Автор Тема: Нет захода на внешний сервер через ssh  (Прочитано 4353 раз)

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 531
    • Email
Уже пробовал, ruslandh еще в « Ответ #3 : 18.07.2024 05:23:23 » про это указывал.
Если вы по той ссылке пробовали, то это не то и пробовали не там. Там о sshd_config. И делается это на удалённой машине. У openssh есть две независимые части — ssh клиент то чем подключаетесь вы к удалённой машине, и sshd сервер который обслуживает подключения к вашей машине. У них соответственно свои независимые настройки. sshd можно вообще удалить (сейчас правда прибито зависимостями), если не нужно чтобы к вам подключались, это никак не повлияет на возможность подключаться вам куда-то.
« Последнее редактирование: 23.07.2024 21:34:01 от stranger573 »

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 763
Старые полноценные ПК.
Вы даёте слишком мало информации по ходу темы.
Пишите более развёрнуто, чтобы другие люди могли сложить картинку у себя в голове.
Например так: - "Клиенты ssh c altlinux p10 и p11 развёрнуты на разных компьютерах на обычных ПК. Я подключаюсь по ssh к серверам в интернет из локальной подсети 192.168. за роутером, используя пароль".
Из-за непонимания, мы пришли к тому, что вы используете связку логин+пароль только на третьей странице.

Выкладываю два текстовых файла.
Приведите сюда вывод команды
cat /etc/passwd | grep 500
Выкладываю два текстовых файла.
В файле р11 есть строка "Offering public key: /home/user/.ssh/id_ed25519 ED25519 SHA256:BJygfSfY5cEOMwf0bWLnxqd3CQHULR1y6g8WHOzfy/8 agent"
Если вы подключаетесь по паролю - удалите, или переместите, файл ключа id_ed25519 по указанному пути. И давайте сюда вывод команды ssh -vvv user@server c p11, когда каталог  /home/user/.ssh пустой.
« Последнее редактирование: 23.07.2024 21:40:12 от Nicom »

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 531
    • Email
Вы даёте слишком мало информации по ходу темы.
Это, да. Краткость она может таланту и сестра, однако не значит что тоже талантлива.

В обмене с самого начала с какого-то бодуна не те алгоритмы выбираются, да впридачу и методы аутентификации разные — в p10 keyboard-interactive, в p11 password, хотя может как раз из-за алгоритмов.
« Последнее редактирование: 23.07.2024 22:15:28 от stranger573 »

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
Если вы по той ссылке пробовали, то это не то и пробовали не там.
...
Все правильно сделал, в /etc/openssh/ssh_config, на клиенте p11. Сейчас еще раз перепроверил.

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
Приведите сюда вывод команды
cat /etc/passwd | grep 500
[user@-host-p11 ~]$ cat /etc/passwd | grep 500
user:x:500:500:User:/home/user:/bin/bash

Второе - во вложении.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 159
Уже пробовал, ruslandh еще в « Ответ #3 : 18.07.2024 05:23:23 » про это указывал. Сейчас еще раз проверил, с непременным рестартом  sshd,
локальный демон sshd на работу клиента (команды) ssh не влияет, рестарт не нужен, он просто не про то приложение в данном контексте.
В фале моего компа ~/.ssh/config ничего пока нет, пустой.
Ну вот надо его создать и дописать нужное с плюсиками (без плюсика не добавит, а заменит существующее). Нужное угадать/вычитать в документации, один пример я написал, может даже его достаточно будет.
« Последнее редактирование: 24.07.2024 00:03:34 от asy »

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 531
    • Email
Ну вот надо его создать и дописать нужное с плюсиками (без плюсика не добавит, а заменит существующее). Нужное угадать/вычитать в документации, один пример я написал, может даже его достаточно будет.
Так а зачем? После удаления лишних ключей алгоритм используется такой же как и в работающем p10 (ssh-ed25519). Теперь нет только перехода с publickey на password (или keyboard-interactive). Версии ssh на клиенте и сервере одинаковые 9.6, зачем им устаревшие алгоритмы?
« Последнее редактирование: 24.07.2024 00:57:30 от stranger573 »

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 159
Версии ssh на клиенте и сервере одинаковые 9.6, зачем им устаревшие алгоритмы?
Если версия точно одна и та же, тогда не надо. Значит не то предположение. Но фраза "debug1: No more authentication methods to try" как бы намекает.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 531
    • Email
Если версия точно одна и та же, тогда не надо. Значит не то предположение. Но фраза "debug1: No more authentication methods to try" как бы намекает.
   То, что они абсолютно идентичны нельзя сказать, даже одну и ту же версию можно собрать по разному. Какая на сервере OS неизвестно (что там с SSL тоже). Но номера версий OpenSSH одинаковы:
debug1: Local version string SSH-2.0-OpenSSH_9.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_9.6
debug1: compat_banner: match: OpenSSH_9.6 pat OpenSSH* compat 0x04000000
Тут есть ещё кое-что — на второй странице есть отладка где p11 соединяется с p10 именно по паролю. На третьей странице говорит, что p11 c p11 тоже нормально соединяется.
   Пожалуй, сейчас есть резон ничего больше не трогая попробовать ещё раз соединиться после перезагрузки. Хотя бы для того, чтобы посмотреть будет ли найден и прочитан ключ полученный с сервера.

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
   Пожалуй, сейчас есть резон ничего больше не трогая попробовать ещё раз соединиться после перезагрузки. Хотя бы для того, чтобы посмотреть будет ли найден и прочитан ключ полученный с сервера.
См. вложение.

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 099
  • ITS
$  ls -al .ssh
итого 36
Цитировать
drwx------  2 user user 4096 июл 15 08:10 .
drwx-----x 46 user user 4096 июл 23 09:53 ..
srw-------  1 user user    0 июл 15 08:10 agent
-rw-------  1 user user  475 фев 25  2023 authorized_keys
-rw-------  1 user user   86 июл 26  2021 config
-rw-------  1 user user 1381 апр  5 16:45 id_dsa
-rw-r--r--  1 user user  606 апр  5 16:45 id_dsa.pub
-rw-------  1 user user 1823 фев 27  2023 id_rsa
-rw-r--r--  1 user user  398 фев 27  2023 id_rsa.pub

-rw-r--r--  1 user user 1179 июл 23 09:14 known_hosts

# dirtree -L 2 /etc/openssh/
/etc/openssh/
├── authorized_keys
├── authorized_keys2
├── moduli
├── ssh_config
├── sshd_config
├── ssh_host_dsa_key
├── ssh_host_dsa_key.pub
├── ssh_host_ecdsa_key
├── ssh_host_ecdsa_key.pub
├── ssh_host_ed25519_key
├── ssh_host_ed25519_key.pub
├── ssh_host_rsa_key
└── ssh_host_rsa_key.pub

# cat /etc/openssh/sshd_config | grep -v ^# | grep -v ^$
PermitRootLogin yes # without-password
AllowTcpForwarding yes
X11Forwarding yes
X11DisplayOffset 10
Subsystem sftp /usr/lib/openssh/sftp-server
AcceptEnv LANG LANGUAGE LC_ADDRESS LC_ALL LC_COLLATE LC_CTYPE
AcceptEnv LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES LC_MONETARY
AcceptEnv LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME


Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 531
    • Email
$  ls -al .ssh
...
AcceptEnv LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME
Это вообще что и к чему? Оно из ssh-9.6? Написано же к настройкам сервера доступа нет и вход по ключам не нужен.
« Последнее редактирование: 24.07.2024 16:15:25 от stranger573 »

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 531
    • Email
Второе - во вложении.
Так, на данный момент видно, что в удачных случаях для кекса устанавливается алгоритм curve25519-sha256, в неудачных — sntrup761x25519-sha512@openssh.com (поскольку в p11 и на сервере они первые в списках). Вполне возможно, что с sntrup пароль не работает, и возможно ключи тоже. Желательно ещё отладку при вашем соединении с p11 на p11 для проверки.

Если дело в алгоритме, потом можно попробовать соединиться так:
$ ssh user2@server.name -o KexAlgorithms=curve25519-sha256

С этим sntrup вообще косяки замечены: https://github.com/apache/mina-sshd/issues/525
« Последнее редактирование: 24.07.2024 16:56:13 от stranger573 »

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 099
  • ITS
Написано же к настройкам сервера доступа нет и вход по ключам не нужен.
Цитировать
Если проблемы сохраняются, возможно, вам потребуется обратиться к администратору сервера для дальнейшей помощи.
))

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
 Желательно ещё отладку при вашем соединении с p11 на p11 для проверки.
См. вложение.
Цитировать
Если дело в алгоритме, потом можно попробовать соединиться так:
$ ssh user2@server.name -o KexAlgorithms=curve25519-sha256
[user@host-p11 26.07]$ ssh user2@server.name -o KexAlgorithms=curve25519-sha256
ssh: user2@server.name: Permission denied (publickey,keyboard-interactive).
[user@host-p11 26.07]$