ssh(dropbear) intern ohne passwortabfrage

[radislav]

hallo,

kann man den dropbear so einrichten, dass sich interne rechner (192.168.178.0-192.168.178.254) ohne passwortabfrage einloggen können?

hintergrund ist das automatische mounten per sshfs auf einem debian-rechner.

vielen dank schon mal für die antworten,
gruß

 

[stinkstiefel]

Ja kann man, viel schöner ist das aber mit einem Zertifikat.

 

[radislav]

viel schöner ist das aber mit einem Zertifikat.

und wie funktioniert das?

port 22 ist nach außen offen und es darf sich natürlich nicht jeder (von außen) einloggen können (von innen ist prinzipiel egal)

 

[radislav]

hallo Peter_Lehmann

du hast recht: die themen sind änlich, aber auf diese art der authentifizierung wollte ich eigentlich nicht hinaus. dabei muss man ja den privaten Schlüssel (id_rsa) immer parat haben, was auf dem eigenen laptop kein problem wäre, aber auf dem öffentlichen pc schon...

Den schmutzigen Trick mit dem Lauschen nur auf bestimmte IPs an Stelle einer echten Authentifizierung bezeichne ich nicht als sauberes ssh!

genau dies wollte ich ja.

ODER: es gäbe eine mischung aus "meiner" und "deiner" methode

gruß

 

[radislav]

ok. und wie meldet man sich in diesem fallse von einem öffentlichen (z.b. fh-rechnerraum-) pc an? ganz normal mit einem (früheren) password?

 

[stinkstiefel]

Wenn man denn unbedingt möchte kann man natürlich auch zwei Instanzen von Dropbear laufen lassen.

 

[radislav]

Gegenfrage: Wie oft kommt es vor, dass du an einem derartigen öffentlichen Rechner bist und auf deinen Server zugreifen willst? Wurden nicht schon USB-Speichersticks erfunden? Du kannst ja sogar mehrere persönliche Keys besitzen, den für unterwegs auch mit einem schönen Passwort gesichert.

es kommt öfters vor, als man denkt. ich kann es natürlich nur schätzen: das ist mindesten 1 login pro tag im durchschnitt gesehen natürlich

Dann kannst du ja gleich einen "samba für Jedermann" aufsetzen.

richtig, fritzbox hat auch samba, welches bei meiner 7170 wunderbar funktioniert hat: bei 7270 funktioniert allerdings kein samba, sobald ich etwas in debug.cfg hineinschreibe. siehe dazu diesen thread

Wenn du aus dem I-Net erreichbare Rechner mit ssh-Zugang betreibst, dann würdest du im Log (/var/log/messages) täglich Dutzende von "Hackversuchen" unserer Scriptkiddies verzeichnet sehen.

hab keine /var/log/messages. mein password ist außerdem nahezu kryptisch und über 10 zeichen lang: den hackern wünsche ich viel spaß

----------------------------

nun komme ich dank euch beiden zu einem lösungsansatz:
- eine instanz von dropbear wie gehabt mit password
- eine weitere instanz von dropbear mit public-key-authentifizierung

erste funktioniert ja schon. bei der zweiten habe ich wieder das gleiche problem, wie Peter_Lehmann in diesem thread: wo soll nun id_rsa hin?

# echo $HOME
/
#

/ ist aber schreibgeschützt

# export PATH=/var/tmp

funktioniert nicht und macht glaub ich wenig sinn
außerdem: /root oder /home gibts ja nicht

gibt es überhaupt eine möglichkeit, den "echten" $HOME rauszufinden (kein freetz bei mir!)?

 

[stinkstiefel]

Da du ja eh nicht vom konsequenten Einsatz eines Public-Keys zu überzeugen bist schau dir doch für sshfs automount mit password auth mal expect [1] an.

[1] http://linux.die.net/man/1/expect

 

[RalfFriedl]

Wieso denn zwei Dropbear Instanzen für Paßwort bzw. Public-Key? Das sollte doch auch mit einem dropbear funktionieren?

 

[stinkstiefel]

Das war auch eher für Peter_Lehmann der wegen der Option s unsicher war sich eventuell auszusperren. Sollte nämlich nicht nur funktionieren, sondern funktioniert auch.

 

[radislav]

[1] http://linux.die.net/man/1/expect

klingt gut: ich blick aber noch nicht ganz durch, wie expect funktioniert. ich werde es mir bei gelegenheit näher anschauen

Das sollte doch auch mit einem dropbear funktionieren?

ich dachte es mir so:
1. instanz ganz normal wie auf meiner homepage
2. instanz mit "-s" für public-key-methode

wie kann man sie dann vereinen?

@all wegen authorized_keys

anscheinend legt dropbear aus freetz authorized_keys in /var/flash/.ssh
wie kann man den pfad ändern?
oder wie kann man /var/flash/.ssh/authorized_keys erstellen? (z.b. mount -o bind )

 

[RalfFriedl]

Dies ist nicht das Freetz Forum. Verwendest Du Freetz? Dann ist die Datei genau dort, wo sie hingehört.

Genau genommen heißt die Datei /tmp/flash/.ssh/authorized_keys. Und mount bind wird verwendet, weil das squashfs noch beschreibbar ist. Letztlich wird über /etc/passwd festgelegt, wo die Datei gesucht wird.

 

[radislav]

Dies ist nicht das Freetz Forum. Verwendest Du Freetz?

kein fritz: siehe signatur. möchte das ganze ohne freetz, deswegen außerhalt des freetz-forums

Letztlich wird über /etc/passwd festgelegt, wo die Datei gesucht wird.

könntest du posten, wie der eintrag aussieht/aussehen muss?

[1] http://linux.die.net/man/1/expect

habe nun ein script erstellt:

[/#!/usr/bin/expect -f

set host "192.168.178.1"
set user "root"
set pass "meinPasswort"

spawn sshfs $user@$host:/var/media/ftp/Hitachi-HTS543216L9A300-01 /fritzHDD -o rw,uid=1000,gid=1000,umask=0,allow_other 

expect {
    "Are you sure you want to continue connecting" {
        send "yes\n"
        exp_continue
    }
    "$user@$host's password:" {
        send "$pass\n"
        interact
    }
}

der gleiche sshfs-aufruf in der console unter der eingabe des passwords klappt wunderbar, aber das ausführen des skriptes nicht: der script meldet keinen fehler, /fritzHDD ist danach abe immer noch leer

jemand eine idee?

gruß

 

[stinkstiefel]

spawn /Pfad/zu/sshfs

 

[radislav]

@stinkstiefel

den fehler kann ich ausschließen: pfad zu sshfs ist in PATH richtig eingetragen. sshfs wird auch aufgerufen: es kommt eine meldung "Password:".