Denkfehler

[erikdietz]

Hallo liebe Apfelgemeinde.

Ich hab irgendwo ein Problem und weiß nicht weiter.

Ich habe mich vor kurzem mit dem Thema SSH auseinander gesetzt und auch alles eingerichtet bekommen.
Jetzt möchte ich einem weiteren Nutzer neben mir auch den Zugang zu meinem Mac ermöglichen.

Doch leider bekomme ich es nicht hin.

Mac_Server:

Nutzer1: Myself
Nutzer2: NebenMir

root/etc/sshd.config

AllowedUsers MySelf NebenMir WeitWeg

​

root/Users/Myself/.ssh/authorized_keys -> enthält PublicKey von Myself
root/Users/NebenMir/.ssh/authorized_keys -> enthält PublicKeys von Myself&WeitWeg
(cat key.pub >> authorized_keys)
​

Mac_Client:

Nutzer1: Myself
Nutzer2: WeitWeg
​

root/Users/Myself/.ssh/ -> enthält Public- und PrivateKey von Myself
root/Users/WeitWeg/.ssh/ -> enthält Public- und PrivateKeys von WeitWeg
​

Sofern ich mich unter Mac_Client Myself befinde, kann ich wunderbar via "ssh -p 80 -L 59001:localhost:5900 mein.server" auf meinen Mac_Server Myself connecten.

Befinde ich mich nun und Mac_Client WeitWeg, kommt immer "Permission Denied (PublicKey)"...
Auch wenn ich nunr explizit anstatt mein.server sage [email protected] oder [email protected].
Wo ist mein Fehler? Was habe ich übersehen?
Unter Systemeinstellungen habe ich beide Nutzer drinnen. Also "Myself" und "NebenMir".
Ich würde mich RIESIG freuen, wenn mir jmd helfen kann.

PS: Als ich meinen eigenen KEy erzeugte, kam der gleiche Fehler.
Dies konnte ich umgehen, indem ich das KeyPaar auf dem Server selbst erstellte.
Ist eigentlich nicht Sinn der Sache, aber so gings dann.

Aber bei dem zweiten User klappt so leider nicht.
Es muss doch nur ein kleiner Fehler im System sein.
Ein Neustart brachte auch nichts. (Dachte die authorized_keys oder was auch immer muss mal neu eingelesen werden)

Vielen lieben Dank und ein schönes Wochenende gewünscht.

 

[salome]

Vielleicht kannst du hier einen Tipp bekommen.
Edi: Auch diese Seite scheint mir interessant.

 

[g23]

Hi,
vielleicht bringt es etwas, wenn du auf den Clients mit ssh-keygen einen neuen pub key generiest, diesen dann auf den Server transferierst und zu den authorized keys hinzufügst.

just my 2 cents.

 

[erikdietz]

Vielleicht kannst du hier einen Tipp bekommen.
Edi: Auch diese Seite scheint mir interessant.

Um alles einzurichten hab ich mich auf ewig vielen Seiten durchfuchsen müssen.
Deine beiden Seiten kannte ich zwar noch nicht, aber leider haben sie mir auch nicht weitergeholfen

Hi,
vielleicht bringt es etwas, wenn du auf den Clients mit ssh-keygen einen neuen pub key generiest, diesen dann auf den Server transferierst und zu den authorized keys hinzufügst.

just my 2 cents.

Hab ich imo schon 3x gemacht, aber "mehr" kann es ja eigentlich nicht sein.
Ich bin am verzweifeln. Ich hab nun auch extra schon die keys nicht via copy'n'paste eingefügt, sondern mit dem cat-Befehl.
Aber auch das hat nicht geholfen.

Aber zum allgemeinen Verständnis, wenn ich mit Mac_Client:WeitWeg auf Mac_Server:NebenMir will, muss ich mich dann mit ssh [email protected] connecten oder mit ssh [email protected]?

Vielen Dank für die Antworten, habt ihr noch weitere Vorschläge?
PS: Werd mal nen neuen Key erzeugen und vllt klappts unverständlicher Weise ja beim 4. mal.

edit:

hab jetzt nochmal nen neuen key erzeugt.
habe im im client unter Users/WeitWeg/.ssh/ erzeugt.
Dann via USB-Stick auf den Server nach Users/NebenMir/.ssh/ kopiert und dann eine Kopie von *.pub gemacht und diese dann in authorized_keys umbenannt.
Sollt ja gehen, sofern ich nur einen zulassen will.
"Connected" habe ich mich dann via "ssh [email protected]" und via "ssh [email protected]"...
Beides führte mal wieder nicht zum Ziel. Wieder "permission denied (publickey)"

Wo ist mein Fehler verdammt?! :/

 

[g23]

Hi,
ich sehe jetzt gerade auch nicht, wo ein Fehler seien könnte. Ich hab' im Büro eine ziemlich identische Konfiguration, ich werde das morgen einfach mal "by myself" testen...

 

[Irgendein Held]

Man man man...

Ich lehn mich mal weit aus dem Fenster und stelle fest:
Du hast weder die Ausgabe von $ ls -al /Users/WeitWeg/.ssh/, noch $ ls -al /Users/WeitWeg kontrolliert.
Wenn du da deinen Fehler findest, dann ist deine Hausaufgabe die Stelle in deinem Beitrag zu finden, die genau zu der Kontrolle veranlasst.

 

[erikdietz]

Hi,
ich sehe jetzt gerade auch nicht, wo ein Fehler seien könnte. Ich hab' im Büro eine ziemlich identische Konfiguration, ich werde das morgen einfach mal "by myself" testen...

ehrlich? das würde ich ganz klasse finden... die frage ist nur, ob es dann bei dir mit gleicher konfiguration funktioniert.
und dann wissen wir nicht, wo der fehler bei mir ist

Man man man...

Ich lehn mich mal weit aus dem Fenster und stelle fest:
Du hast weder die Ausgabe von $ ls -al /Users/WeitWeg/.ssh/, noch $ ls -al /Users/WeitWeg kontrolliert.
Wenn du da deinen Fehler findest, dann ist deine Hausaufgabe die Stelle in deinem Beitrag zu finden, die genau zu der Kontrolle veranlasst.

Ich weiß nicht genau, worauf du hinaus willst, aber ich zeige einfach mal, was sich dort alles befindet.

erikdietz-NC10:~ erikdietz$ ls -al /Users/erikdietz/.ssh/
total 56
drwx------ 6 erikdietz staff 204 2 Jul 18:49 .
drwxr-xr-x+ 20 erikdietz staff 680 9 Jul 13:41 ..
-rw-------@ 1 erikdietz staff 6148 2 Jul 18:47 .DS_Store
-rw-------@ 1 erikdietz staff 951 2 Jul 18:42 id_rsa
-rw-r--r--@ 1 erikdietz staff 226 2 Jul 18:42 id_rsa.pub
-rw-r--r-- 1 erikdietz staff 8225 16 Jul 11:37 known_hosts


erikdietz-NC10:~ erikdietz$ ls -al /Users/erikdietz/
total 176
drwxr-xr-x+ 20 erikdietz staff 680 9 Jul 13:41 .
drwxr-xr-x 6 root admin 204 6 Jul 16:13 ..
-rw------- 1 erikdietz staff 3 11 Jun 19:19 .CFUserTextEncoding
drwxr-xr-x 4 erikdietz staff 136 14 Jul 19:04 .Conn_Manager
-rw-r--r--@ 1 erikdietz staff 21508 16 Jul 09:54 .DS_Store
drwx------ 4 erikdietz staff 136 16 Jul 11:26 .Trash
-rw------- 1 erikdietz staff 8695 12 Jul 22:30 .bash_history
drwxr-xr-x 8 erikdietz staff 272 16 Jul 12:25 .dropbox
drwx------ 6 erikdietz staff 204 2 Jul 18:49 .ssh
drwx------+ 14 erikdietz staff 476 16 Jul 07:49 Desktop
drwx------+ 8 erikdietz staff 272 16 Jul 12:23 Documents
drwx------+ 12 erikdietz staff 408 16 Jul 11:25 Downloads
drwxr-xr-x@ 23 erikdietz staff 782 14 Jul 22:17 Dropbox
drwx------+ 38 erikdietz staff 1292 16 Jul 07:53 Library
drwx------+ 3 erikdietz staff 102 11 Jun 19:19 Movies
drwx------+ 4 erikdietz staff 136 13 Jun 12:51 Music
drwx------+ 5 erikdietz staff 170 14 Jun 15:43 Pictures
drwxr-x-wx+ 8 erikdietz staff 272 16 Jun 15:38 Public
drwxr-xr-x+ 5 erikdietz staff 170 11 Jun 19:19 Sites
-rw-r--r-- 1 erikdietz staff 51499 6 Jul 12:03 reg_fsk.jpg

 

[Irgendein Held]

Und wie sieht das bei dem anderen User aus?

 

[erikdietz]

Da ich davon ausgehe, dass du mit "anderem User" den Mac_Server:NebenMir meinst, hier der Output:

noname:~ erikdietz$ ls -al /Users/restrictedarea/.ssh/
total 24
drwxr-xr-x 5 root staff 170 15 Jul 11:43 .
drwxr-xr-x+ 15 restrictedarea staff 510 15 Jul 11:48 ..
-rw-r--r-- 1 erikdietz staff 235 15 Jul 11:42 authorized_keys
-rwxrwxrwx 1 erikdietz staff 951 15 Jul 11:26 restrictedarea
-rwxrwxrwx 1 erikdietz staff 235 15 Jul 11:26 restrictedarea.pub




oname:~ erikdietz$ ls -al /Users/restrictedarea/
total 24
drwxr-xr-x+ 15 restrictedarea staff 510 15 Jul 11:48 .
drwxr-xr-x 7 root admin 238 9 Jul 12:27 ..
-rw------- 1 restrictedarea staff 3 9 Jul 12:27 .CFUserTextEncoding
-rw-r--r--@ 1 restrictedarea staff 6148 15 Jul 11:48 .DS_Store
-rw------- 1 restrictedarea staff 56 9 Jul 12:39 .bash_history
drwxr-xr-x 5 root staff 170 15 Jul 11:43 .ssh
drwx------+ 3 restrictedarea staff 102 9 Jul 12:27 Desktop
drwx------+ 5 restrictedarea staff 170 9 Jul 12:34 Documents
drwx------+ 4 restrictedarea staff 136 9 Jul 12:27 Downloads
drwx------+ 28 restrictedarea staff 952 9 Jul 13:07 Library
drwx------+ 3 restrictedarea staff 102 9 Jul 12:27 Movies
drwx------+ 4 restrictedarea staff 136 9 Jul 12:38 Music
drwx------+ 4 restrictedarea staff 136 9 Jul 12:27 Pictures
drwxr-xr-x+ 5 restrictedarea staff 170 9 Jul 12:27 Public
drwxr-xr-x+ 5 restrictedarea staff 170 9 Jul 12:27 Sites

Worauf willst du hinaus? Dass es keine authorized_keys oder keine *.pub gibt?
Nicht das ich was daegenen hab, bin für jede Fehlereinschränkung zu haben

edit:
Willst du darauf hinaus, dass nur root Zugriff auf /Users/NebenMir/.ssh hat?!
Kann es dass sein?! Ich weiß aus einem Tutorial, dass man via "chmod" noch irgendwie die Rechte anpassen musste, aber das war auch "offensichtlich", weil vorher auch eine Warnmeldung kam, als ich mich connecten wollte, und er sich promt auch nicht verbunden hat.
Aber in meinem Fall habe ich zZ keine weitere Fehlermeldung, "ausser" die "permission denied (publickey)...

Bin für jede weitere Hilfe dankbar.
Und danke für eurer bisheriges Engagement.

 

[Irgendein Held]

noname:~ erikdietz$ ls -al /Users/restrictedarea/.ssh/
total 24
[...]
-rwxrwxrwx 1 erikdietz staff 951 15 Jul 11:26 restrictedarea
-rwxrwxrwx 1 erikdietz staff 235 15 Jul 11:26 restrictedarea.pub
[...]


oname:~ erikdietz$ ls -al /Users/restrictedarea/
total 24
[...]
drwxr-xr-x 5 root staff 170 15 Jul 11:43 .ssh
[...]

Beides evil.

$ man 8 sshd und dann suchen via /^FILES [Return] und lesen - und anpassen.
Das wars.

 

[fyysh]

Du hast 777 (rwxrwxrwx) auf restrictedarea & restrictedarea.pub. das frisst ssh nicht. mach chmod 600 (rw-------) oder allerhöchstes 644 (rw-r--r--) drauf. dann sollte es gehen. die berechtigung des .ssh ordners sollte obsolet sein, aber ganz sicher bin ich mir nicht.

wenn du restrictedarea als keynamen verwenden willst, musst du das in der conf anpassen (haste, ja?). sonst musst du id_rsa[.pub] (oder dsa, je nach dem, was du generiert hast) nehmen. dann klappt das ohne probleme.

 

[erikdietz]

hey, vielen dank für die beiträge. sry, dass ich erst jetzt anworte, aber bin grad im prüfungsstress.

ich denke, dass es genau obiges problem ist.
Das mit dem keynamen. DENN, als ich bei meiner Erstkonfiguration - ich hatte standardmäßig die id_rsa[.pub] - die falschen Rechte hatte, ist obiges eingetreten. Nämlich, dass er es nicht gefressen hat. Dazu gabs aber auch eine Fehlermeldung, die genau dies verlauten ließ. Aber genau wegen dem Nicht-Eintreten dieser Fehlermeldung, habe ich nicht an die Rechtevergabe gedacht. Die wird aber an zweiter Stelle greifen.

Aber nun zu den "falschen" Keynamen. Ich mein, ich könnte sie ja einfachhalber wieder umbenennen, aber ich will ja was dazulernen. Wo also muss ich die config editieren?! Ich habe in der sshd_config leider nichts gefunden, ebenso wie in der ssh_config.
Kann mir das einer netterweise sagen?!
PS: Diese Keyfiles umzubennen ist auch kein Problem, ne?! Es wird ja nur der Inhalt des files relevant sein, nicht der Dateiname.
PPS: Bis ich weiß, wo ich das mit den Keynamen ändern kann, werd ich das mal mit id_rsa probieren.

Vielen vielen Dank bis hierhin...


edit:
ich habe jetzt als keynamen die id_rsa verwendet und das .ssh-verzeichnis chmod 700, die id_rsa chmod 600 und die id_rsa.pub chmod 644... und trotzdem kommt permission denied.
und ich habe keinen plan warum

 

[fyysh]

Wo also muss ich die config editieren?!

Du hast wahrscheinlich schon rausgefunden, dass die globalen confs in /etc liegen und ssh_config bzw. sshd_config heißen. Nun ist google dein Freund.
http://www.google.de/search?hl=de&source=hp&q=ssh+ssh_config&aq=f&aqi=&aql=&oq=&gs_rfai=

Erster Treffer:
http://www.faqs.org/docs/securing/chap15sec121.html

Bedenke: Bei OSX findest du die confs nicht unter /etc/ssh/ssh[d]_config sondern unter /etc/ssh[d]_config

ich habe jetzt als keynamen die id_rsa verwendet und das .ssh-verzeichnis chmod 700, die id_rsa chmod 600 und die id_rsa.pub chmod 644... und trotzdem kommt permission denied.
und ich habe keinen plan warum

Hmm... Gehörem die Keys auch dem User, mit dem du dich anmelden willst?

Fang doch einfach mal von vorn an und gehe folgende schritte durch (alles davon ausgehend, dass du dich auf dem Client im home ordner befindest):

1. Auf dem Server (Zielrechner) "Remote Login" in den shares in den Systemeinstellungen einshalten (sorry, die Anglizismen sind verwendet, weil ich nicht weiß, wie OSX das auf dt. nennt).
1.1 Falls du Änderungen an der ssh_conf und an der sshd_conf gemacht hast: mach sie rückgängig. Erst zum laufen bringen und dann erst, wenn überhaupt nötig, anpassen.

2. Auf dem Client:
2.1. Erstmal räumst du auf:
mv ~./ssh ~./ssh.bak
2.2. Generier keys
ssh-keygen -t [dsa||rsa] (=> entweder dsa oder rsa und ohne || und eckige Klammern, wa?)
2.3 ssh [server] 'mkdir .ssh'
2.4 cat .ssh/id_[dsa||rsa].pub | ssh [server] 'cat >> .ssh/authorized_keys'
(2.5 Evtl dein .ssh.bak löschen)

Das war's. Vorausgesetzt du hast nicht an deiner umask am Client/Server rumgeschraubt, haben die Files jetzt auch alle die richtigen Berechtigungen.
Du hast ja auch nicht die host Keys auf dem Server selber erstellt, sondern die schön von OSX selber generieren lassen, gell? Die brauchen auch die richtigen Berechtigungen und Besitzer. Sieht so aus:

[email protected]: ~
$> find /private/etc -name 'ssh*key*' -exec ls -l {} \;
-rw-------  1 root  wheel  672 Jun  9  2009 /private/etc/ssh_host_dsa_key
-rw-r--r--  1 root  wheel  590 Jun  9  2009 /private/etc/ssh_host_dsa_key.pub
-rw-------  1 root  wheel  963 Jun  9  2009 /private/etc/ssh_host_key
-rw-r--r--  1 root  wheel  627 Jun  9  2009 /private/etc/ssh_host_key.pub
-rw-------  1 root  wheel  1675 Jun  9  2009 /private/etc/ssh_host_rsa_key
-rw-r--r--  1 root  wheel  382 Jun  9  2009 /private/etc/ssh_host_rsa_key.pub

Falls du dich über /private/etc wunderst: /etc ist ein Link darauf.

Hope it helps.

 

[erikdietz]

Vielen Dank für die Antwort, werd mich gleich dranmachen.

Aber noch was vorweg. Wegen den ganzen Rechten etc.
Kann es sein, dass ich keinen connect kriege, weil ich den Ordner .ssh im Server_User via "sudo mkdir" erstellt hab?! Weil der owner ist ja jetzt root, nicht etwas restricedarea. Und wenn nur root drauf zugreifen kann, kann User restrictedarea nicht in die authorized keys gucken?! Kann das sein?!

Viel Gerede, wenig Sinn, ich werd mal probieren den User zu ändern.

Wenn das nicht fruchtet, werd ich alles killen und es mal so machen, wie du gesagt hast...
Und nochmal tausend Dank für dein Entgegenkommen und die Geduld...

*bis gleich*

 

[fyysh]

Aber noch was vorweg. Wegen den ganzen Rechten etc.
Kann es sein, dass ich keinen connect kriege, weil ich den Ordner .ssh im Server_User via "sudo mkdir" erstellt hab?! Weil der owner ist ja jetzt root, nicht etwas restricedarea. Und wenn nur root drauf zugreifen kann, kann User restrictedarea nicht in die authorized keys gucken?! Kann das sein?!

Ja, wie gesagt, die keys MÜSSEN dem user gehören, mit dem man sich anmelden möchte UND die Rechte auf den keys dürfen höchstens 644 sein. Kann schon sein, dass du ein owner UND rechte problem hast/hattest...

 

[erikdietz]

Danke, bin jetz grad erst am Neumachen. Hatte die Besitzer und die Zugriffsrechte geändert, aber ging nach wie vor nichts. Ich geh jetzt nochmal nach deinem "tut" vor und mal sehen. Hatte auch den .ssh manuell von dem andern Konto angelegt und vllt gabs da Probleme. Ebenso hab ich die authorized_keys von dem andern Nutzer kopiert, weil der sollte ja auch Zugriff haben. Vllt gabs auch da wieder falsche Zugriffsrechte oder falsche Inhaber...
Ich meld mich nachher nochmal...


So, da issa wieder... Und was soll ich sagen!? Ach, ich sag einfach nichts
Es funktioniert... Zum einen war es "wirklich" das Problem mit der identity und zum Andern wahrscheinlich auch eine Vielzahl von andern kleinen Inhaber- und Zugriffsrechten.

Deswegen vielen vielen Dank für deine Mühe und Detailgenauigkeit.
Hat mir wirklich sehr geholfen.