---

Jeg er ved at sææte et backupscript op mellem 2 maskiner. Der har jeg
tænkt mig at bruge rsync over ssh.
Derofr begyndte jeg med at generere en ny ssh-key som beskrevet i
Linuxbog: http://www.linuxbog.dk/sikkerhed/bog/sikker-net-trafik.html

ssh-keygen -d
og så give keyfilen et nyt navn: id_dsa2
og ikke skrive nogen passphrase, da jeg gerne vil have det til at køre
af sig selv.

Så har jeg brugt scp til at kopiere id_dsa2.pub over på den anden
maskine og vha. ssh logget ind og flyttet den over i .ssh og kørt chmod
som beskrevet.

Men jeg skal stadigvæk skrive password når jeg skriver ssh
ip.adresse.på.anden.maskine

Skulle dette ikke gøre at jeg kan logge på uden?

--
Leonard
Mine biler: http://vw.leonard.dk/

---

> Så har jeg brugt scp til at kopiere id_dsa2.pub over på den anden
> maskine og vha. ssh logget ind og flyttet den over i .ssh og kørt chmod
> som beskrevet.

Indholdet af *pub filen skal i filen: authorized_keys

F.eks. cat id_dsa2.pub >> authorized_keys

/Jan

---

On Fri, 14 Sep 2007 16:23:55 +0200, Jan Birk wrote:

> Indholdet af *pub filen skal i filen: authorized_keys

I vejledningen på Linuxbog skal det i /root/.ssh/authorized_keys2 ?
Men selvom jeg renamer denne til ikke at hedde 2 tilsidst, så virker det
ikke.

--
Leonard
Mine biler: http://vw.leonard.dk/

---

Den Fri, 14 Sep 2007 16:32:37 +0200 skrev Leonard:
> On Fri, 14 Sep 2007 16:23:55 +0200, Jan Birk wrote:
>
>> Indholdet af *pub filen skal i filen: authorized_keys
>
> I vejledningen på Linuxbog skal det i /root/.ssh/authorized_keys2 ?
> Men selvom jeg renamer denne til ikke at hedde 2 tilsidst, så virker det
> ikke.

Check log-filer.

Specielt er SSH ret hidsig med rettigheder på filerne, hvis enhver
idiot kan skrive til authorized_keys* filerne, bliver de ignoreret.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 14 Sep 2007 15:11:49 GMT, Kent Friis wrote:

> Check log-filer.

Der er jo et hav af logfiler, hvilke skal jeg kigge i og efter hvad?

> Specielt er SSH ret hidsig med rettigheder på filerne, hvis enhver
> idiot kan skrive til authorized_keys* filerne, bliver de ignoreret.

Det er kun root, der har rw på authorized_keys filen.
Betyder din stjerne, at den må hedde hvilket som helst som ekstra tegn
tilsidst?

--
Leonard
Mine biler: http://vw.leonard.dk/

---

Den Fri, 14 Sep 2007 17:33:10 +0200 skrev Leonard:
> On 14 Sep 2007 15:11:49 GMT, Kent Friis wrote:
>
>> Check log-filer.
>
> Der er jo et hav af logfiler, hvilke skal jeg kigge i og efter hvad?
>
>> Specielt er SSH ret hidsig med rettigheder på filerne, hvis enhver
>> idiot kan skrive til authorized_keys* filerne, bliver de ignoreret.
>
> Det er kun root, der har rw på authorized_keys filen.

Hvad med id.dsa?

> Betyder din stjerne, at den må hedde hvilket som helst som ekstra tegn
> tilsidst?

Nej, at der findes to - authorized_keys og authorized_keys2, afhængig
af ssh-version og rsa/dsa.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 14 Sep 2007 16:20:51 GMT, Kent Friis wrote:

> Hvad med id.dsa?

Det samme, kun root har rw, men den ligger jo kun på min lokale maskine.
Det er da kun .pub, der skal gives til remoten?

>> Betyder din stjerne, at den må hedde hvilket som helst som ekstra tegn
>> tilsidst?
>
> Nej, at der findes to - authorized_keys og authorized_keys2, afhængig
> af ssh-version og rsa/dsa.

Øh, så er jeg forvirret, hvad skal jeg kalde min fil?

Begge installationer er Debian.

--
Leonard
Mine biler: http://vw.leonard.dk/

---

Den Fri, 14 Sep 2007 19:00:59 +0200 skrev Leonard:
> On 14 Sep 2007 16:20:51 GMT, Kent Friis wrote:
>
>> Hvad med id.dsa?
>
> Det samme, kun root har rw, men den ligger jo kun på min lokale maskine.
> Det er da kun .pub, der skal gives til remoten?

Ja, men når du logger ind, skal klienten jo bruge id.dsa til at
authenticate med, og for at det skal være sikkert, må ingen andre
end dig selv kunne læse filen. Kan de det, nægter ssh at bruge den.

>>> Betyder din stjerne, at den må hedde hvilket som helst som ekstra tegn
>>> tilsidst?
>>
>> Nej, at der findes to - authorized_keys og authorized_keys2, afhængig
>> af ssh-version og rsa/dsa.
>
> Øh, så er jeg forvirret, hvad skal jeg kalde min fil?

Jeg mener det er authorized_keys2 ved dsa keys.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 14 Sep 2007 17:10:38 GMT, Kent Friis wrote:

> Ja, men når du logger ind, skal klienten jo bruge id.dsa til at
> authenticate med, og for at det skal være sikkert, må ingen andre
> end dig selv kunne læse filen. Kan de det, nægter ssh at bruge den.

Men er det ikke også det jeg sikrer ved at det kun er root, der har rw
på filerne?

--
Leonard
Mine biler: http://vw.leonard.dk/

---

Den Fri, 14 Sep 2007 19:23:24 +0200 skrev Leonard:
> On 14 Sep 2007 17:10:38 GMT, Kent Friis wrote:
>
>> Ja, men når du logger ind, skal klienten jo bruge id.dsa til at
>> authenticate med, og for at det skal være sikkert, må ingen andre
>> end dig selv kunne læse filen. Kan de det, nægter ssh at bruge den.
>
> Men er det ikke også det jeg sikrer ved at det kun er root, der har rw
> på filerne?

Jo, jeg forklarer bare hvorfor rettighederne også er vigtige på den
fil.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Hej,

Kent Friis <nospam@nospam.invalid> writes:
> Den Fri, 14 Sep 2007 16:32:37 +0200 skrev Leonard:
>> On Fri, 14 Sep 2007 16:23:55 +0200, Jan Birk wrote:
>>
>>> Indholdet af *pub filen skal i filen: authorized_keys
>>
>> I vejledningen på Linuxbog skal det i /root/.ssh/authorized_keys2 ?
>> Men selvom jeg renamer denne til ikke at hedde 2 tilsidst, så virker det
>> ikke.
>
> Check log-filer.
>
> Specielt er SSH ret hidsig med rettigheder på filerne, hvis enhver
> idiot kan skrive til authorized_keys* filerne, bliver de ignoreret.

Man kan med fordel benytte 'ssh-copy-id' kommandoen til at kopiere
nøgler rundt, så slipper man for at fedte med at oprette .ssh mappen og
sætte de rigtige rettigheder osv.


/Claus A

---

On Fri, 14 Sep 2007 17:33:19 +0200, Claus Alboege wrote:

> Man kan med fordel benytte 'ssh-copy-id' kommandoen til at kopiere
> nøgler rundt, så slipper man for at fedte med at oprette .ssh mappen og
> sætte de rigtige rettigheder osv.

Fikst, men det hjalp ikke.
Jeg slettede de gamle filer på remote-maskinen og oprettede et nyt sæt
nøgler og brugte ssh-copy-id og kan se at der er komemt en ny
authorized_keys fil, men jeg skal alligevel bruge password for at logge
ind.

--
Leonard
Mine biler: http://vw.leonard.dk/

---

Leonard <piper28a@gmail.invalid> writes:

> Jeg slettede de gamle filer på remote-maskinen og oprettede et nyt sæt
> nøgler og brugte ssh-copy-id og kan se at der er komemt en ny
> authorized_keys fil, men jeg skal alligevel bruge password for at logge
> ind.

Hvis du angiver en masse -v'er fortæller den en del om hvordan det går.
--
Thorbjørn Ravn Andersen

---

On Fri, 14 Sep 2007 17:47:49 +0200
Leonard <piper28a@gmail.invalid> wrote:

> authorized_keys fil, men jeg skal alligevel bruge password for at
> logge ind.
Lige for at være sikker: Oprettede du din nøgle med password? Altså
indtastede du andet en blot enter, da du blev spurgt om password, da du
generede din nøgle?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.

---

On Fri, 14 Sep 2007 18:04:36 +0200, Michael Rasmussen wrote:

> Lige for at være sikker: Oprettede du din nøgle med password? Altså
> indtastede du andet en blot enter, da du blev spurgt om password, da du
> generede din nøgle?

Kun enter - meningen er jo at slipep for password.

--
Leonard
Mine biler: http://vw.leonard.dk/

---

On Fri, 14 Sep 2007 17:47:49 +0200
Leonard <piper28a@gmail.invalid> wrote:

> authorized_keys fil, men jeg skal alligevel bruge password for at
> logge ind.
>
Hvilken værdi har: PubkeyAuthentication i /etc/ssh/sshd_config ?
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.

---

On Fri, 14 Sep 2007 18:10:06 +0200, Michael Rasmussen wrote:

> Hvilken værdi har: PubkeyAuthentication i /etc/ssh/sshd_config ?

yes

--
Leonard
Mine biler: http://vw.leonard.dk/

---

Leonard <piper28a@gmail.invalid> wrote:
> Jeg er ved at s??te et backupscript op mellem 2 maskiner. Der har jeg
> t?nkt mig at bruge rsync over ssh.

Paa din klient, hvad er output af:

id
og
ls -l ~/.ssh/
og
ssh -v hostnavn

Paa serveren, hvad er output af:

id
og
ls -l ~/.ssh/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On 14 Sep 2007 17:20:47 GMT, Alex Holst wrote:

> Paa din klient, hvad er output af:
>
> id

uid=0(root) gid=0(root) groups=0(root)

> ls -l ~/.ssh/

-rw------- 1 root root 668 2007-06-27 15:20 id_dsa
-rw------- 1 root root 672 2007-09-14 15:45 id_dsa2
-rw-r--r-- 1 root root 601 2007-09-14 15:45 id_dsa2.pub
-rw------- 1 root root 668 2007-09-14 17:43 id_dsa3
-rw-r--r-- 1 root root 601 2007-09-14 17:43 id_dsa3.pub
-rw-r--r-- 1 root root 601 2007-06-27 15:20 id_dsa.pub
-rw-r--r-- 1 root root 1694 2007-08-21 19:31 known_hosts

> ssh -v hostnavn

garage:/# ls -l ~/.ssh/
total 28
-rw------- 1 root root 668 2007-06-27 15:20 id_dsa
-rw------- 1 root root 672 2007-09-14 15:45 id_dsa2
-rw-r--r-- 1 root root 601 2007-09-14 15:45 id_dsa2.pub
-rw------- 1 root root 668 2007-09-14 17:43 id_dsa3
-rw-r--r-- 1 root root 601 2007-09-14 17:43 id_dsa3.pub
-rw-r--r-- 1 root root 601 2007-06-27 15:20 id_dsa.pub
-rw-r--r-- 1 root root 1694 2007-08-21 19:31 known_hosts

garage:/# ssh -v garage

OpenSSH_4.3p2 Debian-9, OpenSSL 0.9.8c 05 Sep 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to garage [127.0.1.1] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version
OpenSSH_4.3p2 Debian-9
debug1: match: OpenSSH_4.3p2 Debian-9 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3p2 Debian-9
debug1: Miscellaneous failure
No credentials cache found

debug1: Miscellaneous failure
No credentials cache found

debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
The authenticity of host 'garage (127.0.1.1)' can't be established.
RSA key fingerprint is 0b:80:1b:81:92:5d:c4:42:5d:0b:c2:37:55:7d:e2:de.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'garage' (RSA) to the list of known hosts.
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/identity
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Offering public key: /root/.ssh/id_dsa
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: password
root@garage's password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = en_DK.UTF-8
Last login: Fri Sep 14 17:24:32 2007 from 192.168.162.179
Linux garage 2.6.18-5-686 #1 SMP Thu Aug 30 02:19:07 UTC 2007 i686

The programs included with the Debian GNU/Linux system are free
software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
garage#

> Paa serveren, hvad er output af:
>
> id

uid=0(root) gid=0(root) groups=0(root)

> ls -l ~/.ssh/

-rw------- 1 root root 1202 2007-09-14 18:11 authorized_keys2

--
Leonard
Mine biler: http://vw.leonard.dk/

---

Leonard <piper28a@gmail.invalid> wrote:
> garage:/# ls -l ~/.ssh/
> total 28
> -rw------- 1 root root 668 2007-06-27 15:20 id_dsa
> -rw------- 1 root root 672 2007-09-14 15:45 id_dsa2
> -rw-r--r-- 1 root root 601 2007-09-14 15:45 id_dsa2.pub
> -rw------- 1 root root 668 2007-09-14 17:43 id_dsa3
> -rw-r--r-- 1 root root 601 2007-09-14 17:43 id_dsa3.pub
> -rw-r--r-- 1 root root 601 2007-06-27 15:20 id_dsa.pub
> -rw-r--r-- 1 root root 1694 2007-08-21 19:31 known_hosts

"2" og "3" filerne bør du slette medmindre du bruger dem til noget.
id_dsa er din hemmelige nøgle.

> debug1: Next authentication method: publickey
> debug1: Trying private key: /root/.ssh/identity
> debug1: Trying private key: /root/.ssh/id_rsa
> debug1: Offering public key: /root/.ssh/id_dsa
> debug1: Authentications that can continue: publickey,password

Din nøgle (id_dsa) bliver prøvet og afvist.

> > ls -l ~/.ssh/
>
> -rw------- 1 root root 1202 2007-09-14 18:11 authorized_keys2

Omdøb til authorized_keys - og vis os indholdet.

(Hvorfor bliver folk ved med at tale om authorized_keys2? OpenSSH og
venner har droppet to-tallet for mange år tilbage.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On 14 Sep 2007 18:03:18 GMT, Alex Holst wrote:

> "2" og "3" filerne bør du slette medmindre du bruger dem til noget.
> id_dsa er din hemmelige nøgle.

OK, jeg havde ladet id_dsa være og lavet en ny 2 og 3 i mine forsøg, men
ved at slette alle nøglerne og begynde forfra, så jeg nu har en nøgle
uden passphrase i id_dsa og overført den med ssh-copy-id, virker det.

--
Leonard
Mine biler: http://vw.leonard.dk/

---

On 2007-09-14, Leonard <piper28a@gmail.invalid> wrote:
>
>> "2" og "3" filerne bør du slette medmindre du bruger dem til noget.
>> id_dsa er din hemmelige nøgle.
>
> OK, jeg havde ladet id_dsa være og lavet en ny 2 og 3 i mine forsøg, men
> ved at slette alle nøglerne og begynde forfra, så jeg nu har en nøgle
> uden passphrase i id_dsa og overført den med ssh-copy-id, virker det.

Som udgangspunkt benytter ssh kun id_dsa, og ikke dine 2 og 3 filer. Du
kan bruge -i switchen til at bruge en anden identitet.

--
Andreas

---

Leonard <piper28a@gmail.invalid> writes:

> Jeg er ved at sææte et backupscript op mellem 2 maskiner. Der har jeg
> tænkt mig at bruge rsync over ssh.

Google giver en ok forklaring på "jeg føler mig heldig" med "ssh
without password tutorial"

--
Thorbjørn Ravn Andersen

---

>> Jeg er ved at sææte et backupscript op mellem 2 maskiner. Der har jeg
>> tænkt mig at bruge rsync over ssh.
>
> Google giver en ok forklaring på "jeg føler mig heldig" med "ssh
> without password tutorial"

Eller http://howto.dk/#ssh2ssh