kampfusbeke 07.07.2009 13:59
Есть проблема! — Проблемы с настройкой SSH
Решил настроить (в первый раз ;)) SSH и SFTP, для начала на ноуте. Но не получается все правильно настроить, при подключении пишется:
1 |
<ku>$ ssh localhost -i .ssh/id_rsa ku@entheobook
|
и соединение обрывается (и выходим в шелл, чего по-глупости не замечаем :)) )
При подключении с основного компа вообще ничего:
1 |
ku < ~ >$ ssh 192.168.0.105 -i .ssh/id_rsa_note ku@entheobook
|
(Здесь проблема вполне может быть в глючном рутере, в котором время от времени перестают работать прямые соединения на несколько дней, после чего вдруг все исправляется).
Конфиги:
/etc/ssh/sshd_config
~/.ssh/config
Настраивал все по манам, потом еще искал хауту в инете, но как-то ничего, что мне помогло бы, не нашел.
Что я делал кроме самой настройки: создал ключи, чмодил их на 600 и оставил их в ~/.ssh.
Чего я хочу: шелл, туннелинг, сфтп, х11-форвардинг (с этим пока не возился, шелл бы сначала хоть получить...). Авторизация исключительно через RSA-ключ с пасскеем.
EDIT: нужные конфиги, verbose-output ссх с обоих машин и логи перезалил сюда
stfoo 07.07.2009 14:21 #
+ 0 -
ssh -v, пожалуйста
я имел в виду verbose режим:
ssh localhost -v -i .ssh/id_rsa ku@entheobook
сюда залил
несколько удивило это:
несколько удивило это:
debug1: Sending command: ku@entheobook
(...)
bash: ku@entheobook: command not found
debug1: Authentication succeeded (publickey).
Вроде как бэ с ауентификацией все ок
Я этим сообщением, как бэ, намекаю, что нужно убрать из команды последнюю часть и всё будет ок.
йа тупой :) действительно все соединялось. я ведь из локального баша подключался к локальному башу, вот и не видел изменений (баннер ведь не прописал).
а хост-хостом, но я думал, что юзера все-таки указывать надо. благо у меня там два юзера, один создан для сфтп.
короче, не работает туннелинг просто. что, в принципе, может быть связано с тем, что я кагбе на том-же компе.
а хост-хостом, но я думал, что юзера все-таки указывать надо. благо у меня там два юзера, один создан для сфтп.
короче, не работает туннелинг просто. что, в принципе, может быть связано с тем, что я кагбе на том-же компе.
а какие-нибдь догадки, почему не подключается с другого компа, есть? прямые соединения, вроде, работают. по крайней мере, по аське файлы пересылаются нормально.
ku < ~ >$ ssh -v 192.168.0.105 -i .ssh/id_rsa_note ku@entheobook
OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 192.168.0.105 <192.168.0.105> port 22.
debug1: Connection established.
debug1: identity file .ssh/id_rsa_note type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.2
debug1: match: OpenSSH_5.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
Read from socket failed: Connection reset by peer
Так я не понял. Дай результат команды:
$ ssh -v -i .ssh/id_rsa АДРЕС_КОМПА_ЗАПЯТАЯ_К_КОТОРОМУ_ПОДКЛЮЧАЕМСЯ
Я вообще не понимаю, что ты пишешь.
192.168.0.105 - это что? Адрес ноутбука? Тогда зачем конструкция ku@entheobook?
clear?
192.168.0.105 - это что? Адрес ноутбука? Тогда зачем конструкция ku@entheobook?
$ ssh -v -i /path/to/identify_file username@hostname
clear?
да, адрес ноутбука.
у меня там два юзера - собственно ku и ftpuser. без этой "конструкции" к ответу добавились две строчки (после того, что выше в 17-й строке).
у меня там два юзера - собственно ku и ftpuser. без этой "конструкции" к ответу добавились две строчки (после того, что выше в 17-й строке).
(...)
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
Read from socket failed: Connection reset by peer
просто я ступил и эту неправильную строчку забыл откорректировать ;) теперь подключаюсь к [email protected]
а эти две строчки то появляются, то нет. а то вообще после debug1: identity file .ssh/id_rsa_note type -1 просто заглох, без ресета.
а эти две строчки то появляются, то нет. а то вообще после debug1: identity file .ssh/id_rsa_note type -1 просто заглох, без ресета.
Tunnel device open failed.
Could not request tunnel forwarding.
Could not request tunnel forwarding.
может нехватает прав на открытие девайса?
попробуй с PermitRootLogin yes
хотя это хз
по совету чуваков с #openssh прописал в hosts.deny: ALL: ALL: DENY, в hosts.allow: sshd: 0.0.0.0/0.0.0.0
без этого не подключался вообще
без этого не подключался вообще
как ты копировал ключи на удаленные машины?
может права кривые на ~/.ssh? должны быть 700
может права кривые на ~/.ssh? должны быть 700
на комп - слал через аську ;) потом менял права на 600. у .ссх права 700
как то все у вас сложно, на самом деле при дефолтных настройках(по крайней мере в дебиане) это делается в два шага:
- генерим ключ ssh-keygen
- копируем его на удаленную машину ssh-copy-id -i identity_file user@machine
все можно пользоваться
- генерим ключ ssh-keygen
- копируем его на удаленную машину ssh-copy-id -i identity_file user@machine
все можно пользоваться
это не в "арче все закоменчено", это оф. конфиги.
В доках же написано, что в оф. конфигах все закоменченные опции являются дефолтами. Как следствие, снимать коменты нужно только там, где меняешь.
Вы бы хоть при настройке ssh доки читали.
В доках же написано, что в оф. конфигах все закоменченные опции являются дефолтами. Как следствие, снимать коменты нужно только там, где меняешь.
Вы бы хоть при настройке ssh доки читали.
не понимаю придирок. официальный-неофициальные, мне это без разницы, человек говорил про то, как дело обстоит в дебиане, а я ему про арч.
и я совсем не уверен, что в дебиане дефолт такой-же как и... гм, "дефолтный дефолт" :) по крайней мере, последний для меня никак не годится.
при настройке я читал маны, ибо как раз-таки нормальных док по настройке не нашел. и настроил все (в смысле конфигов), вроде, правильно ;)
и я совсем не уверен, что в дебиане дефолт такой-же как и... гм, "дефолтный дефолт" :) по крайней мере, последний для меня никак не годится.
при настройке я читал маны, ибо как раз-таки нормальных док по настройке не нашел. и настроил все (в смысле конфигов), вроде, правильно ;)
в общем смысл в том, что пакет openssh - он из OpenBSD и, насколько мне известно, для линуха его поставляют как есть (то есть "непатченый"). Как следствие - конфигурится и работает одинакого (при совпадающих версиях, конечно) в разных дистрибах линуха.
В сухом остатке имеем то, что имеем - для твоих нужд конфиги нужно оставить как есть.
Остается только сгенерить ключи и кинуть публичный ключ на удаленную машину. Об этом выше уже сказал drujebober
Другое дело, если тебе потребуется Х11 форвардить - для этого придется снять коммент и поменять no на yes. Как-то так.
В сухом остатке имеем то, что имеем - для твоих нужд конфиги нужно оставить как есть.
Остается только сгенерить ключи и кинуть публичный ключ на удаленную машину. Об этом выше уже сказал drujebober
Другое дело, если тебе потребуется Х11 форвардить - для этого придется снять коммент и поменять no на yes. Как-то так.
если бы он мне годился "как есть", я бы его не менял.
как минимум разрешенный по дефолту вход только по паролю мне никак не годится.
как минимум разрешенный по дефолту вход только по паролю мне никак не годится.
ниасилил каментов, но ты не пробовал после "неудачного" входа вбить exit?
Если подключился - вылез бы опять в консоль, если нет - то или гуевая консоль закрылась, или бы приглашение в tty увидел
Если подключился - вылез бы опять в консоль, если нет - то или гуевая консоль закрылась, или бы приглашение в tty увидел
я про это уже писал выше, с этого-же компа дело обстояло именно так, а я не понимал, что уже в ссх ;) про эксит или запуск ссх из другого шелла только позже догадался. а вот с удаленного компа не хочет... вроде, после обмена информацией о ключах обрывается.
хм, а че еще должно происходить, если у тебя аутентификация ключами-то. Вполне логично, а вообще в топке локалхоста лучше не шуровать - неудобно и специфично чересчур
по-идее должна писаться хоть какая-то ошибка, а не просто "connection reset by peer"
достаточно для чего? при неправильном ключе должна писаться ошибка, если ее нет - проблема не в этом.
вот, для прикола попытался подключиться к старому универскому аккаунту по ссх с этим ключем:
The authenticity of host '(цензура ;)' can't be established.
RSA key fingerprint is блаблабла.
Are you sure you want to continue connecting (yes/no)? no
т.е., он даже не говорит, что ключ неправильный, пока я не введу пасскей.
вот, для прикола попытался подключиться к старому универскому аккаунту по ссх с этим ключем:
The authenticity of host '(цензура ;)' can't be established.
RSA key fingerprint is блаблабла.
Are you sure you want to continue connecting (yes/no)? no
т.е., он даже не говорит, что ключ неправильный, пока я не введу пасскей.
ты не поверишь - рса фингерпринт ;) 32-х-значное 16-битное чисто
наконец нашел, куда ссхд лог пишет (оказалось, в /var/log/auth.log). там пишет
Jul 7 13:54:50 entheobook sshd<21298>: Did not receive identification string from 192.168.0.200
наконец нашел, куда ссхд лог пишет (оказалось, в /var/log/auth.log). там пишет
Jul 7 13:54:50 entheobook sshd<21298>: Did not receive identification string from 192.168.0.200
эмм. Сумбурно ты написал, я правильно понял, что блаблббла - там собсно ключ, а дальше - твои эмоции по поводу обнаружения auth.log? хм, ну поздравляю:)
нужные конфиги, verbose-output ссх с обоих машин и логи перезалил сюда