Автор Тема: Openssh спрашивает разрешения (Прочитано 5528 раз)

ruslandh · « **Ответ #45 :** 17.12.2015 10:17:44 »

Цитата: berkut_174 от 17.12.2015 10:15:24

The agent has no identities.

Ну, запустите

Код: [Выделить]

shh-add
без параметров, что-бы он ошибку не выдавал.

berkut_174 · « **Ответ #46 :** 17.12.2015 10:38:31 »

Хм...
Ну вот так же всё нормально:

Код: [Выделить]

$ cat .xprofile 
#!/bin/sh

SSH_ADD=/usr/bin/ssh-add

if [ -x "$SSH_ADD" -a -S "${SSH_AUTH_SOCK-}" ] &&
   [ -r "$HOME/.ssh/id_dsa" -o -r "$HOME/.ssh/id_rsa" ] &&
   [ $("$SSH_ADD" -L 2>/dev/null |grep -c ^ssh-) -eq 0 ]; then
	"$SSH_ADD" -c
else
    "$SSH_ADD"
fi

unset SSH_ADD

Код: [Выделить]

$ sh -x .xprofile 
+ SSH_ADD=/usr/bin/ssh-add
+ '[' -x /usr/bin/ssh-add -a -S /home/admin/.ssh/agent ']'
+ '[' -r /home/admin/.ssh/id_dsa -o -r /home/admin/.ssh/id_rsa ']'
++ /usr/bin/ssh-add -L
++ grep -c '^ssh-'
+ '[' 1 -eq 0 ']'
+ /usr/bin/ssh-add
Identity added: /home/admin/.ssh/id_dsa (/home/admin/.ssh/id_dsa)
+ unset SSH_ADD

Значит само условие неправильное/неверное...

ruslandh · « **Ответ #47 :** 17.12.2015 11:09:37 »

Не ssh-add надо без скрипта один раз из командной строки от пользователя выполнить, что-бы скрипт дальше правильно работал.
Введя все запрашиваемые подписи ключей

berkut_174 · « **Ответ #48 :** 17.12.2015 15:21:18 »

Цитата: ruslandh от 17.12.2015 11:09:37

Не ssh-add надо без скрипта один раз из командной строки от пользователя выполнить, что-бы скрипт дальше правильно работал.
Введя все запрашиваемые подписи ключей

Выходит так, что это ошибка ? Правда на другой машине рядом всё норм. Прям не знаю с чем это связано...

О, а вот на той машине, на которой нет проблем (см. первое условие):

Код: [Выделить]

$ sh -x .xprofile 
+ SSH_ADD=/usr/bin/ssh-add
+ '[' -x /usr/bin/ssh-add -a -S /run/user/500/keyring-rynq8u/ssh ']'
+ '[' -r /home/admin/.ssh/id_dsa -o -r /home/admin/.ssh/id_rsa ']'
++ /usr/bin/ssh-add -L
++ grep -c '^ssh-'
+ '[' 1 -eq 0 ']'
+ unset SSH_ADD

Путь до сокета другой, может в этом проблема ?

ruslandh · « **Ответ #49 :** 17.12.2015 22:51:01 »

Цитата: berkut_174 от 17.12.2015 15:21:18

Выходит так, что это ошибка ?

ssh-add вам говорит - агент ssh "не надёжный" - не знает какой ключ верный, какой нет.

berkut_174 · « **Ответ #50 :** 25.11.2016 09:50:30 »

Ну вот снова с этой бедой столкнулся...
Есть у меня LTSP-сервер на p7, на нём используется Ruleuser. Всё прекрасно работало, пока я не начал мудрить с новым чрутом (нужно было для одного тонкого клиента ядро поновее) и в систему пришлось установить новый openssh, которые работает только с ключами ed25519. Но у меня-то всё было настроено на dsa. Пришлось создать новый ключ, раскидать его по всем профилям (добавил в конец authorized_keys) и изменить используемый ключ в Ruleuser. Ключ dsa у пользователя я не стал удалять и во всех профилях в authorized_keys его тоже оставил первой строкой. Короче перестала у меня Ruleuser работать, сообщая при подключении:

Код: [Выделить]

Agent admitted failure to sign using the key.Пришлось править файл .xprofile, оставив там только $SSH_ADD, безо всяких проверок.

Так почему же сразу не работает или я неправильно что-то делал ?

ruslandh · « **Ответ #51 :** 25.11.2016 10:00:06 »

Проще было на одном клиенте прописать:

Код: [Выделить]

PubkeyAcceptedKeyTypes +ssh-dss

Всё-таки поддержка dsa отключена только по-умолчанию, а не выкинута из кода.

ruslandh · « **Ответ #52 :** 25.11.2016 10:01:53 »

https://sys-adm.in/os/nix/453-agent-admitted-failure-to-sign-using-the-key.html
Права на файлы правильные?

berkut_174 · « **Ответ #53 :** 25.11.2016 10:25:31 »

Цитата: ruslandh от 25.11.2016 10:01:53

Права на файлы правильные?

Права верные, до обновления openssh всё успешно работало.

berkut_174 · « **Ответ #54 :** 25.11.2016 10:26:49 »

Цитата: ruslandh от 25.11.2016 10:00:06

Проще было на одном клиенте прописать

В моём случае на одном, у меня LTSP-сервер, ну и в чруте ещё.

berkut_174 · « **Ответ #55 :** 25.11.2016 10:27:46 »

Так почему сразу не работало после обновления openssh, когда я даже ключ новый создал и разложил по местам ? Вот в чём мой вопрос... может это бага какая-то.

ruslandh · « **Ответ #56 :** 25.11.2016 10:40:46 »

Цитата: berkut_174 от 25.11.2016 10:27:46

Так почему сразу не работало после обновления openssh, когда я даже ключ новый создал и разложил по местам ? Вот в чём мой вопрос... может это бага какая-то.

не знаю - возможно не так что-то сделали.

berkut_174 · « **Ответ #57 :** 25.11.2016 11:58:00 »

Цитата: ruslandh от 25.11.2016 10:40:46

не знаю - возможно не так что-то сделали.

Момент, вспомнил. Я на одном из клиентов заходил под пользователем с правами wheel и в консоли переходил к правам root (su -). Потом переходил на пользователя, у которого есть закрытая часть ключей (sda и ed25519) - "su - username". Пробовал выполнять:

Код: [Выделить]

ssh root@chroot_addressИ вход проходил без запроса пароля! Но при входе в иксы под этим пользователем и запуске Ruleuser получал вот такую ошибку в логе - Agent admitted failure to sign using the key.
Так что маловероятно, что я что-то делал неправильно, т.к. вход по ключу работал. Всё дело в файле .xprofile. При входе с иксами он прочитывается и работает некорректно и не у меня одного, выше тоже были жалобы по этому поводу.

Форум сообщества
Альт Линукс