Pagina 1 di 1

ssh client: disabilitare pubkey

Inviato: mer gen 23, 2013 11:50
da ZeroUno
Si può evitare che ssh tenti di eseguire l'autenticazione via public key anche se il server lo permette?
Il server ha l'ssh1 disabilitato.

Dovrei anche disabilitare il protocollo ecdsa perchè il server ha ssh 3.8 che non lo supporta.

io metto in /etc/sshd/ssh_config
Host *
HostKeyAlgorithms ssh-dss
PreferredAuthentications password
PubkeyAuthentication no
IdentityFile ~/.ssh/fileinesistente
RSAAuthentication no

ssh -vvv mi da

Codice: Seleziona tutto

$ ssh xxx@192.168.37.66 -vvv
OpenSSH_6.1p1, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 20: Applying options for *
debug3: key names ok: [ssh-dss]
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.37.66 [192.168.37.66] port 22.
debug1: Connection established.
debug1: identity file /home/test/.ssh/fileinesistente type -1
debug1: identity file /home/test/.ssh/fileinesistente-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.8p1
debug1: match: OpenSSH_3.8p1 pat OpenSSH_3.*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 121/256
debug2: bits set: 515/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: DSA 3f:dc:0f:67:34:e3:91:2a:4b:7b:c0:39:4e:a7:6a:17
debug3: load_hostkeys: loading entries for host "192.168.37.66" from file "/home/test/.ssh/known_hosts"
debug3: load_hostkeys: found key type DSA in file /home/test/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys
debug1: Host '192.168.37.66' is known and matches the DSA host key.
debug1: Found key in /home/test/.ssh/known_hosts:1
debug2: bits set: 520/1024
debug1: ssh_dss_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/test/.ssh/fileinesistente ((nil))
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred password
debug1: No more authentication methods to try.
Permission denied (publickey).


nota che l'utente 'xxx' non esite.
Perchè non mi chiede la password?


Non sono sicuro se ho l'utenza sul server, ma se non mi ci fa provare non lo saprò mai.

Re: ssh client: disabilitare pubkey

Inviato: gio gen 24, 2013 1:53
da targzeta
Scusa, ma hai provato semplicemente ad eliminare le chiavi da ~/.ssh? Dal man sembrerebbe che basti:

Codice: Seleziona tutto

 PubkeyAuthentication no
non è che c'è qualche errore nel file di configurazione, no?

Inoltre mi domando, e se sul server è disabilitato l'accesso via password?

Emanuele

Re: ssh client: disabilitare pubkey

Inviato: gio gen 24, 2013 13:50
da ZeroUno
L'accesso via password non è disabilitato, ne sono sicuro.

io ho provato ad eliminare completamente la ~/.ssh

anche io pensavo che bastasse PubkeyAuthentication no, ma evidentemente non è così, visto che ssh ci prova comunque.


Quello che mi incuriosisce è che il problema me lo da anche provando ad accedere ad una utenza che probabilmente non esiste (xxx).
A detta della versione di ssh credo si tratti di una redhat 5.x
Su un altro server (probabilmente solaris) accedo tranquillamente con password. Quando copio la chiave non accedo più e mi butta fuori; l'unica soluzione è rieliminare la chiave dal server (ma lì non ho indagato).

Re: ssh client: disabilitare pubkey

Inviato: gio gen 24, 2013 21:53
da targzeta
Senti, a me funziona bene. Ho inserito:

Codice: Seleziona tutto

PubkeyAuthentication no
nel mio

Codice: Seleziona tutto

~/.ssh/config
per un host in particolare e ssh mi ha chiesto la pass.

Ci sarà qualche altro errore.
Emanuele

Re: ssh client: disabilitare pubkey

Inviato: ven gen 25, 2013 9:41
da ZeroUno
quale versione di ssh hai sul server?

Re: ssh client: disabilitare pubkey

Inviato: ven gen 25, 2013 19:37
da targzeta

Codice: Seleziona tutto

$>ssh -V
OpenSSH_4.3p2 Debian-2, OpenSSL 0.9.8g 19 Oct 2007


Emanuele

Re: ssh client: disabilitare pubkey

Inviato: ven gen 25, 2013 20:36
da targzeta
Anche con il server di Slacky ha funzionato:

Codice: Seleziona tutto

$> ssh -V
OpenSSH_5.9p1, OpenSSL 0.9.8x 10 May 2012


Emanuele

Re: ssh client: disabilitare pubkey

Inviato: ven gen 25, 2013 23:59
da ZeroUno
il mio server é plausibilmente redhat 5, con openssh 3.8
Quando slackware é passato da ssh 4 a ssh 5 ho dovuto disabilitare il protocollo ecdsa dal client perché, chiavi a parte, il server non lo conosce e lo rifiuta. Con openssh 6 (come client) si sta comportando meglio.