Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: openssh, аутентификация по ключу и зашифрованный home  (Прочитано 1413 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Tmp001

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Не могу зайти на удаленный компьютер, собственно (использую PuTTY)
Пишет: "Server refused our key" и предлагает ввести пароль

Если же ввести пароль/логин непосредственно на удаленной машине, то вход по ключу срабатывает.
Я так понял, что проблема в зашифрованном home удаленной машины.
Можно как-то совместить шифровку home и вход по ключу?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
А что говорит лог sshd? Надо там смотреть причину отказа от ключа

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: openssh, аутентификация по ключу и зашифрованны
« Ответ #2 : 23 Февраля 2011, 17:13:48 »
Я так понял, что проблема в зашифрованном home удаленной машины.
Именно.

Можно как-то совместить шифровку home и вход по ключу?
$ grep -i auth.*key /etc/ssh/sshd_config
#AuthorizedKeysFile %h/.ssh/authorized_keys

http://habrahabr.ru/blogs/linux/103668/
« Последнее редактирование: 26 Февраля 2011, 00:15:25 от arcfi »

Оффлайн Tmp001

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: openssh, аутентификация по ключу и зашифрованны
« Ответ #3 : 23 Февраля 2011, 18:42:48 »
#AuthorizedKeysFile %h/.ssh/authorized_keys

Спасибо!
Я чего-то ступил.
---
Хмм... Авторизация-то проходит, но home остается зашифрованным
Может, что еще дописать нужно?
« Последнее редактирование: 23 Февраля 2011, 19:06:57 от Tmp001 »

Оффлайн Tmp001

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Повторюсь:
Кинул authorized_keys в /etc/ssh, поправил sshd_config и вход по ключу заработал
Но! Каталог /home/user так и остается зашифрованным

Подскажите, пожалуйста, что еще надо сделать чтоб и вход по ключу был и шифрованная домашняя папка была доступна

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
ecryptfs-mount-private?

Оффлайн Tmp001

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
ecryptfs-mount-private?
а можно как-то автоматом при входе?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
ecryptfs-mount-private?
а можно как-то автоматом при входе?
Можно. В системный логин скрипт прописать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Можно. В системный логин скрипт прописать.
бегло помотрел что такое, чет не совсем правильное решение, там pam модуль есть.
man pam_ecryptfs

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Сегодня решал подобную задачку...

Этот конфиг трогать в общем-то и не нужно:
Код: (/etc/ssh/sshd_config) [Выделить]
#AuthorizedKeysFile %h/.ssh/authorized_keysДостаточно скопировать "$HOME/.ssh/authorized_keys" в несмонтированный "$HOME".


man pam_ecryptfs
Код: (man pam_ecryptfs) [Выделить]
To unwrap a mount passphrase and automatically mount a private directory on login, add the following lines to
       /etc/pam.d/common-auth:
                  auth    required        pam_ecryptfs.so unwrap
       /etc/pam.d/common-session:
                  session optional        pam_ecryptfs.so unwrap
Эту беду сделал... точнее говоря, она и так по дефолту есть:
$ grep ecryptfs /etc/pam.d/common-auth /etc/pam.d/common-session
/etc/pam.d/common-auth:auth optional pam_ecryptfs.so unwrap
/etc/pam.d/common-session:session optional pam_ecryptfs.so unwrap
И даже если в первом случае поменять "optional" на "required", толку мало.

Так что, дальше автоматизировать пока не получается.
Ушёл курить маны...


Вот такую штуковину сваял:
ssh "$RUSER@$RHOST" -p "$RPORT" -i "$KEYFILE" \
        "echo \"$PASSPHRASE\" | ecryptfs-insert-wrapped-passphrase-into-keyring ; mount.ecryptfs_private"
Вроде, работает. %)


Вроде, работает.
Надо как-то удерживать открытой сессию, иначе нифига не работает.

Под гномом можно впихнуть костыль:
gvfs-mount "sftp://$RUSER@$RHOST:$RPORT"
ssh "$RUSER@$RHOST" -p "$RPORT" -i "$KEYFILE" \
        "echo \"$PASSPHRASE\" | ecryptfs-insert-wrapped-passphrase-into-keyring ; mount.ecryptfs_private"
« Последнее редактирование: 08 Марта 2011, 19:33:32 от arcfi »

 

Страница сгенерирована за 0.106 секунд. Запросов: 25.