Автор Тема: Нет захода на внешний сервер через ssh  (Прочитано 3497 раз)

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
Попробуйте без параметров, просто ssh-keygen.
$ ssh-keygen
$ ssh-copy-id user1@host1
$ ssh 'user1@host1'
ssh: sign_and_send_pubkey: signing failed for ED25519 "/home/user/.ssh/id_ed25519" from agent: agent refused operation
user1@host1's password:
Прежняя ошибка.
На host1 стоит p10, и там ssh-keygen дает без параметров id_rsa.
Ничего, что я остальные компы не поменял в эксперименте с rsa на ED25519 в своих .ssh ?

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 745
Ничего, что я остальные компы не поменял в эксперименте с rsa на ED25519 в своих .ssh ?
Я вообще ничего нигде не менял и подключения по ключу, и по паролю в отсутствии ключа устанавливаются.
Просто выполнял команды на клиентах
ssh-keygen [много раз жать на Enter]
ssh-copy-id -p port user@server
ssh -p port user@server
и у меня всё везде подключается.

Есть один момент: на сервере разрешён доступ по паролю, раскомментирован параметр "PasswordAuthentication yes", и указано явное использование IPv4 параметром "AddressFamily inet" в файле /etc/openssh/sshd_config.

Попробуйте подключение к серверу на виртуальной машине со свежеустановленным starterkit mate р11, или вообще из LiveCD загрузки.

На host1 стоит p10, и там ssh-keygen дает без параметров id_rsa.
Если вы уже и из р10 не можете подключиться - смотрите настройки сервера.

Кстати, а на сервере какая система установлена?
И какие изменения внесены в /etc/openssh/sshd_config?

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
Есть один момент: на сервере разрешён доступ по паролю, раскомментирован параметр "PasswordAuthentication yes", и указано явное использование IPv4 параметром "AddressFamily inet" в файле /etc/openssh/sshd_config.
Все больше путаницы. Давайте забудем мою локальную сеть. Когда говорим про сервер, будем иметь ввиду некие удаленные сервера, связь по интернету с которым я лишился с переходом в одном из компов на новую систему kit-p11, а именно: работу команд ssh, scp и только через ник+пароль. Не будут пока меня волновать настройки на серверах, поскольку это чужие системы, в которых выполнять административные функции я не могу.
Цитировать
Попробуйте подключение к серверу на виртуальной машине со свежеустановленным starterkit mate р11, или вообще из LiveCD загрузки.
Хочу напомнить, что я это уже сделал и в ответе на ваш отклик сообщал об отрицательном результате (сегодня « Ответ #24 : Сегодня в 15:33:23 »), со слов:
"Пробовал повторить, у меня виртуалка на p10. Результат к моему сожалению другой, прежняя ошибка"
Цитировать
Если вы уже и из р10 не можете подключиться - смотрите настройки сервера.
Как раз из p10, прежней системы никаких проблем не было, и нет. Произошли вопросы при попытке перейти на p11.
Цитировать
Кстати, а на сервере какая система установлена?
И какие изменения внесены в /etc/openssh/sshd_config?
На серверах могут стоять различные системы, и , как я уже пытался объяснить выше, меня их настройки на сегодня должны волновать мало. Надо настраивать срочно новую систему.

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 745
На серверах могут стоять различные системы, и , как я уже пытался объяснить выше, меня их настройки на сегодня должны волновать мало.
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,kex-strict-s-v00@openssh.com
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ssh-rsa,ecdsa-sha2-nistp256,ssh-ed25519
Если сервер не принимает ваш тип ключа, значит нужно намекнуть админу сервера.
Или придётся пытаться ломать клиента, оставляя только те форматы, которые понимает сервер.
https://askubuntu.com/a/942202

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 526
    • Email
На серверах могут стоять различные системы, и , как я уже пытался объяснить выше, меня их настройки на сегодня должны волновать мало. Надо настраивать срочно новую систему.
Вообще-то для того, чтобы не заниматься неделями рукоблудием и угадыванием, а срочно настраивать новую систему надо знать как настроен сервер к которому надо подключаться. Как минимум какой метод аутентификации используется и какие проверки сервер делает. И почему бы вам не связаться с админом серверов не рассказать о своей проблеме и не узнать что требуется для настройки клиентской машины? Раз уж не вы сервера администрируете.

Все больше путаницы.
Так вы сами её и разводите начиная с первого поста.

а именно: работу команд ssh, scp и только через ник+пароль.
Что-то не очень похоже, что вы входили только через ник+пароль. Откуда у вас ключи тогда? Для никпароля ключи не нужны от слова совсем. И кроме того если сервер настроен на вход или по ключам или по паролю, то сначала будет попытка аутентификации по ключам, если первое неудачно, будет предложено войти по паролю. Вот так, как у вас в домашней сети:
$ ssh 'user1@host1'
ssh: sign_and_send_pubkey: signing failed for ED25519 "/home/user/.ssh/id_ed25519" from agent: agent refused operation
user1@host1's password:

Если же по каким-то причинам не прошла аутенцификация ни по ключам, ни по паролю, строка должна быть такой:
$ ssh user@server.name
ssh: user@server.name: Permission denied (publickey,password,keyboard-interactive).
А теперь сравните с тем, что удалённый сервер отвечает вам. Там похоже вход только по ключам. Вы с лайва 10-ки, ничего там не трогая и не добавляя никаких ключей на удалённый сервер зайти по только паролю можете? Сейчас, а не когда-то раньше. Вход по паролю с серверов могли и убрать (если, конечно, он там вообще когда-либо был).

Это:
Цитировать
На р10, временно переименуйте каталог ~/.ssh, например mv ~/.ssh ~/.ssh-normal и попробуйте подключиться к серверу с паролем.
Проверено, не проходит, так как ключи те же:
как раз говорит о том, что входа по паролю нет. При условии что вы эти ключи отодвинули на клиенте, а зайти пытались с него на внешний удалённый сервер. Вот только фраза о ключах тут вообще не к месту.

И если на внешние сервера вход только по ключам, то это означает, что в новой системе вы не сможете сгенерировать новые ключи и отправить публичный ключ на все внешние сервера. А это уж никак не зависит от того 10-ка это или 11.
В этом случае можно только скопировать в новую систему действительные ключи из старой и обеспечить ряд условий, чтобы новая система могла с этими ключами работать и сервера видели новую систему так же как старую. Как минимум должны совпадать имя юзера, группы в которые он входит и имя хоста. Если у вас новая p11 установлена в виртуалке, возможно IP-адрес вне разрешённого диапазона. Возможно и что-то ещё, что проверяется на стороне сервера и чего вы не знаете.
И, да, создавать в p11 пользователя с uid 500 это самому себе разложить грабли. Там uid-ы меньше 1000 теперь предназначены для системных пользователей, если с каким обновлением влетит пакет устанавливающий системного пользователя с uid 500 будут непредсказуемые проблемы.
« Последнее редактирование: 22.07.2024 13:35:40 от stranger573 »

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 676
sshd_config :
...
# AllowGroups wheel users
Я всё смотрю и смотрю дальше, а вы раскомментировали?
И ещё вопрос, как ведёт себя ssh по факту  клиента на клиенте(сам у себя)?
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 526
    • Email
sshd_config :
...
# AllowGroups wheel users
Я всё смотрю и смотрю дальше, а вы раскомментировали?
Зачем? В альтах все пользователи включая рута входят либо в wheel, либо в users, либо в обе. К тому же сдаётся мне он это смотрел на клиенте, не на сервере, а какие группы прописаны на серверах и прописаны ли вообще он не знает.
« Последнее редактирование: 22.07.2024 15:23:01 от stranger573 »

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 676
sshd_config :
...
# AllowGroups wheel users
Я всё смотрю и смотрю дальше, а вы раскомментировали?
Зачем? В альтах все пользователи включая рута входят либо в wheel, либо в users, либо в обе. К тому же сдаётся мне он это смотрел на клиенте, не на сервере, а какие группы прописаны на серверах и прописаны ли вообще он не знает.
Так если у openssh нет прав на группу, то конечно он не впустит и даст ошибку по паролю.
И да с политикой gpupdate по дефолту, действительно там должен стоять #, иначе при установке вообще впускает сразу.
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
Если сервер не принимает ваш тип ключа, значит нужно намекнуть админу сервера.
...
https://askubuntu.com/a/942202

==
$ ssh user2@server.name -vv :
...
debug2: host key algorithms: rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-256,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,sk-ssh-ed25519@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp256,sk-ecdsa-sha2-nistp256@openssh.com
...
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
...
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
ssh: user@server.name: Permission denied (publickey,keyboard-interactive).
[user@host ~]$
==

« Последнее редактирование: 23.07.2024 13:49:36 от kras »

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
А теперь сравните с тем, что удалённый сервер отвечает вам. Там похоже вход только по ключам. Вы с лайва 10-ки, ничего там не трогая и не добавляя никаких ключей на удалённый сервер зайти по только паролю можете? Сейчас, а не когда-то раньше. Вход по паролю с серверов могли и убрать (если, конечно, он там вообще когда-либо был).

Сечас проверил с лайва 10-ки - соединился по паролю сразу.
На сервера всегда захожу по имени-паролю, ключи не использую.
Цитировать
Цитировать
Проверено, не проходит, так как ключи те же:
как раз говорит о том, что входа по паролю нет. При условии что вы эти ключи отодвинули на клиенте, а зайти пытались с него на внешний удалённый сервер. Вот только фраза о ключах тут вообще не к месту.
Вопросы терминологии, я могу неправильно что-то назвать, но в то же время указывал далее на то, что имел ввиду.
С критикой полностью согласен.
Цитировать
И, да, создавать в p11 пользователя с uid 500 это самому себе разложить грабли.
...
Для совместимости (uid 500), сейчас "на испытательном полигоне" мне без этого просто нельзя. Спасибо за ликбез.

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
sshd_config :
...
# AllowGroups wheel users
Я всё смотрю и смотрю дальше, а вы раскомментировали?
После многих экспериментов оставил как было в свеже-установленной системе, то есть закомментированной. После вашего строгого  взгляда раскомментировал, если нужно. Результаты пока прежние.
Цитировать
И ещё вопрос, как ведёт себя ssh по факту  клиента на клиенте(сам у себя)?
Очень хорошо, соединился. Я даже на соседнем компе запускал лив-p11 и по локальной сети прекрасно по ssh соединялся со своей установленной системой на p11.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 526
    • Email
==
$ ssh user2@server.name -vv :
...
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
ssh: user@server.name: Permission denied (publickey,keyboard-interactive).
[user@host ~]$
==
Тут даже намёка нет на авторизацию по паролю.
А теперь запустите также с отладкой на десятке с которой можете соединиться.
« Последнее редактирование: 23.07.2024 14:40:42 от stranger573 »

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 676
Очень хорошо, соединился. Я даже на соседнем компе запускал лив-p11 и по локальной сети прекрасно по ssh соединялся со своей установленной системой на p11.
А р10?
И может возможно предварительно очистить ключи(сохранив копию) при подключении ssh, он всегда их генерирует сам, а потом запрашивает usera
« Последнее редактирование: 23.07.2024 09:01:12 от kessys »
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 676
После многих экспериментов оставил как было в свеже-установленной системе, то есть закомментированной. После вашего строгого  взгляда раскомментировал, если нужно. Результаты пока прежние.
А ПК перезагрузили или демона?, правила файлика сразу не срабатывает
« Последнее редактирование: 23.07.2024 09:07:40 от kessys »
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Онлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 154
Все больше путаницы. Давайте забудем мою локальную сеть. Когда говорим про сервер, будем иметь ввиду некие удаленные сервера, связь по интернету с которым я лишился с переходом в одном из компов на новую систему kit-p11, а именно: работу команд ssh, scp и только через ник+пароль. Не будут пока меня волновать настройки на серверах, поскольку это чужие системы, в которых выполнять административные функции я не могу.
Верните в конфиге ssh отключенные устаревшие алгоритмы. Какие именно - не скажу, просто знаю, что в новом openssh что-то отключили. Подробности в документации на сам openssh про параметры PubkeyAcceptedKeyTypes, KexAlgorithms и т.п. в ~/.ssh/config. Исключительно в качестве примера, не факт, что надо именно это:

Host *
    KexAlgorithms +diffie-hellman-group1-sha1

Речь именно про конфиг клиента, а не сервера, раз Вы на какой-то сервер с недоступным конфигом залезть хотите.
« Последнее редактирование: 23.07.2024 11:02:39 от asy »