Автор Тема: Нет захода на внешний сервер через ssh  (Прочитано 4555 раз)

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
sshd_config :
# AllowGroups wheel users
...
Что прямо вот так, закомментированной строкой даны?
Если коротко:
wrk-p10 - да, live-kit-p11 - да.


Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
Если коротко:
wrk-p10 - да, live-kit-p11 - да.
Похоже тема будет анекдотом с ликбезом.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
Сейчас выставлено:

sshd_config :
AllowGroups wheel users
Не имеет никакого смысла — разрешение этим группам равносильно разрешению вообще всем. То есть пустой секции для AllowGroups.

Права на ключи проверялись?
Алгоритм ключей одинаков?
И как вообще публичный ключ попал не сервер? И в нужном ли месте на сервере находится?
« Последнее редактирование: 20.07.2024 15:47:29 от stranger573 »

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
Kit altlinux 11 с mate, не могу зайти на внешний сервер через ssh или скопировать по scp:
А из внутренней сети на него можно зайти? Или у вас нет доступа к его внутренней сети, или сети такой не существует?
Это я к тому, что проблема в парсинге адресов, или в работе publickey?

Можете провести эксперимент, поставить систему с доступом из интернет и из локальной сети, и проверить как ssh пускает пользователя с разных направлений?

Что говорит
ls -al ~/.ssh/authorized_keysдля пользователя user?

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
Это я к тому, что проблема в парсинге адресов, или
Это смотря как у него сконфигурено, они могут и вообще не проверятся.
На хост во внутренней сети его тоже не пускает, говорит.
« Последнее редактирование: 20.07.2024 22:09:23 от stranger573 »

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
Это смотря как у него сконфигурено, они могут и вообще не проверятся.
Могут, но багов никто не отменял.
На хост во внутренней сети его тоже не пускает, говорит.
По ключу не пускает, а по паролю - вполне. По первому посту я не уверен, что это один и тот-же компьютер.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
Ну, да. С паролем проверить — это первое, что сделать надо было. Ссылку давали. А может имя хоста или IP-адрес проверяются, а зайти пытается с другого. Ничего ж не рассказал как у него там.
« Последнее редактирование: 20.07.2024 22:32:54 от stranger573 »

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
А из внутренней сети на него можно зайти? Или у вас нет доступа к его внутренней сети, или сети такой не существует?
Есть три компьютера, роутер, интернет через провайдера. C внутренней сетью 192.168.X.X все во всех случаях нормально - ssh работает.
В p10 соединяюсь с внешними с серверами сразу после инсталляции и без проблем.
В новом kit-p11 заканчивается попытка соединения фразой:
ssh: user@server.name: Permission denied (publickey,keyboard-interactive).Думаю, что если у меня одного такие проблемы, то лучше дождаться официального релиза и все. Главное косяка не пропустить.
Цитировать
...
Что говорит
ls -al ~/.ssh/authorized_keysдля пользователя user?
ls -al ~/.ssh/authorized_keys
ls: невозможно получить доступ к '/home/user/.ssh/authorized_keys': Нет такого файла или каталога
Свеже-инсталлированная система, я не заводил.   
« Последнее редактирование: 21.07.2024 00:19:20 от kras »

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
В p10 соединяюсь с внешними с серверами сразу после инсталляции и без проблем.
Что значит с внешними?
С клиента из локальной подсети 192.168.X.X к серверу с публичным адресом в интернет?
Или у вас на роутере  настроен  проброс порта с адреса провайдера на сервер внутри подсети 192.168.X.X, и вы пытаетесь подключиться из интернет к своему серверу?

Главное косяка не пропустить.
Сервер, к которому вы нормально подключаетесь из р10, разрешает подключения по паролю?
На р10, временно переименуйте каталог ~/.ssh, например mv ~/.ssh ~/.ssh-normal и попробуйте подключиться к серверу с паролем.

Если разрешены подключения только по ключу, то скопируйте каталог ~/.ssh из р10 в р11, например, через scp. Не забудьте, что в р11 UID/GID пользователя 1000, а в р10 - 500, возможно, на р11 потребуется chown -R 1000:1000 ~/.ssh
Скачал https://nightly.altlinux.org/p11/release/alt-p11-mate-20240529-x86_64.iso и проверил в Live режиме в Virtualbox. Никаких параметров в файлах не менял.
Из подсети 192.168.Х.Х нормально подключался к серверу в интернет и по паролю и по ключу, причём ключ сгенерировал новый и залил на сервер командой ssh-copy-id -p порт user@server прямо из LiveCD.


Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
Что значит с внешними?
С клиента из локальной подсети 192.168.X.X к серверу с публичным адресом в интернет?
- Да.
Цитировать
Или у вас на роутере  настроен  проброс порта с адреса провайдера на сервер внутри подсети 192.168.X.X, и вы пытаетесь подключиться из интернет к своему серверу?
- Нет.
Цитировать
Сервер, к которому вы нормально подключаетесь из р10, разрешает подключения по паролю?
- Да.
Цитировать
На р10, временно переименуйте каталог ~/.ssh, например mv ~/.ssh ~/.ssh-normal и попробуйте подключиться к серверу с паролем.
Проверено, не проходит, так как ключи те же:
p10, from ~/.ssh/known_hosts :
server.name ssh-ed25519 AAAAC3NzaC1...fNaEW7yM4G
p11, from ~/.ssh/known_hosts :
server.name ssh-ed25519 AAAAC3NzaC1...fNaEW7yM4G
Цитировать
... Не забудьте, что в р11 UID/GID пользователя 1000 ...
У меня 500.
Цитировать
Скачал https://nightly.altlinux.org/p11/release/alt-p11-mate-20240529-x86_64.iso и проверил в Live режиме в Virtualbox. Никаких параметров в файлах не менял.
Из подсети 192.168.Х.Х нормально подключался к серверу в интернет и по паролю и по ключу, причём ключ сгенерировал новый и залил на сервер командой ssh-copy-id -p порт user@server прямо из LiveCD.
Благодарю за ценную для меня информацию! Прям бальзам ...
Адрес iso-шника тот же.
Пробовал повторить, у меня виртуалка на p10. Результат к моему сожалению другой, прежняя ошибка:
$ ssh user@server.name
ssh: user@server.name: Permission denied (publickey,keyboard-interactive).
Информация при соединении в локально сети может что-то прояснит в моей ситуации? В первом сообщении я упоминал об этом. Попытка соединиться по ключу agent ругается и просит зайти по password:
$ ssh user@host
ssh: sign_and_send_pubkey: signing failed for RSA "/home/user/.ssh/id_rsa" from agent: agent refused operation
usr@host's password: <passwd>
[user@host ~]$
Сгенерил, перенес правильно, а что-то не так.
Может разница в версиях ssh ?
p10 - 7.9p1; p11 -  9.6p1


 


« Последнее редактирование: 21.07.2024 15:35:21 от kras »

Оффлайн andrew_b

  • Завсегдатай
  • *
  • Сообщений: 547
Так вроде ж RSA с некоторых пор в OpenSSH (c 8.8, вроде) запретили.

А если с отладкой запускать?
ssh -vvv user@host

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
Так вроде ж RSA с некоторых пор в OpenSSH (c 8.8, вроде) запретили.

А если с отладкой запускать?
ssh -vvv user@host

=== local-net 192.168.X.X

[user@p11 ~]$ ssh user2@host2
ssh: sign_and_send_pubkey: signing failed for RSA "/home/user/.ssh/id_rsa" from agent: agent refused operation
user2@host2's password:

[user@p11 ~]$ ssh user2@host2 -vvv
OpenSSH_9.6p1, OpenSSL 3.1.5 30 Jan 2024
debug1: Reading configuration data /home/user/.ssh/config
debug1: Reading configuration data /etc/openssh/ssh_config
debug1: /etc/openssh/ssh_config line 24: Applying options for *
debug2: add_identity_file: ignoring duplicate key ~/.ssh/id_dsa
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/home/user/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/home/user/.ssh/known_hosts2'
debug1: Authenticator provider $SSH_SK_PROVIDER did not resolve; disabling
debug3: channel_clear_timeouts: clearing
debug1: Executing proxy command: exec /usr/bin/sss_ssh_knownhostsproxy -p 22 host2
debug1: identity file /home/user/.ssh/id_ed25519 type -1
debug1: identity file /home/user/.ssh/id_ed25519-cert type -1
debug1: identity file /home/user/.ssh/id_ed25519_sk type -1
debug1: identity file /home/user/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/user/.ssh/id_rsa type 0
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: identity file /home/user/.ssh/id_ecdsa type -1
debug1: identity file /home/user/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/user/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/user/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: identity file /home/user/.ssh/id_dsa-cert type -1
debug1: identity file /home/user/.ssh/id_xmss type -1
debug1: identity file /home/user/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_9.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.9
debug1: compat_banner: match: OpenSSH_7.9 pat OpenSSH* compat 0x04000000
debug2: fd 5 setting O_NONBLOCK
debug2: fd 4 setting O_NONBLOCK
debug1: Authenticating to host2:22 as 'user2'
debug1: load_hostkeys: fopen /home/user/.ssh/known_hosts2: No such file or directory
debug3: record_hostkey: found key type RSA in file /var/lib/sss/pubconf/known_hosts:5
debug3: record_hostkey: found key type DSA in file /var/lib/sss/pubconf/known_hosts:6
debug3: record_hostkey: found key type ECDSA in file /var/lib/sss/pubconf/known_hosts:7
debug3: record_hostkey: found key type ED25519 in file /var/lib/sss/pubconf/known_hosts:8
debug3: load_hostkeys_file: loaded 4 keys from host2
debug3: order_hostkeyalgs: have matching best-preference key type ssh-ed25519-cert-v01@openssh.com, using HostkeyAlgorithms verbatim
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-c,kex-strict-c-v00@openssh.com
debug2: host key algorithms: ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,sk-ssh-ed25519@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-256,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp256,sk-ecdsa-sha2-nistp256@openssh.com
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
debug2: MACs ctos: umac-128-etm@openssh.com,umac-64-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128@openssh.com,umac-64@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1
debug2: MACs stoc: umac-128-etm@openssh.com,umac-64-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128@openssh.com,umac-64@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,kex-strict-s-v00@openssh.com
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ssh-rsa,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
debug2: MACs ctos: umac-128-etm@openssh.com,umac-64-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128@openssh.com,umac-64@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1
debug2: MACs stoc: umac-128-etm@openssh.com,umac-64-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128@openssh.com,umac-64@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com
debug2: compression stoc: none,zlib@openssh.com
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug3: kex_choose_conf: will use strict KEX ordering
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug3: send packet: type 30
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug3: receive packet: type 31
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:fTYVV/OI6dlzsZCBQSTmRSkMFVV2lHWzbI5aV6bphZY
debug1: load_hostkeys: fopen /home/user/.ssh/known_hosts2: No such file or directory
debug3: record_hostkey: found key type RSA in file /var/lib/sss/pubconf/known_hosts:5
debug3: record_hostkey: found key type DSA in file /var/lib/sss/pubconf/known_hosts:6
debug3: record_hostkey: found key type ECDSA in file /var/lib/sss/pubconf/known_hosts:7
debug3: record_hostkey: found key type ED25519 in file /var/lib/sss/pubconf/known_hosts:8
debug3: load_hostkeys_file: loaded 4 keys from host2
debug1: Host 'host2' is known and matches the ED25519 host key.
debug1: Found key in /var/lib/sss/pubconf/known_hosts:8
debug3: check_host_key: host key found in GlobalKnownHostsFile; disabling UpdateHostkeys
debug3: send packet: type 21
debug1: ssh_packet_send2_wrapped: resetting send seqnr 3
debug2: ssh_set_newkeys: mode 1
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: ssh_packet_read_poll2: resetting read seqnr 3
debug1: SSH2_MSG_NEWKEYS received
debug2: ssh_set_newkeys: mode 0
debug1: rekey in after 134217728 blocks
debug3: send packet: type 5
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug3: kex_input_ext_info: extension server-sig-algs
debug1: kex_ext_info_client_parse: server-sig-algs=<ssh-ed25519,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521>
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-with-mic,password,keyboard-interactive
debug3: start over, passed a different list publickey,gssapi-with-mic,password,keyboard-interactive
debug3: preferred publickey,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug3: ssh_get_authentication_socket_path: path '/run/user/500/keyring/ssh'
debug1: get_agent_identities: bound agent to hostkey
debug1: get_agent_identities: agent returned 1 keys
debug1: Will attempt key: /home/user/.ssh/id_rsa RSA SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs agent
debug1: Will attempt key: /home/user/.ssh/id_ed25519
debug1: Will attempt key: /home/user/.ssh/id_ed25519_sk
debug1: Will attempt key: /home/user/.ssh/id_ecdsa
debug1: Will attempt key: /home/user/.ssh/id_ecdsa_sk
debug1: Will attempt key: /home/user/.ssh/id_dsa
debug1: Will attempt key: /home/user/.ssh/id_xmss
debug2: pubkey_prepare: done
debug1: Offering public key: /home/user/.ssh/id_rsa RSA SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs agent
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 60
debug1: Server accepts key: /home/user/.ssh/id_rsa RSA SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs agent
debug3: sign_and_send_pubkey: using publickey with RSA SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs
debug3: sign_and_send_pubkey: signing using rsa-sha2-512 SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs
ssh: sign_and_send_pubkey: signing failed for RSA "/home/user/.ssh/id_rsa" from agent: agent refused operation
debug1: Trying private key: /home/user/.ssh/id_ed25519
debug3: no such identity: /home/user/.ssh/id_ed25519: No such file or directory
debug1: Trying private key: /home/user/.ssh/id_ed25519_sk
debug3: no such identity: /home/user/.ssh/id_ed25519_sk: No such file or directory
debug1: Trying private key: /home/user/.ssh/id_ecdsa
debug3: no such identity: /home/user/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/user/.ssh/id_ecdsa_sk
debug3: no such identity: /home/user/.ssh/id_ecdsa_sk: No such file or directory
debug1: Trying private key: /home/user/.ssh/id_dsa
debug3: no such identity: /home/user/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /home/user/.ssh/id_xmss
debug3: no such identity: /home/user/.ssh/id_xmss: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred:
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
user2@host2's password:
===

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
Попытка соединиться по ключу agent ругается и просит зайти по password:
Я так и не понял, вам удалось из р11 подключиться к серверу по паролю, или нет?

Может разница в версиях ssh ?
Когда я проверял подключение, у меня в виртуальной машине с starterkit mate p11 была версия 9.6-р1, а на сервере starterkit lxde p9 и версия openssh 7.9-p1.
Сам Virtualbox у меня на starterkit mate p10.

Может ключи генерируются не той конструкции, у меня на р11 генерировалась пара ed25519?

Из вашего вывода:
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 60
debug1: Server accepts key: /home/user/.ssh/id_rsa RSA SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs agent
debug3: sign_and_send_pubkey: using publickey with RSA SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs
debug3: sign_and_send_pubkey: signing using rsa-sha2-512 SHA256:vR5nH2Ocg2NSOcDOKwtfMdDmIM3Vz0sF7OQ/x+FnHfs
ssh: sign_and_send_pubkey: signing failed for RSA "/home/user/.ssh/id_rsa" from agent: agent refused operation
у меня при подключении вторая снизу строчка выглядит так.
debug3: sign_and_send_pubkey: signing using rsa-ed25519 SHA256:всякаяерунда

То есть у вас "signing using rsa-sha2-512 SHA256:", у меня "signing using rsa-ed25519 SHA256:"

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
Я так и не понял, вам удалось из р11 подключиться к серверу по паролю, или нет?
- Нет.  К удаленному серверу по внешней сети не удается совсем.
На внутренней же сети подключение проходит по паролю, а  при попытке подсоединения по ключу - ругается и пропускает по паролю:   
Попытка соединиться по ключу agent ругается и просит зайти по password:
Цитировать
Может ключи генерируются не той конструкции, у меня на р11 генерировалась пара ed25519?
Я использую команду:
ssh-keygen -t rsa -b 2048В интернете встретилась.

Оффлайн Nicom

  • Завсегдатай
  • *
  • Сообщений: 774
Я использую команду:
ssh-keygen -t rsa -b 2048
В интернете встретилась.
Попробуйте без параметров, просто ssh-keygen.