remmina, проблемы в ssh

[Schneider]

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Change to yes to enable built-in password authentication.
PasswordAuthentication yes
блин стояло NO всегда.. поставил YES заработало. получается при коннекте из других клиентов оно PAM использует, а тут, т.к. у remmina своя библиотека ssh, используется built-in.. треш..

спасибо Вам за помощь!

Такая же проблема, подскажи плиз, в каком файле ты это нашел.

видимо имеется ввиду /etc/ssh/sshd_config (на сервере к которому подключаешься)
только этот комментарий к этому параметру такой:

Код: [Выделить]

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
что означает выставите "no" чтобы выключить передачу пароля в тунеле простым (не шифрованным) текстом.
в таком виде сервер сбрасывает подключение если прилетает правильный рутовый (поправка: пользовательский) пароль, потому как в этом случае требуется обмен шифрованными с помощью ключей "респектами"
у меня именно так и выставлено как видите. использую давно терминал и другие клиенты  putty, Serverauditor (android),терминал стандартный в ubuntu 14.04 и все работают. Конечно когда осваивал каждый из них, всегда были трудности куда ключ вставлять. Но Remina меня победила, перепробовал все, что требовали другие программы, например ssh клиент терминальный требует чтобы разрешение на ключи выставлены были 600 (только чтение для владельца)
 Даже в папку ~/.ssh клал с именем id_rsa, все напрасно. Ключи генерил давно еще с помощью  putty (под вин) игрался с ними по всякому, у меня еще и сам ключ шифрованный, и все клиенты вышеперечисленные в итоге умеют с ними работать, но видимо не Remmina. Решил проверить, может нешифрованный схавает, расшифровал, сделал все магические пассы руками  и все напрасно, терминальный ssh клиент работает Remmina нет.
 PS> в общем как у Жванецкого,.... и не надо включать... не для Вас это все ))))
а без ключей, как у Quest получилось, мне не надо. потому как plain text - зло

[AnrDaemon]

Schneider, в нормальных системах под рутом нельзя зайти на ssh даже если парольная авторизация включена.

[Schneider]

Хмм все таки заработало, но по пионерски как то.
Итог следующий получился у меня.
с ключом работает но только не шифрованным и только одним!!! то есть можно конечно конечно несколько серваков админить, но приватный ключ у вас будет один на все серваки!!!
ключ надо положить с именем id_rsa в папку на клиенте ~/.ssh (и, видимо, с разрешениями 600), а в свойствах подключения в Remmina выбрать пункт "Публичный ключ (автоматически)" не предусматривающий выбор файла. Он должен быть как указано с параметрами выше и , еще раз повторяю, не шифрованный. На шифрованный ключ прога ругнулась, что не может прочитать файл.
 Вот так как то, кривизна в общем.
Пользователь решил продолжить мысль 01 Апреля 2016, 00:49:00:

Schneider, в нормальных системах под рутом нельзя зайти на ssh даже если парольная авторизация включена.

ну, я имел ввиду конечно, под пользователем xyz каким-нибудь конечно. Дальше через sudo...

[AnrDaemon]

Schneider, приватный ключ не "один на все сервера", а "один на обслуживающий компьютер"!
Т.е. ключ - это идентификация рабочей станции (ну и тебя, как её владельца).
В случае утраты ключа (станции), ты блокируешь этот ключ на серверах и потенциальный злоумышленник больше не может его использовать для подключения.
Очевидный вывод: для разных станций необходимо завести разные ключи. А отдельный ключ таскать с собой на флешке.

[Schneider]

Schneider, приватный ключ не "один на все сервера", а "один на обслуживающий компьютер"!
Т.е. ключ - это идентификация рабочей станции (ну и тебя, как её владельца).
В случае утраты ключа (станции), ты блокируешь этот ключ на серверах и потенциальный злоумышленник больше не может его использовать для подключения.
Очевидный вывод: для разных станций необходимо завести разные ключи. А отдельный ключ таскать с собой на флешке.

въезжаю, но медленно.
 Приватный один у админа, а публичных на этот приватный может быть несколько что ли? Тогда зачем их делать разные? можно один и тот же в каждый сервак запихать. Да, но тогда если ключом воспользуется хакер, то вскроет все серваки сразу, этот как один пароль ко всем учеткам делать. Вот я и говорю, Remmina  в этом случае криво работает, потому как ей только с одним названием файл подавай.

[AnrDaemon]

Не так… ладно, начинаю с начала. Очень коротко. Если вас заинтересуют подробности, поищите книжку "криптография от папируса до компьютера". Очень популярно всё изложено.
Система асимметричного шифрования построена на том, что:

1. …существуют два взаимно простых числа.
а) Закрытый ключ. Хранится у владельца.
б) Открытый ключ. Свободно доступен.

2. Зная только открытый ключ и имея на руках зашифрованное закрытым ключом сообщение, узнать закрытый ключ практически(*) невозможно.

Из этого следует совершенно феерический вывод: можно шифровать сообщения любым из двух ключей, и прочесть их смогут только те, у кого есть доступ ко второму ключу.

Ваш "закрытый ключ" (как файл, применительно к SSH) содержит не только сам закрытый, но ещё и соответствующий ему открытый ключ. Который при необходимости экспортируется и раздаётся всем заинтересованным лицам, либо просто выкладывается на всеобщее обозрение.

Дальше, см. моё предыдущее сообщение.

* "Практически" означает, что время вычисления парного ключа занимает неприемлемо большое время даже для самый мощных вычислительных систем.

[Schneider]

Не так… ладно, начинаю с начала. Очень коротко. Если вас заинтересуют подробности, поищите книжку "криптография от папируса до компьютера". Очень популярно всё изложено.
Система асимметричного шифрования построена на том, что:

1. …существуют два взаимно простых числа.
а) Закрытый ключ. Хранится у владельца.
б) Открытый ключ. Свободно доступен.

2. Зная только открытый ключ и имея на руках зашифрованное закрытым ключом сообщение, узнать закрытый ключ практически(*) невозможно.

Из этого следует совершенно феерический вывод: можно шифровать сообщения любым из двух ключей, и прочесть их смогут только те, у кого есть доступ ко второму ключу.

Ваш "закрытый ключ" (как файл, применительно к SSH) содержит не только сам закрытый, но ещё и соответствующий ему открытый ключ. Который при необходимости экспортируется и раздаётся всем заинтересованным лицам, либо просто выкладывается на всеобщее обозрение.

Дальше, см. моё предыдущее сообщение.

* "Практически" означает, что время вычисления парного ключа занимает неприемлемо большое время даже для самый мощных вычислительных систем.

ничего нового не узнал.
 В итоге, если Remmina может работать только с одним приватным ключом, для админа ведь не приемлемо ? так?

[AnrDaemon]

Эээ, не понял. С ключами работает SSH, а не Remmina.
И да, нормально вам не нужно больше одного приватного ключа в каждый конкретный момент времени.

[Schneider]

Эээ, не понял. С ключами работает SSH, а не Remmina.
И да, нормально вам не нужно больше одного приватного ключа в каждый конкретный момент времени.

ssh клиент консольный по умолчанию с Ubuntu идет, тоже работает. Название темы читал?
Одним ключом, конечно можно обойтись, я понял, но лучше б он сам (приватный ключ) был шифрованный в таком случае.
А работать с такими, как я понял, Remmina не умеет.

[AnrDaemon]

Одним ключом, конечно можно обойтись, я понял, но лучше б он сам (приватный ключ) был шифрованный в таком случае.

Чо?… Простите, но вот этого я вообще не понял сейчас.

[Schneider]

хм, разговор двух глухонемых. видимо спать надо ложиться во время.
ну да ладно.
 начнем с начала. сия тема называется "Remmina, проблеммы с ssh"
Remmina - программа клиент поддерживающая подключение по нескольким протоколам
в том числе и secure shell - ssh. Выше я рассказывал о своем опыте использования этой программы,
кстати по умолчанию идет в комплекте с ubuntu 14.04. по ssh работают так же и другие программы например, консольный
ssh - встроенный в терминал Ubuntu, набраешь в терминалке ssh логин@машина -i файл_ключа -p порт и вуаля.
  Ssh протокол, точнее часть его касающуюся использования ключей описал мой коллега AnrDaemon в предыдущих сообщениях.
в общих чертах использование ключей заключается в использовании клиентом (администратором сервера за своим пк) приватной части ключа, а сервером публичной части ключа. Происходит это приблизительно так: сервер шифрует своим ключом какое нибудь-слово - например "СЛОН" и отправляет шифровку клиенту, клиентская машина с помощью приватного ключа расшифровывает содержимое и отправляет серверу ответ "да это ж СЛОН !!!" тогда сервер понимает, что это свой человек и пропускает его, при этом даже не спрашивая пароль от его учетной записи на этом сервере!!!
 Я говорил о том что Remmina (GUI ssh клиент) работает кривовато, потому что может использовать только один приватный ключ для всех своих записей о подключениях (все таки заставил Remmina работать так). И чтобы админить несколько серверов придется на все серверы вписывать один и тот же публичный ключ. Что не безопасно на мой взгляд, как и иметь один пароль ко всем своим учеткам.
 Моя мысль пошла дальше и я предположил, что к одному приватному ключу можно сделать несколько публичных, но тут же подумал вслух, что это ничего не меняет. Существует еще одна возможность - зашифровать паролем сам приватный ключ  , давно так сделал с помощью Windowsкой puttygen
в таком случае при краже такого ключа злоумышленнику, чтобы им воспользоваться нужно знать еще и пароль этот!
Это как то оправдывало использования Remmina в качестве ssh-клиента, но ... не работает она так! (а все остальные клиенты ssh: putty, Serverauditor (android),ssh из консоли в ubuntu 14.04 умеют)
 как человек дотошный я перекопал http://www.remmina.org/wp/faq/ и https://github.com/FreeRDP/Remmina из чего узнал что они переехали с github на свой сайт. Подробной документации нигде нет. man remmina не помог.
 В общем эту прогу до лучших времен оставляю.

[AnrDaemon]

Что именно небезопасного в том, что на всех серверах будет записан ваш публичный ключ? (И вас не смутило то, что мои ключи спокойно лежат в открытом доступе на ланчпаде?)
Вы вообще читали, что я вам пишу, или решили, что всё лучше всех знаете, и тупо отмахнулись?…
Перечитайте https://forum.ubuntu.ru/index.php?topic=146156.msg2173855#msg2173855 пока до вас не дойдёт смысл написанного. Авторизация по ключам принципиально отличается от парольной авторизации. Она НЕСИММЕТРИЧНА. Знания одной части ключа совершенно недостаточно для чего бы то ни было. Надо ещё как минимум иметь известное сообщение, зашифрованное второй частью ключа.
А теперь перечитайте ваше последнее сообщение, и подивитесь, насколько бессмысленным оно вышло.

[Schneider]

Ну почему же бессмысленное? Я обосновал почему мне не нравиться Remmina. Собственно ваше сообщение я прочитал внимательно и раньше. Ничего нового я не узнал из него. Уже говорил. И,да я конечно в курсе, что открытую часть ключа часто выкладывают в открытую. Например для репозитариев. И, разумеется, я в курсе, что авторизация по ключам отличается принципиально от парольной.
Но тема здесь другая!
Конечно, я не понимаю в деталях работу ключей, но в общих чертах,-вполне.
 В итоге, что Вы хотите сказать? Вы не намеками тогда скажите, а как по вашему правильно мне поступить, иметь одну пару ключей на несколько своих серверов и не шифровать приватный?

[AnrDaemon]

Всё что я хотел, я уже сказал.
То, чего вы не понимаете, это самый главный принцип, само отличие симметричного шифрования от асимметричного.

И ваше "шифрование приватного ключа" вообще тут ни к селу, ни к городу. Я просто не могу представить, какое отношение шифрование или не шифрование приватного ключа имеет к распространению открытых ключей по серверам, к которым вы подключаетесь.

Вас не затруднит объяснить этот момент? Только либо без воды, либо используя нормальное форматирование, чтобы было возможно читать.

[Schneider]

Я уже писал вроде, что пользовался для генерации ключей давно еще puttygen.
на выходе получаешь файл ключ.ppk Если его открыть текстовым редактором то в нем
можно увидеть две обе части ключа.
 загрузив этот ppk повторно в путтиген можно сделать экспорт приватного ключа и публичного. приватный можно экспортировать так же в формате open-ssh если уже в эти файлы заглянуть то там будет конкретное разделение на приватный и публичный.
 Паблик я положил в папку .ssh/autorized_key(могу ошибаться в написании) Когда я сделал так и отключил авторизацию на ssh-подключение по паролю, а только по ключам, сервер стал пускать меня только по приватному ключу.
 Как видите мои знания чисто практические. И, я подумал что для друго своего сервака я сделаю другую пару ключей, так и сделал. Но в итоге, что получается, попадется моя флешка кому нибудь, и он без пароля на мой сервак залезет? а если у меня один паблик будет установлен на все мои сервера и один приват-ключ еще и ко всем серверам подходить?
  Короче покопался я дальше с путтиген и обнаружил что приватный ключ можно еще запаролить в свою очередь. на выходе получается приват-ключ в который если заглянуть текстовым редактором, то в начале увидишь Encripted. Если пользоваться для подключения им, то SSH клиент спрашивает пароль к этому ключу сначала а потом уже пускает. Так получается безопаснее, при потере такого приватного ключа еще пароль надо знать чтобы им воспользоваться, но Remmina с таким форматом ключа не работает.