Форум русскоязычного сообщества Ubuntu


Автор Тема: ssh, авторизация по ключам  (Прочитано 1316 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Кенттачтис

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
ssh, авторизация по ключам
« : 28 Январь 2017, 16:29:32 »
Добрый день.
есть ubuntu server,
Настроена авторизация по ключу. Авторизация по паролю выключена.

Понадобилось добавить еще одного пользователя, добавил его, сгенерировал ключ,
ssh-keygen
переместил его в папку нового пользователя
ssh-copy-id -i ~/.ssh/id_rsa.pub newuser@192.168.1.194
перезапустил комп.

авторизировался как
ssh newuser@192.168.1.194
все вроде бы отлично.
решил зайти под старым пользователем
ssh olduser@192.168.1.194
и под ним заходит.  :-\

ради интереса очистил папку .ssh у себя на компьютере с которого подключаюсь к ubuntu и положил туда только ключ от newuser
попробовал зайти под ssh newuser@192.168.1.194, ключ заново проиницализировался и был произведен вход.
попробовал зайти под старым пользователем и так же вход был произведен, на этот раз без лишних вопросов.

что я не так делаю? я почему то думал что один ключ на оного пользователя, как так получается что я по одному и тому же секретному ключу авторизируюсь под разными пользователями

Оффлайн Peter_I

  • Старожил
  • *
  • Сообщений: 2147
    • Просмотр профиля
Re: ssh, авторизация по ключам
« Ответ #1 : 28 Январь 2017, 17:36:27 »
На удалённой машине должен быть список публичных ключей тех, кому разрешён доступ по ключу,
~/.ssh/authorized_keys
Очередной ключ просто добавляется в конец этого файла.
Пётр.

Оффлайн Кенттачтис

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
Re: ssh, авторизация по ключам
« Ответ #2 : 28 Январь 2017, 18:25:51 »
Петр, спасибо за ответ, я если правильно понимаю скопировал на удаленную машину новый ключ
вот этой командой
ssh-copy-id -i ~/.ssh/id_rsa.pub newuser@192.168.1.194
При этом у меня в папке /home/newuser/ появилась папка .ssh c файлом authorized_keys

у старого пользователя соотв есть тоже .ssh папка с таким же файлом, который не менялся судя по дате уже 3 месяца.

как мне сделать что бы по новому ключу мог заходить только пользователь newuser ? просто старый пользователь например в группе админов, а новый нет.

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: ssh, авторизация по ключам
« Ответ #3 : 28 Январь 2017, 19:07:42 »
А удалить или перенести authorized_keys не? Можно еще старого пользователя прописать в черный список в конфиге sshd, можно по ip рубануть. Да вообще куча разных способов есть.

Punko

  • Гость
Re: ssh, авторизация по ключам
« Ответ #4 : 28 Январь 2017, 19:21:29 »
как мне сделать что бы по новому ключу мог заходить только пользователь newuser ? просто старый пользователь например в группе админов, а новый нет.
оно так и есть.

Зайдите в консоль из-под другого юзера, клюа которого уже нет на сервере и попробуйте зайти.

А если вы скопировали для двух разных пользователей один и тот же ключ, то тут надо сделать следующее:

1. Удалить ключ "левого" юзера из authorized_keys
2. сгенерировать под "левым" юзером локально новую пару ключей
3. Закинуть под "левым" юзером новые публичный ключ на сервер.

Оффлайн Кенттачтис

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
Re: ssh, авторизация по ключам
« Ответ #5 : 28 Январь 2017, 19:29:51 »
А удалить или перенести authorized_keys не? Можно еще старого пользователя прописать в черный список в конфиге sshd, можно по ip рубануть. Да вообще куча разных способов есть.
спасибо за ответ.
извините я поэтому и написал в разделе для новичков, потому что не соображу что не так, и что надо сделать что бы очевидная вещь заработала.
в смысле удалить или перенести ? Ключи лежат по своим папкам
home/olduser/.ssh/authorized_keys #файл не менялся пару месяцев
home/newuser/.ssh/authorized_keys #новый пользователь файл только что создан
таким образом лежат файлы по своим местам, я не хочу запретить доступ старому пользователю я только хочу что бы под ключом нового пользователя не давало авторизироваться под старым пользователем (сейчас происходит именно так). Проще говоря получилось так что один пароль на всех пользователей и на админа и на модератора, это если абстрагироваться от линукса  и сказать простым языком.

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: ssh, авторизация по ключам
« Ответ #6 : 28 Январь 2017, 19:44:46 »
хочу что бы под ключом нового пользователя не давало авторизироваться под старым пользователем
То, что у одного пользователя есть закрытый ключ другого пользователя это ненормально. А то, что он имея чужой закрытый ключ, получает доступ это как раз нормально.

Весь смысл авторизации по паре ключей в том и заключается, что имеется закрытый и открытый ключ (слепок), по которому можно определить у кого хранится закрытый. Вам нужно не сервер ковырять (он работает правильно) а в новом пользователе создать новую пару ключей, а старую удалить с сервака, потому что ее закрытая часть уже побывала в чужих руках.

Пользователь добавил сообщение 28 Январь 2017, 19:46:24:
Кенттачтис, Вы почитайте хорошенько и внимательно об авторизации по парам ключей. Там ничего сложного нет, за один вечер разберетесь, и раз уж Вы этим пользуетесь, нужно хорошо понимать, как это работает, а то наворочаете дел.
« Последнее редактирование: 28 Январь 2017, 19:47:21 от Heider »

Punko

  • Гость
Re: ssh, авторизация по ключам
« Ответ #7 : 28 Январь 2017, 19:49:20 »
извините я поэтому и написал в разделе для новичков, потому что не соображу что не так, и что надо сделать что бы очевидная вещь заработала.
в смысле удалить или перенести ?

вот же:

А если вы скопировали для двух разных пользователей один и тот же ключ, то тут надо сделать следующее:

1. Удалить ключ "левого" юзера из authorized_keys
2. сгенерировать под "левым" юзером локально новую пару ключей
3. Закинуть под "левым" юзером новые публичный ключ на сервер.

И вот :


Вам нужно не сервер ковырять (он работает правильно) а в новом пользователе создать новую пару ключей, а старую удалить с сервака, потому что ее закрытая часть уже побывала в чужих руках.

ТС, если после этих сообщений ничего не понятно, то советую почитать о том, как работает авторизация по ключам.
Или дать денег тому, кто настроит.

Оффлайн Кенттачтис

  • Автор темы
  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
Re: ssh, авторизация по ключам
« Ответ #8 : 28 Январь 2017, 19:57:30 »
я скопировал ключ публичный свежесозданный в папку пользователя нового. приватный ключ старого пользователя для эксперимента я вообще удалил(переместил в другое место) перед генерацией пары ключей.
видимо винда захешировала где то или еще что. На виртуальной машине попробовал,- все нормально поведение правильное, пускает только под своим ключом, проблема исчерпана.

 

Страница сгенерирована за 0.123 секунд. Запросов: 22.