Por que eu ainda solicito uma senha ao configurar chaves SSH em um servidor?

1

Temos dois servidores CentOS 6.9. Uma que chamaremos de "INHOUSE" e uma que chamaremos de "BACKUP".

Estamos tentando configurar um script que usa uma conexão RSA, onde podemos usar o SSH do servidor "INHOUSE" para o servidor "BACKUP".

Isso é algo que fizemos no passado, mas esse exemplo nos causa problemas. Depois de copiar a chave RSA de “INHOUSE” para “BACKUP” (e reiniciar o serviço SSHD), podemos usar o SSH como “BACKUP”, no entanto, ainda seremos solicitados uma senha.

Eu sei que há uma correção explicada aqui mas isso não funcionou para nós.

Nós tentamos eliminar o conteúdo do arquivo authorized_keys em "BACKUP" e adicionar novamente as chaves e isso ainda não funciona.

Eu sei que às vezes as permissões podem ser um problema. Aqui estão as minhas configurações atuais de permissões:

Em "BACKUP" em /root/ :

 drwxr-xr-x   2 root root  4096 Sep 18 11:14 .ssh

Em /root/.ssh :

 -rwx------  1 root root  394 Sep 18 10:54 authorized_keys

Em "BACKUP" em /root/ :

 drwxr-xr-x   2 root root  4096 Sep 18 10:35 .ssh

Em /root/.ssh em "BACKUP":

 -rw-r--r-- 1 root root  391 Sep 18 10:35 authorized_keys

Veja também como temos /etc/ssh/sshd_config definido em cada servidor.

Em "BACKUP": (todos os padrões)

 #RSAAuthentication yes
 #PubkeyAuthentication yes
 #AuthorizedKeysFile     .ssh/authorized_keys
 #AuthorizedKeysCommand none
 #AuthorizedKeysCommandRunAs nobody

Em "INHOUSE": (RSAAuth é o único não padrão)

 RSAAuthentication yes
 #PubkeyAuthentication yes
 #AuthorizedKeysFile     .ssh/authorized_keys
 #AuthorizedKeysCommand none
 #AuthorizedKeysCommandRunAs nobody

Nós tentamos configurar a direção oposta também. Nós podemos SSH de “BACKUP” para “INHOUSE”.

A saída de ssh -vvv mostra o seguinte; o que mais posso fazer para que o SSH funcione de “INHOUSE” para “BACKUP” sem que seja solicitada uma senha?

 [root] INHOUSE:/root/.ssh> ssh -vvv root@BACKUP
 OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
 debug1: Reading configuration data /etc/ssh/ssh_config
 debug1: Applying options for *
 debug2: ssh_connect: needpriv 0
 debug1: Connecting to BACKUP [XXX.XXX.XXX.XXX] port 22.
 debug1: Connection established.
 debug1: permanently_set_uid: 0/0
 debug3: Not a RSA1 key file /root/.ssh/id_dsa.
 debug2: key_type_from_name: unknown key type '-----BEGIN'
 debug3: key_read: missing keytype
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug3: key_read: missing whitespace
 debug2: key_type_from_name: unknown key type '-----END'
 debug3: key_read: missing keytype
 debug1: identity file /root/.ssh/id_dsa type 2
 debug1: identity file /root/.ssh/id_dsa-cert type -1
 debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
 debug1: match: OpenSSH_5.3 pat OpenSSH*
 debug1: Enabling compatibility mode for protocol 2.0
 debug1: Local version string SSH-2.0-OpenSSH_5.3
 debug2: fd 3 setting O_NONBLOCK
 debug1: SSH2_MSG_KEXINIT sent
 debug3: Wrote 864 bytes for a total of 885
 debug1: SSH2_MSG_KEXINIT received
 debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
 debug2: kex_parse_kexinit: [email protected],ssh-dss-cert-     [email protected],[email protected],[email protected],ssh-rsa,ssh-dss
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,[email protected]
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,[email protected]
 debug2: kex_parse_kexinit: hmac-sha1,[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96
 debug2: kex_parse_kexinit: hmac-sha1,[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96
 debug2: kex_parse_kexinit: none,[email protected],zlib
 debug2: kex_parse_kexinit: none,[email protected],zlib
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit: first_kex_follows 0
 debug2: kex_parse_kexinit: reserved 0
 debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
 debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
 debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
 debug2: kex_parse_kexinit: none,[email protected]
 debug2: kex_parse_kexinit: none,[email protected]
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit:
 debug2: kex_parse_kexinit: first_kex_follows 0
 debug2: kex_parse_kexinit: reserved 0
 debug2: mac_setup: found hmac-sha1
 debug1: kex: server->client aes128-ctr hmac-sha1 none
 debug2: mac_setup: found hmac-sha1
 debug1: kex: client->server aes128-ctr hmac-sha1 none
 debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<2048<8192) sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
 debug3: Wrote 24 bytes for a total of 909
 debug2: dh_gen_key: priv key bits set: 167/320
 debug2: bits set: 1035/2048
 debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
 debug3: Wrote 272 bytes for a total of 1181
 debug3: check_host_in_hostfile: host BACKUP filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: host BACKUP filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: match line 14
 debug3: check_host_in_hostfile: host XXX.XXX.XXX.XXX filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: host XXX.XXX.XXX.XXX filename /root/.ssh/known_hosts
 debug3: check_host_in_hostfile: match line 14
 debug1: Host 'BACKUP' is known and matches the RSA host key.
 debug1: Found key in /root/.ssh/known_hosts:14
 debug2: bits set: 1020/2048
 debug1: ssh_rsa_verify: signature correct
 debug2: kex_derive_keys
 debug2: set_newkeys: mode 1
 debug1: SSH2_MSG_NEWKEYS sent
 debug1: expecting SSH2_MSG_NEWKEYS
 debug3: Wrote 16 bytes for a total of 1197
 debug2: set_newkeys: mode 0
 debug1: SSH2_MSG_NEWKEYS received
 debug1: SSH2_MSG_SERVICE_REQUEST sent
 debug3: Wrote 52 bytes for a total of 1249
 debug2: service_accept: ssh-userauth
 debug1: SSH2_MSG_SERVICE_ACCEPT received
 debug2: key: /root/.ssh/id_dsa (0x7f3f19970a50)
 debug3: Wrote 68 bytes for a total of 1317
 debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
 debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password
 debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
 debug3: authmethod_lookup gssapi-keyex
 debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-     interactive,password
 debug3: authmethod_is_enabled gssapi-keyex
 debug1: Next authentication method: gssapi-keyex
 debug1: No valid Key exchange context
 debug2: we did not send a packet, disable method
 debug3: authmethod_lookup gssapi-with-mic
 debug3: remaining preferred: publickey,keyboard-interactive,password
 debug3: authmethod_is_enabled gssapi-with-mic
 debug1: Next authentication method: gssapi-with-mic
 debug3: Trying to reverse map address XXX.XXX.XXX.XXX.
 debug1: Unspecified GSS failure.  Minor code may provide more information
 Credentials cache file '/tmp/krb5cc_0' not found

 debug1: Unspecified GSS failure.  Minor code may provide more information
 Credentials cache file '/tmp/krb5cc_0' not found

 debug2: we did not send a packet, disable method
 debug3: authmethod_lookup publickey
 debug3: remaining preferred: keyboard-interactive,password
 debug3: authmethod_is_enabled publickey
 debug1: Next authentication method: publickey
 debug1: Offering public key: /root/.ssh/id_dsa
 debug3: send_pubkey_test
 debug2: we sent a publickey packet, wait for reply
 debug3: Wrote 532 bytes for a total of 1849
 debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-     mic,password
 debug2: we did not send a packet, disable method
 debug3: authmethod_lookup password
 debug3: remaining preferred: ,password
 debug3: authmethod_is_enabled password
 debug1: Next authentication method: password

 root@BACKUP's password:
    
por perseusraz 19.09.2017 / 15:33

2 respostas

0

Seu diretório .ssh/ em ambas as configurações tem permissões incorretas. Você tem

drwxr-xr-x   2 root root  4096 Sep 18 11:14 .ssh

Deve ser drwx------ . Então, execute este comando para alterar essas permissões nesses diretórios:

chmod 700 ~/.ssh

E, da mesma forma que as permissões .ssh , você tem isso para authorized_keys :

-rwx ------ 1 raiz raiz 394 18 de setembro 10:54 authorized_keys

Isso deve ser -rw------- . Então, execute este comando para alterar essas permissões:

chmod 600 ~/.ssh/authorized_keys

Esses comandos prefixados com ~/ presumem que você esteja conectado como o usuário que possui acesso ao diretório .ssh . Então, ajuste o caminho para atender às suas necessidades.

Além disso, se você quiser SSH de “INHOUSE” a “BACKUP”, precisará editar /etc/ssh/sshd_config , então RSAAuthentication yes não está comentado e reiniciar o SSHD também. Este é provavelmente o motivo pelo qual você pode fazer o SSH de “BACKUP” para “INHOUSE”, mas não de “INHOUSE” para “BACKUP” neste momento.

    
por 19.09.2017 / 15:39
0

Seu diretório .ssh e seu conteúdo devem ser acessíveis apenas pelo proprietário. Eles não devem ter permissões de grupo ou globais definidas.

Servidor:

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Cliente:

chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 600 ~/.ssh/id_rsa.pub
    
por 19.09.2017 / 15:36

Tags