welinux.ru/Есть вопрос! — Проблемы с настройкой SSH

07.07.09 13:59kampfusbeke

Есть вопрос! — Проблемы с настройкой SSH

Решил настроить (в первый раз ;)) SSH и SFTP, для начала на ноуте. Но не получается все правильно настроить, при подключении пишется:

1
2
3
4

[ku@entheobook ~]$ ssh localhost -i .ssh/id_rsa ku@entheobook
Enter passphrase for key '.ssh/id_rsa':
Tunnel device open failed.
Could not request tunnel forwarding.

~~и соединение обрывается~~ (и выходим в шелл, чего по-глупости не замечаем :)) )

При подключении с основного компа вообще ничего:

1 2	ku [ ~ ]$ ssh 192.168.0.105 -i .ssh/id_rsa_note ku@entheobook Read from socket failed: Connection reset by peer

(Здесь проблема вполне может быть в глючном рутере, в котором время от времени перестают работать прямые соединения на несколько дней, после чего вдруг все исправляется).

Конфиги:
/etc/ssh/sshd_config

1
2
3
4
5
6
7
8
9
10
11
12

Port 22
AddressFamily inet
Protocol 2
LoginGraceTime 2m
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
Subsystem sftp /usr/lib/ssh/sftp-server
AllowUsers userftp ku
AuthorizedKeysFile %h/.ssh/id_rsa.pub
PermitTunnel yes

~/.ssh/config

1
2
3
4
5
6
7
8
9
10
11
12

Host *
AddressFamily inet
IdentityFile ~/.ssh/id_rsa.pub
Port 22
Protocol 2
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
Tunnel yes
TunnelDevice any:any
HashKnownHosts yes
StrictHostKeyChecking ask
KbdInteractiveDevices skey
PasswordAuthentication no

Настраивал все по манам, потом еще искал хауту в инете, но как-то ничего, что мне помогло бы, не нашел.

Что я делал кроме самой настройки: создал ключи, чмодил их на 600 и оставил их в ~/.ssh.

Чего я хочу: шелл, туннелинг, сфтп, х11-форвардинг (с этим пока не возился, шелл бы сначала хоть получить...). Авторизация исключительно через RSA-ключ с пасскеем.

EDIT: нужные конфиги, verbose-output ссх с обоих машин и логи перезалил сюда

+1–

stfoo07.07.09 14:21# +0–

ssh -v, пожалуйста

kampfusbeke07.07.09 14:24#↑ +0–

OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009

stfoo07.07.09 14:28#↑ +0–

я имел в виду verbose режим:

ssh localhost -v -i .ssh/id_rsa ku@entheobook

kampfusbeke07.07.09 14:40#↑ +0–

сюда залил
несколько удивило это:

1
2
3

debug1: Sending command: ku@entheobook
(...)
bash: ku@entheobook: command not found

: xT07.07.09 14:44#↑ +0–

debug1: Authentication succeeded (publickey).

Вроде как бэ с ауентификацией все ок

stfoo07.07.09 14:46#↑ +0–

почему удивляет? Хост-то уже указан ;)

stfoo07.07.09 14:48#↑ +1–

Я этим сообщением, как бэ, намекаю, что нужно убрать из команды последнюю часть и всё будет ок.

kampfusbeke07.07.09 14:56#↑ +0–

йа тупой :) действительно все соединялось. я ведь из локального баша подключался к локальному башу, вот и не видел изменений (баннер ведь не прописал).
а хост-хостом, но я думал, что юзера все-таки указывать надо. благо у меня там два юзера, один создан для сфтп.
короче, не работает туннелинг просто. что, в принципе, может быть связано с тем, что я кагбе на том-же компе.

: xT07.07.09 14:59#↑ +0–

лол. естественно устройство занято будет =)

kampfusbeke07.07.09 15:00#↑ +0–

а какие-нибдь догадки, почему не подключается с другого компа, есть? прямые соединения, вроде, работают. по крайней мере, по аське файлы пересылаются нормально.

kampfusbeke07.07.09 15:09#↑ +0–

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

ku [ ~ ]$ ssh -v 192.168.0.105 -i .ssh/id_rsa_note ku@entheobook
OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 192.168.0.105 [192.168.0.105] port 22.
debug1: Connection established.
debug1: identity file .ssh/id_rsa_note type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.2
debug1: match: OpenSSH_5.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
Read from socket failed: Connection reset by peer

stfoo07.07.09 15:10#↑ +0–

Так я не понял. Дай результат команды:

$ ssh -v -i .ssh/id_rsa АДРЕС_КОМПА_ЗАПЯТАЯ_К_КОТОРОМУ_ПОДКЛЮЧАЕМСЯ

kampfusbeke07.07.09 15:34#↑ +0–

комментом выше дал ;)

stfoo07.07.09 15:42#↑ +0–

Я вообще не понимаю, что ты пишешь.
192.168.0.105 - это что? Адрес ноутбука? Тогда зачем конструкция ku@entheobook?

$ ssh -v -i /path/to/identify_file username@hostname

clear?

kampfusbeke07.07.09 15:52#↑ +0–

да, адрес ноутбука.
у меня там два юзера - собственно ku и ftpuser. без этой "конструкции" к ответу добавились две строчки (после того, что выше в 17-й строке).

1
2
3
4

(...)
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
Read from socket failed: Connection reset by peer

: kampfusbeke07.07.09 15:59#↑ +0–

просто я ступил и эту неправильную строчку забыл откорректировать ;) теперь подключаюсь к [email protected]
а эти две строчки то появляются, то нет. а то вообще после debug1: identity file .ssh/id_rsa_note type -1 просто заглох, без ресета.

xT07.07.09 14:31# +0–

Tunnel device open failed.
Could not request tunnel forwarding.

может нехватает прав на открытие девайса?
попробуй с PermitRootLogin yes
хотя это хз

: xT07.07.09 14:32#↑ +0–

Кстати, что за система?

cyrus07.07.09 14:36# +0–

Ещё можно посмотреть добавлен ли sshd в hosts.allow

: kampfusbeke07.07.09 14:43#↑ +0–

по совету чуваков с #openssh прописал в hosts.deny: ALL: ALL: DENY, в hosts.allow: sshd: 0.0.0.0/0.0.0.0
без этого не подключался вообще

drujebober07.07.09 14:37# +0–

как ты копировал ключи на удаленные машины?
может права кривые на ~/.ssh? должны быть 700

: kampfusbeke07.07.09 14:49#↑ +0–

на комп - слал через аську ;) потом менял права на 600. у .ссх права 700

: xT07.07.09 14:37# +0–

На tun0 ничего не висит? впн какойнить?

drujebober07.07.09 14:48# +1–

как то все у вас сложно, на самом деле при дефолтных настройках(по крайней мере в дебиане) это делается в два шага:
- генерим ключ ssh-keygen
- копируем его на удаленную машину ssh-copy-id -i identity_file user@machine
все можно пользоваться

kampfusbeke07.07.09 14:50#↑ +0–

в арче дефолтные настройки - все закомментировано ;)

: drujebober07.07.09 14:52#↑ +0–

жестоко :)

: cyrus07.07.09 14:52#↑ +0–

Ага =) Зато сидишь, читаешь и открываешь только то, что тебе нужно

lwilis07.07.09 17:00#↑ +-1–

это не в "арче все закоменчено", это оф. конфиги.
В доках же написано, что в оф. конфигах все закоменченные опции являются дефолтами. Как следствие, снимать коменты нужно только там, где меняешь.
Вы бы хоть при настройке ssh доки читали.

kampfusbeke07.07.09 19:47#↑ +-1–

не понимаю придирок. официальный-неофициальные, мне это без разницы, человек говорил про то, как дело обстоит в дебиане, а я ему про арч.
и я совсем не уверен, что в дебиане дефолт такой-же как и... гм, "дефолтный дефолт" :) по крайней мере, последний для меня никак не годится.
при настройке я читал маны, ибо как раз-таки нормальных док по настройке не нашел. и настроил все (в смысле конфигов), вроде, правильно ;)

lwilis08.07.09 22:10#↑ +-1–

в общем смысл в том, что пакет openssh - он из OpenBSD и, насколько мне известно, для линуха его поставляют как есть (то есть "непатченый"). Как следствие - конфигурится и работает одинакого (при совпадающих версиях, конечно) в разных дистрибах линуха.
В сухом остатке имеем то, что имеем - для твоих нужд конфиги нужно оставить как есть.
Остается только сгенерить ключи и кинуть публичный ключ на удаленную машину. Об этом выше уже сказал drujebober
Другое дело, если тебе потребуется Х11 форвардить - для этого придется снять коммент и поменять no на yes. Как-то так.

: kampfusbeke09.07.09 14:57#↑ +0–

если бы он мне годился "как есть", я бы его не менял.
как минимум разрешенный по дефолту вход только по паролю мне никак не годится.

Username07.07.09 20:31# +1–

ниасилил каментов, но ты не пробовал после "неудачного" входа вбить exit?
Если подключился - вылез бы опять в консоль, если нет - то или гуевая консоль закрылась, или бы приглашение в tty увидел

kampfusbeke07.07.09 20:45#↑ +0–

я про это уже писал выше, с этого-же компа дело обстояло именно так, а я не понимал, что уже в ссх ;) про эксит или запуск ссх из другого шелла только позже догадался. а вот с удаленного компа не хочет... вроде, после обмена информацией о ключах обрывается.

Username07.07.09 20:50#↑ +1–

хм, а че еще должно происходить, если у тебя аутентификация ключами-то. Вполне логично, а вообще в топке локалхоста лучше не шуровать - неудобно и специфично чересчур

kampfusbeke07.07.09 21:05#↑ +0–

по-идее должна писаться хоть какая-то ошибка, а не просто "connection reset by peer"

Username07.07.09 21:10#↑ +0–

по-моему, этого достаточно

kampfusbeke07.07.09 21:31#↑ +0–

достаточно для чего? при неправильном ключе должна писаться ошибка, если ее нет - проблема не в этом.
вот, для прикола попытался подключиться к старому универскому аккаунту по ссх с этим ключем:
The authenticity of host '(цензура ;)' can't be established.
RSA key fingerprint is блаблабла.
Are you sure you want to continue connecting (yes/no)? no

т.е., он даже не говорит, что ключ неправильный, пока я не введу пасскей.

Username07.07.09 21:34#↑ +0–

а в блаблабла что написано?

kampfusbeke07.07.09 21:42#↑ +0–

ты не поверишь - рса фингерпринт ;) 32-х-значное 16-битное чисто
наконец нашел, куда ссхд лог пишет (оказалось, в /var/log/auth.log). там пишет
Jul 7 13:54:50 entheobook sshd[21298]: Did not receive identification string from 192.168.0.200

: Username07.07.09 21:52#↑ +-1–

эмм. Сумбурно ты написал, я правильно понял, что блаблббла - там собсно ключ, а дальше - твои эмоции по поводу обнаружения auth.log? хм, ну поздравляю:)

: kampfusbeke07.07.09 22:19# +0–

нужные конфиги, verbose-output ссх с обоих машин и логи перезалил сюда

—