ssh client: disabilitare pubkey

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

ssh client: disabilitare pubkey

Messaggio da ZeroUno »

Si può evitare che ssh tenti di eseguire l'autenticazione via public key anche se il server lo permette?
Il server ha l'ssh1 disabilitato.

Dovrei anche disabilitare il protocollo ecdsa perchè il server ha ssh 3.8 che non lo supporta.

io metto in /etc/sshd/ssh_config
Host *
HostKeyAlgorithms ssh-dss
PreferredAuthentications password
PubkeyAuthentication no
IdentityFile ~/.ssh/fileinesistente
RSAAuthentication no

ssh -vvv mi da

Codice: Seleziona tutto

$ ssh xxx@192.168.37.66 -vvv
OpenSSH_6.1p1, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 20: Applying options for *
debug3: key names ok: [ssh-dss]
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.37.66 [192.168.37.66] port 22.
debug1: Connection established.
debug1: identity file /home/test/.ssh/fileinesistente type -1
debug1: identity file /home/test/.ssh/fileinesistente-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.8p1
debug1: match: OpenSSH_3.8p1 pat OpenSSH_3.*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_messaggio_KEXINIT sent
debug1: SSH2_messaggio_KEXINIT received
debug2: kex_parse_kexinit: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_messaggio_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_messaggio_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 121/256
debug2: bits set: 515/1024
debug1: SSH2_messaggio_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_messaggio_KEX_DH_GEX_REPLY
debug1: Server host key: DSA 3f:dc:0f:67:34:e3:91:2a:4b:7b:c0:39:4e:a7:6a:17
debug3: load_hostkeys: loading entries for host "192.168.37.66" from file "/home/test/.ssh/known_hosts"
debug3: load_hostkeys: found key type DSA in file /home/test/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys
debug1: Host '192.168.37.66' is known and matches the DSA host key.
debug1: Found key in /home/test/.ssh/known_hosts:1
debug2: bits set: 520/1024
debug1: ssh_dss_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_messaggio_NEWKEYS sent
debug1: expecting SSH2_messaggio_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_messaggio_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_messaggio_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_messaggio_SERVICE_ACCEPT received
debug2: key: /home/test/.ssh/fileinesistente ((nil))
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred password
debug1: No more authentication methods to try.
Permission denied (publickey).
nota che l'utente 'xxx' non esite.
Perchè non mi chiede la password?


Non sono sicuro se ho l'utenza sul server, ma se non mi ci fa provare non lo saprò mai.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: ssh client: disabilitare pubkey

Messaggio da targzeta »

Scusa, ma hai provato semplicemente ad eliminare le chiavi da ~/.ssh? Dal man sembrerebbe che basti:

Codice: Seleziona tutto

 PubkeyAuthentication no
non è che c'è qualche errore nel file di configurazione, no?

Inoltre mi domando, e se sul server è disabilitato l'accesso via password?

Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: ssh client: disabilitare pubkey

Messaggio da ZeroUno »

L'accesso via password non è disabilitato, ne sono sicuro.

io ho provato ad eliminare completamente la ~/.ssh

anche io pensavo che bastasse PubkeyAuthentication no, ma evidentemente non è così, visto che ssh ci prova comunque.


Quello che mi incuriosisce è che il problema me lo da anche provando ad accedere ad una utenza che probabilmente non esiste (xxx).
A detta della versione di ssh credo si tratti di una redhat 5.x
Su un altro server (probabilmente solaris) accedo tranquillamente con password. Quando copio la chiave non accedo più e mi butta fuori; l'unica soluzione è rieliminare la chiave dal server (ma lì non ho indagato).
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: ssh client: disabilitare pubkey

Messaggio da targzeta »

Senti, a me funziona bene. Ho inserito:

Codice: Seleziona tutto

PubkeyAuthentication no
nel mio

Codice: Seleziona tutto

~/.ssh/config
per un host in particolare e ssh mi ha chiesto la pass.

Ci sarà qualche altro errore.
Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: ssh client: disabilitare pubkey

Messaggio da ZeroUno »

quale versione di ssh hai sul server?
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: ssh client: disabilitare pubkey

Messaggio da targzeta »

Codice: Seleziona tutto

$>ssh -V
OpenSSH_4.3p2 Debian-2, OpenSSL 0.9.8g 19 Oct 2007
Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama

Avatar utente
targzeta
Iper Master
Iper Master
Messaggi: 6629
Iscritto il: gio 3 nov 2005, 14:05
Nome Cognome: Emanuele Tomasi
Slackware: 64-current
Kernel: latest stable
Desktop: IceWM
Località: Carpignano Sal. (LE) <-> Pisa

Re: ssh client: disabilitare pubkey

Messaggio da targzeta »

Anche con il server di Slacky ha funzionato:

Codice: Seleziona tutto

$> ssh -V
OpenSSH_5.9p1, OpenSSL 0.9.8x 10 May 2012
Emanuele
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5441
Iscritto il: ven 2 giu 2006, 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: ssh client: disabilitare pubkey

Messaggio da ZeroUno »

il mio server é plausibilmente redhat 5, con openssh 3.8
Quando slackware é passato da ssh 4 a ssh 5 ho dovuto disabilitare il protocollo ecdsa dal client perché, chiavi a parte, il server non lo conosce e lo rifiuta. Con openssh 6 (come client) si sta comportando meglio.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Rispondi