Автор Тема: Нет захода на внешний сервер через ssh  (Прочитано 4621 раз)

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
[user@host-p11 26.07]$ ssh user2@server.name -o KexAlgorithms=curve25519-sha256
ssh: user2@server.name: Permission denied (publickey,keyboard-interactive).

А так:
$ ssh -o "KexAlgorithms curve25519-sha256" user2@server.name
И отладку. Оно меняет алгоритм?

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
И отладку. Оно меняет алгоритм?
Я не увидел, по-моему нет.
(вложение)

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
Оно меняет алгоритм?
Я не увидел, по-моему нет.
Меняет. Только это не помогает.
debug3: kex_choose_conf: will use strict KEX ordering
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519

Попробуйте ещё так (тоже с отладкой):
$ ssh -vvv -o "PubkeyAuthentication no" -o "KbdInteractiveAuthentication yes" -o "PasswordAuthentication yes" user2@server.name
Так будет пытаться только с паролем или клавиатурой, без ключей.
« Последнее редактирование: 25.07.2024 00:09:55 от stranger573 »

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
Попробуйте ещё так (тоже с отладкой):
$ ssh -vvv -o "PubkeyAuthentication no" -o "KbdInteractiveAuthentication yes" -o "PasswordAuthentication yes" user2@server.name
Так будет пытаться только с паролем или клавиатурой, без ключей.
Есть! Сработало! (См.вложение) Уже легче.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
Есть! Сработало!
Оно у вас в этом случае два раза пароль запрашивает?
Если так, то можно попробовать:
$ ssh -vvv -o "PubkeyAuthentication no" -o "KbdInteractiveAuthentication yes" -o "PasswordAuthentication no" user2@server.name

Полезно будет посмотреть и сравнить все дефолтные настройки ssh на p10 и p11. Имя пользователя замените на username, чтобы не светить. Покажите вывод команд на обеих системах:
$ ssh -G host


« Последнее редактирование: 25.07.2024 13:47:27 от stranger573 »

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
Оно у вас в этом случае два раза пароль запрашивает?
Если так, то можно попробовать:
$ ssh -vvv -o "PubkeyAuthentication no" -o "KbdInteractiveAuthentication yes" -o "PasswordAuthentication no" user2@server.name
Без разницы, всегда спрашивает один раз.
Записал переключения в .ssh/config, все работает.
Один сервер, правда не хочет подсоединять, и ошибка там другая:
Unable to negotiate with UNKNOWN port 65535: no matching host key type found. Their offer: ssh-rsa,ssh-dss
Если интересно, см. вложение с server4 (p11-serv-vvv-ooo-4.txt)
Цитировать
Полезно будет посмотреть и сравнить все дефолтные настройки ssh на p10 и p11. 
...
Покажите вывод команд на обеих системах:
$ ssh -G host
См.вложение.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 533
    • Email
Записал переключения в .ssh/config, все работает.
Вот и причина. Сервер настроен так, что разрешены только два метода авторизации — по ключам и интерактивная клавиатура, вход по паролю отключён. В клиенте p10 разрешены все три. В клиенте p11 интерактивную клавиатуру отключили и доступны только по ключам и паролю. В итоге с p11 на сервер доступен только один метод — по ключам.

Один сервер, правда не хочет подсоединять, и ошибка там другая:
Unable to negotiate with UNKNOWN port 65535: no matching host key type found. Their offer: ssh-rsa,ssh-dss
Тут как раз всё просто. На сервере антикварный ssh. В новых RSA и DSA отключено, как устаревшие и небезопасные. DSA вообще запланирован к выпиливанию. В отладке же пишутся доступные и для клиента и для сервера.
Попробуйте (dss не стоит, это вообще ископаемое):
$ ssh -o "HostKeyAlgorithms +ssh-rsa" user@nameserver
Если не заработает, тогда выпилено при сборке или в исходниках и единственное решение обновлять сервер (или использовать старый дистрибутив на клиенте).
« Последнее редактирование: 25.07.2024 17:29:28 от stranger573 »

Оффлайн kras

  • Давно тут
  • **
  • Сообщений: 103
...
$ ssh -o "HostKeyAlgorithms +ssh-rsa" user@nameserver
Если не заработает, тогда выпилено при сборке или в исходниках и единственное решение обновлять сервер.
Прошло сразу! Спасибо.