[Gelöst] Geht dropbear SSH auch mit Public Key Auth.?

[jspies]

Dank der hervorragenden Beschreibungen unter 20144 und 21635 läuft bei mir inzwischen der SSH Zugang mit Password. Herzlichen Dank an alle Beteiligten.

Hat schon jemand den Zugang mit RSA oder DSA Public Keys hinbekommen? Bei mir läuft es nicht. Nachdem was ich so in Google gefunden habe, sollte Dropbear mit OpenSSH keys klarkommen.

Ich habe den entsprechenden Key (unter Debian 3.1 mit ssh-keygen erzeugt) unter "/var/tmp/.ssh/authorized_keys" abgelegt und in "/var/tmp/passwd" das Home-Dir von root auf "/var/tmp" gesetzt. Wenn ich dann mit Putty zugreife, bekomme ich "Server refused our key" als Fehlermeldung und muss mich dann mit Passwort anmelden.

Dropbear gibt leider keine diesbezüglichen Fehlermeldungen aus (wenn mit -F -E gestartet). Anstatt mit root habe ich es auch mit einem anderen User (aber auch mit UID 0) versucht - mit dem gleichen Erfolg.

Irgendwelche Tips oder Erfahrungen?

MfG Jürgen

 

[buehmann]

Re: Geht dropbear SSH auch mit Public Key Authentication?

Hat schon jemand den Zugang mit RSA oder DSA Public Keys hinbekommen?

Ja, habe es gerade mal ausprobiert (mit einem DSA-Key). In der dropbear-Doku heißt es dazu:

You can use ~/.ssh/authorized_keys in the same way as with OpenSSH, just put
the key entries in that file. They should be of the form:

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAwVa6M6cGVmUcLl2cFzkxEoJd06Ub4bVDsYrWvXhvUV+Z
AM9uGuewZBDoAqNKJxoIn0Hyd0Nk/yU99UVv6NWV/5YSHtnf35LKds56j7cuzoQpFIdjNwdxAN0PCET/
MG8qyskG/2IE2DPNIaJ3Wy+Ws4IZEgdJgPlTYUBWWtCWOGc= someone@hostname

You must make sure that ~/.ssh, and the key file, are only writable by the
user.

Ich tippe mal, dass dir der letzte Punkt fehlt, nämlich die Rechte richtig zu setzen. Das habe ich auf anderen Rechnern auch schon oft vergessen.

Viele Grüße.

 

[jspies]

Re: Geht dropbear SSH auch mit Public Key Authentication?

You must make sure that ~/.ssh, and the key file, are only writable by the
user.

Ich tippe mal, dass dir der letzte Punkt fehlt, nämlich die Rechte richtig zu setzen. Das habe ich auf anderen Rechnern auch schon oft vergessen.

Leider nicht. Habe mit 0755 bzw 0700 für ~/.ssh und 0644 bzw 0600 für authorized_keys das gleiche negative Ergebnis.

Um sicher zu gehen, dass es nicht an dem putty unter windows liegt, habe ich das ganze auch mal von einem Debian aus probiert:
1. mit ssh-keygen -t rsa einen Schlüssel erzeugt
2. den Inhalt von ~/.ssh/id_rsa.pub mit Copy and Pase in die /var/tmp/.ssh/autorized_keys auf der FBF kopiert
3. von dem Debian aus "ssh [email protected]" aufgerufen
Ergebnis:

MyDebian:~/.ssh> ssh [email protected]
[email protected]'s password:

So langsam fällt mir nichts mehr ein.

MfG Jürgen

 

[buehmann]

Re: Geht dropbear SSH auch mit Public Key Authentication?

Leider nicht. Habe mit 0755 bzw 0700 für ~/.ssh und 0644 bzw 0600 für authorized_keys das gleiche negative Ergebnis.

Ich habe das hier gemacht; benutzt habe ich den dropbear von hier: 2691

cd /var/tmp
tftp -g -l dropbear linux
ln -s dropbear dropbearkey
chmod +x dropbear
./dropbearkey -t dss -f dropbear_dss_host_key
./dropbearkey -t rsa -f dropbear_rsa_host_key
./dropbear -E -F -d dropbear_dss_host_key -r dropbear_rsa_host_key

Von linux (openssh) aus dann das (hatte schon einen Key):

ssh-copy-id [email][email protected][/email] # einmal Passwort eingeben
slogin [email][email protected][/email] # funktioniert ohne Passwort

Währenddessen sagt dropbear das hier:

[9715] Jul 16 12:16:45 Not forking
[9605] Jul 16 12:16:47 wtmp_write: problem writing /var/log/wtmp: No such file or directory
[9605] Jul 16 12:16:47 exit after auth (root): Exited normally
[9716] Jul 16 12:16:50 Child connection from 192.168.2.11:3693
[9716] Jul 16 12:16:54 password auth succeeded for 'root' from 192.168.2.11:3693
[9716] Jul 16 12:16:54 exit after auth (root): Exited normally
[9721] Jul 16 12:16:57 Child connection from 192.168.2.11:3694
[9721] Jul 16 12:16:59 pubkey auth succeeded for 'root' with key md5 16:47:0f:7c:a5:9d:e5:f3:7e:35:8a:77:df:4b:49:19 from 192.168.2.11:3694
[9721] Jul 16 12:18:09 wtmp_write: problem writing /var/log/wtmp: No such file or directory
[9721] Jul 16 12:18:09 exit after auth (root): Exited normally

Mir ist gerade noch etwas eingefallen:

2. den Inhalt von ~/.ssh/id_rsa.pub mit Copy and Pase in die /var/tmp/.ssh/autorized_keys auf der FBF kopiert

Sind vielleicht beim copy 'n' paste Zeilenumbrüche in den Key gekommen (nach 80 Zeichen, weil du's aus einem Terminalfenster kopiert hast)? Jeder Key muss in authorized_keys in einer einzigen Zeile stehen.

Viel Erfolg beim Weiterprobieren

 

[jspies]

Re: Geht dropbear SSH auch mit Public Key Authentication?

Sind vielleicht beim copy 'n' paste Zeilenumbrüche in den Key gekommen (nach 80 Zeichen, weil du's aus einem Terminalfenster kopiert hast)? Jeder Key muss in authorized_keys in einer einzigen Zeile stehen.

Sollte nicht der Fall sein, da ich alternativ auch id_rsa.pub per Filetransfer übertragen und dann in authorized_keys umbenannt habe und einmal sogar in uuencoded Form.

Ist aber eh egal. Ich habe Deine Anleitung step-by-step ausgeführt (wobei ssh-copy-id standardmässig nur Protokoll Version 1 files überträgt, mit "-i" habe ich aber auch die id_rsa.pub und id_dsa.pub übertragen). Das Ergebnis ist wie gehabt, dass ich mich mit Password anmelden muss.

# ./dropbear -E -F -d dropbear_dss_host_key -r dropbear_rsa_host_key
[3173] Jul 16 13:03:36 Not forking
[3174] Jul 16 13:03:41 Child connection from 192.168.178.21:1080
[3174] Jul 16 13:03:46 password auth succeeded for 'root' from 192.168.178.21:1080
[3174] Jul 16 13:07:36 wtmp_write: problem writing /var/log/wtmp: No such file or directory
[3174] Jul 16 13:07:36 exit after auth (root): Exited normally

Starte ich dropbear mit "-s" (kein Passwort Login erlaubt) kriege ich:

MyDebian:~/.ssh> slogin [email protected]
Permission denied (publickey).

Mit dem Debug output:

# ./dropbear -E -F -s -d dropbear_dss_host_key -r dropbear_rsa_host_key
[3271] Jul 16 13:11:31 Not forking
[3272] Jul 16 13:11:38 Child connection from 192.168.178.21:1081
[3272] Jul 16 13:11:40 exit before auth (user 'root', 0 fails): Exited normally

Grrrrr....

MfG Jürgen

 

[buehmann]

Re: Geht dropbear SSH auch mit Public Key Authentication?

Grrrrr....

:-/ Dann bin ich mit meinem Latein auch am Ende. Wirklich komisch, was unterscheidet sich denn noch bei uns? Ich habe noch ein paar Teile vom mod-0.57 auf der Box, das sollte aber keinen Unterschied machen. Und in meiner ~/.ssh/config steht außer "Protocol 2" auch nichts, was relevant sein könnte.

Ein letzter Schuss ins Blaue: Gibt es vielleicht Probleme beim Reverse DNS Lookup, den Dropbear für deine Client-Adresse macht?

Viele Grüße.

 

[jspies]

Re: Geht dropbear SSH auch mit Public Key Authentication?

Ist doch immer wieder erstaunlich: Kaum macht man es richtig, schon gehts.

Die Doku sagt:

You must make sure that ~/.ssh, and the key file, are only writable by the user.

Was sie nicht schreiben ist, dass dies auch für das Loginverzeichnis des users (also /var/tmp in diesem Fall) gilt.

@buehmann
Vielen Dank für Deine Hilfe

MfG Jürgen