размещаются в known_hosts(небезопасно). По умолчанию ask.
StrictHostKeyChecking ask
# Следующие параметры определяют секретные ключи ssh различных форматов:
# rsa и dsa
IdentityFile /home/andrey/.ssh/id_rsa
IdentityFile /home/andrey/.ssh/id_dsa
# Порт, на удаленной машине используемый ssh. По умолчанию 22
Port 22
# Версии протоколов, используемые клиентом в порядке убывания приоритета.
Protocol 2
# Протокол шифрования для версии 1 протокола ssh
Cipher 3des
# Возможные протоколы шифрования в порядке убывания приоритета для протокола
# версии 2
Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# Значение escape-символа, сигнализирующего, что идущие за ним символы
# необходимо воспринимать специальным образом(например ~. вызовет немедленное
# отключение клиента от сервера) при передаче двоичных данных необходимо
# установить этот параметр в none, что выключает escape последовательности. По
# умолчанию ~
EscapeChar ~
# Управление работой компрессии зашифрованнного трафика. Полезный параметр для
# медленных сетей, т.к. зашифрованные данные обычно увеличиваются в размере за
# счет фиксированной длины ключа. Компрессия позволяет уменьшить количество
# данных, передаваемых через сеть, но увеличит время работы самого протокола.
# Так что включать этот параметр желательно на медленных соединениях. По
# умолчанию no.
Compression yes
# Управляет посылкой сообщений о доступности клиента серверу, что позволяет
# нормально разорвать соединение, если произошла неполадка в сети или иная,
# приведшая к разрыва соединения. Если связь плохая, то лучше эту опцию
# отключить, чтобы дисконнект не происходил после каждой ошибки сети. По
# умолчанию yes.
KeepAlive yes

Лог клиента при попытке соединения:

andrey@andreypc:~$ ssh -v andx@192.168.0.100
OpenSSH_5.1p1 Debian-6ubuntu2, OpenSSL 0.9.8g 19 Oct 2007
debug1: Connecting to 192.168.0.100 [192.168.0.100] port 22.
debug1: Connection established.
debug1: identity file /home/andrey/.ssh/identity type -1
debug1: identity file /home/andrey/.ssh/id_rsa type -1
debug1: identity file /home/andrey/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.1p1 Debian-6ubuntu2
debug1: match: OpenSSH_5.1p1 Debian-6ubuntu2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-6ubuntu2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
The authenticity of host '192.168.0.100 (192.168.0.100)' can't be established.
RSA key fingerprint is b4:d6:95:bd:ec:31:c9:2c:d9:6c:ac:a8:a2:c8:e8:8b.
Are you sure you want to continue connecting (yes/no)? yes
Failed to add the host to the list of known hosts (/home/andrey/.ssh/known_hosts).
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive,hostbased
debug1: Next authentication method: publickey
debug1: Trying private key: /home/andrey/.ssh/identity
debug1: Trying private key: /home/andrey/.ssh/id_rsa
debug1: Trying private key: /home/andrey/.ssh/id_dsa
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,keyboard-interactive,hostbased
debug1: No more authentication methods to try.
Permission denied (publickey,keyboard-interactive,hostbased).

Лог сервера ssh:

andx@andx:~$ sudo strace -o sshd_log -ff /usr/sbin/sshd -D -ddd
debug2: load_server_config: filename /etc/ssh/sshd_config      
debug2: load_server_config: done config len = 751              
debug2: parse_server_config: config /etc/ssh/sshd_config len 751
debug3: /etc/ssh/sshd_config:2 setting Port 22                  
debug3: /etc/ssh/sshd_config:3 setting Protocol 2              
debug3: /etc/ssh/sshd_config:15 setting HostKey /etc/ssh/ssh_host_key
debug3: /etc/ssh/sshd_config:17 setting HostKey /etc/ssh/ssh_host_rsa_key
debug3: /etc/ssh/sshd_config:18 setting HostKey /etc/ssh/ssh_host_dsa_key
debug3: /etc/ssh/sshd_config:33 setting LoginGraceTime 600              
debug3: /etc/ssh/sshd_config:38 setting PermitRootLogin without-password
debug3: /etc/ssh/sshd_config:45 setting StrictModes yes                  
debug3: /etc/ssh/sshd_config:49 setting RSAAuthentication yes            
debug3: /etc/ssh/sshd_config:51 setting PubkeyAuthentication yes        
debug3: /etc/ssh/sshd_config:54 setting AuthorizedKeysFile %h/.ssh/authorized_keys                                                                              
debug3: /etc/ssh/sshd_config:57 setting RhostsAuthentication no                
/etc/ssh/sshd_config line 57: Deprecated option RhostsAuthentication            
debug3: /etc/ssh/sshd_config:58 setting UseLogin no                            
debug3: /etc/ssh/sshd_config:64 setting RhostsRSAAuthentication no              
debug3: /etc/ssh/sshd_config:66 setting HostbasedAuthentication yes            
debug3: /etc/ssh/sshd_config:69 setting IgnoreUserKnownHosts no                
debug3: /etc/ssh/sshd_config:74 setting PasswordAuthentication no              
debug3: /etc/ssh/sshd_config:78 setting PermitEmptyPasswords no
debug3: /etc/ssh/sshd_config:82 setting PAMAuthenticationViaKbdInt no
/etc/ssh/sshd_config line 82: Deprecated option PAMAuthenticationViaKbdInt
debug3: /etc/ssh/sshd_config:86 setting X11Forwarding yes
debug3: /etc/ssh/sshd_config:90 setting X11UseLocalhost yes
debug3: /etc/ssh/sshd_config:93 setting PrintMotd yes
debug3: /etc/ssh/sshd_config:96 setting PrintLastLog yes
debug3: /etc/ssh/sshd_config:98 setting KeepAlive yes
debug3: /etc/ssh/sshd_config:102 setting MaxStartups 10
debug3: /etc/ssh/sshd_config:104 setting Banner /etc/ssh_message
debug3: /etc/ssh/sshd_config:109 setting VerifyReverseMapping no
/etc/ssh/sshd_config line 109: Deprecated option VerifyReverseMapping
debug3: /etc/ssh/sshd_config:122 setting Subsystem sftp /usr/lib/ssh/sftp-server
debug1: sshd version OpenSSH_5.1p1 Debian-6ubuntu2
Could not load host key: /etc/ssh/ssh_host_key
debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key.
debug1: read PEM private key done: type RSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: private host key: #1 type 1 RSA
debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key.
debug1: read PEM private key done: type DSA
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: private host key: #2 type 2 DSA
debug1: rexec_argv[0]='/usr/sbin/sshd'
debug1: rexec_argv[1]='-D'
debug1: rexec_argv[2]='-ddd'
debug2: fd 3 setting O_NONBLOCK
debug1: Bind to port 22 on 0.0.0.0.
Bind to port 22 on 0.0.0.0 failed: Address already in use.
debug2: fd 3 setting O_NONBLOCK
debug1: Bind to port 22 on ::.
Bind to port 22 on :: failed: Address already in use.
Cannot bind any address.

Видно что гдето неверно прописаны права на файлы, вот только пока своей нубовской головы не приложу, права каких файлов надо поправить?

[mazzo]

может тут чего?

Код: [Выделить]

The authenticity of host '192.168.0.100 (192.168.0.100)' can't be established.
RSA key fingerprint is b4:d6:95:bd:ec:31:c9:2c:d9:6c:ac:a8:a2:c8:e8:8b.
Are you sure you want to continue connecting (yes/no)? yes
Failed to add the host to the list of known hosts (/home/andrey/.ssh/known_hosts)
а как при подлючении с клиента указыватеся где лежит приватный ключ? может попробовать при коннекте с клиента указать -i /home/user/.ssh/priv_key ?

[Andx]

mazzo
да, когда он спрашивает продолжить ли коннект я печатаю yes, просто он почемуто изза прав не может добавить этот хост в known_hosts, но дальше то всеравно идет соединение..

пробовал указать свой ключ через -i, не помогло

[sht0rm]

"Could not load host key: /etc/ssh/ssh_host_key"
он вообще там есть?

[tarabo]

А система на машине, к которой коннектишся, не переустанавливалась? Была похожая штука, помогла очистка файла .ssh/known_hosts

[Andx]

tarabo
обе системы свежие, на них ssh используется впервые

sht0rm
"Could not load host key: /etc/ssh/ssh_host_key" такого файла там вообще нет. При генерации ключей создались только RSA и DSA. Все вобщемто по той инструкции. Если он нужен то его можно просто ручками пустой создать, какие права ему присвоить?

[svFits]

права себе на чтение и запись, сам ключик с которой машины соединяешься должен лежать ~/.ssh да иникаких прав править не надо . на сервере перезапустить демона и все

[Andx]

svFits
не помогло......

ps. У всех все получается, а у меня тут на ровном месте такая заморочка, с правами на папки, файлы... жесть просто  ... неужели в сети нет подробной инструкции на русском какие права кому присваивать, что куда прописывать.

[mazzo]

да блин, в гугле все есть....
Приватный ключ на клиенте должен в папке .ssh того юзера, от которого логиниться нада, папка (и содержимое ) ессна должна принадлежать этому пользователю (ну и группе ессна), и иметь ,вроде, разрешения 700, разрешения на приватный ключ 600.
На сервере та же папка (и ее содержимое) .ssh  должна принадлежать тому же пользователю (если его нет -  его нада создать с домашним каталогом), в этой папке должен быть файл, указанный в конфиге сервера (вот с ним может быть ошибка  - в конфиге еще бывает он назван как authorized_keys2) -
"AuthorizedKeysFile   %h/.ssh/authorized_keys" , который должен содержать публичный ключ. Права вроде те же.
Это все по памяти, может чё напутал

[Andx]

mazzo
огромадное тебе  !! Все получилось после того как я изменил владельцев и права файлов на клиенте и сервере как ты сказал. Вот только потом ssh сервер надо было запускать из-под рута, а я его просто запускал такой командой /etc/init.d/ssh start тоесть из-под юзера, поэтому мне выдавалось сообщение ssh: connect to host 192.168.0.100 port 22: Connection refused

[mazzo]

не совсем понял что от кого запускалось (клиента нада запускать от юзера,для которого сгенерен ключ, сервер и так должен уже быть запущен - либо сразу после установки ssh , либо после загрузки системы ; с правами рута его нада только перезапускать при необходимости), но если все заработало - то отлично

[Andx]

mazzo
... и правда, после перезагрузки системы сервер ssh сам запускается, ничего руками запускать не надо. Сорри за нубство, я в процессе постижения магии линукса 

[Puggy]

к этой же теме, подскажите команду авторизацию ключей на сервере с нестандартным портом:

Код: [Выделить]

$ ssh-keygen -t rsa && ssh-copy-id -i ~/.ssh/id_rsa.pub -p port user@server
так не подходит..

[Mam(O)n]

к этой же теме, подскажите команду авторизацию ключей на сервере с нестандартным портом:

Ssh кагбэ похрен с каким ты портом его юзаешь.

[Alie Alexandross]

В ssh_config (для клиента) и sshd_config (для сервера) указывается порт.
Тэг -p, который вы использовали прокомментирован в man -е:

Код: [Выделить]

-p     Requests changing the passphrase of a private key file instead of creating a new private key.  The  program  will  prompt
              for the file containing the private key, for the old passphrase, and twice for the new passphrase.
И вообще - man ssh-keygen.

P.S. в этом-же руководстве указаны права для всех генерируемых файлов... К слову для тех, кто не смог найти how-to по правам.