înregistrare Logare
Puncte:2
MMM avatar Server

autentificare ssh bazată pe gazdă pe Fedora 35

drapel il
MMM

Încerc să ocolesc parola și să folosesc autentificarea bazată pe gazdă.

Clientul este în shosts.equiv, cheia publică client în ssh_known_hosts și totuși forțează să-mi ceară parola

Are legătură cu SELInux și PAM?

openssh-8.7p1-3.fc35 și openssh-server-8.7p1-3.fc35

Server

-rw-r--r--. 1 rădăcină rădăcină /etc/ssh/ssh_known_hosts    
H,H.lan,H.lan.,192.168.1.86 ssh-rsa <Hpublickey1>
H,H.lan,H.lan.,192.168.1.86 ecdsa-sha2-nistp256 <Hpublickey2>
H,H.lan,H.lan.,192.168.1.86 ssh-ed25519 <Hpublickey3>

și

-rw-r-----. 1 rădăcină rădăcină /etc/ssh/shosts.equiv
H
H.lan
H.lan.
192.168.1.86

și

sshd -T | grep ^gazdă
autentificare bazată pe gazdă da
bazat pe gazdă folosește numele pachetului doar da
hostbasedacceptedalgorithms [email protected],[email protected],[email protected],ecdsa-sha2-certp-sha21-n @openssh.com,[email protected],[email protected],[email protected],rsa [email protected],[email protected],ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh [email protected],[email protected],rsa-sha2-512,rsa-sha2-256,ssh-rsa
hostkeyalgorithms ecdsa-sha2-nistp256,[email protected],[email protected],sk-ecdsa-sha2-nistp256-cert-v01, ecdsa-v01 -sha2-nistp384,[email protected],ecdsa-sha2-nistp521,[email protected],ssh-ed25519,ssh-ed255v1 @openssh.com,[email protected],[email protected],rsa-sha2-256,[email protected],rsa -sha2-512,[email protected]
cheie gazdă /etc/ssh/ssh_host_rsa_key
cheie gazdă /etc/ssh/ssh_host_ecdsa_key
cheie gazdă /etc/ssh/ssh_host_ed25519_key
Folosește PAM da

Client: hostname = H

o încercare de conectare forțează solicitarea parolei

server ssh
parola utilizator@server:

cu depanare

ssh -o PreferredAuthentications=hostbased -vvv -E /tmp/s.log server

Iată conținutul s.log

cat /tmp/s.log 
OpenSSH_8.7p1, OpenSSL 1.1.1l FIPS 24 august 2021
debug1: Citirea datelor de configurare /home/user/.ssh/config
debug1: Citirea datelor de configurare /etc/ssh/ssh_config
debug3: /etc/ssh/ssh_config linia 55: Include fișierul /etc/ssh/ssh_config.d/50-redhat.conf adâncime 0
debug1: citirea datelor de configurare /etc/ssh/ssh_config.d/50-redhat.conf
debug2: verificarea potrivirii pentru serverul gazdă „final all” inițial server
debug3: /etc/ssh/ssh_config.d/50-redhat.conf linia 3: nu se potrivește „final”
debug2: potrivirea nu a fost găsită
debug3: /etc/ssh/ssh_config.d/50-redhat.conf linia 5: Include fișierul /etc/crypto-policies/back-ends/openssh.config adâncimea 1 (numai analiza)
debug1: citirea datelor de configurare /etc/crypto-policies/back-ends/openssh.config
debug3: nume gss kex ok: [gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-]
debug3: numele kex ok: [curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-exchange-hellmandiffie25hellmandiffie256 -group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512]
debug1: configurația solicită trecerea finală a meciului
debug1: re-analizarea configurației
debug1: Citirea datelor de configurare /home/user/.ssh/config
debug1: Citirea datelor de configurare /etc/ssh/ssh_config
debug3: /etc/ssh/ssh_config linia 55: Include fișierul /etc/ssh/ssh_config.d/50-redhat.conf adâncime 0
debug1: citirea datelor de configurare /etc/ssh/ssh_config.d/50-redhat.conf
debug2: verificarea potrivirii pentru serverul gazdă „final all” inițial server
debug3: /etc/ssh/ssh_config.d/50-redhat.conf linia 3: „final” potrivit
debug2: potrivire găsită
debug3: /etc/ssh/ssh_config.d/50-redhat.conf linia 5: Include fișierul /etc/crypto-policies/back-ends/openssh.config adâncimea 1
debug1: citirea datelor de configurare /etc/crypto-policies/back-ends/openssh.config
debug3: nume gss kex ok: [gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-]
debug3: numele kex ok: [curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-exchange-hellmandiffie25hellmandiffie256 -group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512]
debug3: UserKnownHostsFile extins „~/.ssh/known_hosts” -> „/home/user/.ssh/known_hosts”
debug3: UserKnownHostsFile extins „~/.ssh/known_hosts2” -> „/home/user/.ssh/known_hosts2”
debug2: rezolvarea portului "server" 22
debug3: ssh_connect_direct: intrare
debug1: se conectează la serverul [192.168.1.66] portul 22.
debug3: set_sock_tos: setați soclul 4 IP_TOS 0x48
debug1: Conexiune stabilită.
debug1: fișier de identitate /home/user/.ssh/id_rsa tip -1
debug1: fișier de identitate /home/user/.ssh/id_rsa-cert tip -1
debug1: fișier de identitate /home/user/.ssh/id_dsa tip -1
debug1: fișier de identitate /home/user/.ssh/id_dsa-cert tip -1
debug1: fișier de identitate /home/user/.ssh/id_ecdsa tip -1
debug1: fișier de identitate /home/user/.ssh/id_ecdsa-cert tip -1
debug1: fișier de identitate /home/user/.ssh/id_ecdsa_sk tip -1
debug1: fișier de identitate /home/user/.ssh/id_ecdsa_sk-cert tip -1
debug1: fișier de identitate /home/user/.ssh/id_ed25519 tip -1
debug1: fișier de identitate /home/user/.ssh/id_ed25519-cert tip -1
debug1: fișier de identitate /home/user/.ssh/id_ed25519_sk tip -1
debug1: fișier de identitate /home/user/.ssh/id_ed25519_sk-cert tip -1
debug1: fișier de identitate /home/user/.ssh/id_xmss tip -1
debug1: fișier de identitate /home/user/.ssh/id_xmss-cert tip -1
debug1: șir de versiune locală SSH-2.0-OpenSSH_8.7
debug1: versiunea 2.0 a protocolului la distanță, versiunea software la distanță OpenSSH_8.7
debug1: compat_banner: match: OpenSSH_8.7 pat OpenSSH* compat 0x04000000
debug2: fd 4 setarea O_NONBLOCK
debug1: Autentificare la server:22 ca „utilizator”
debug3: record_hostkey: tipul de cheie găsit ED25519 în fișierul /home/user/.ssh/known_hosts:4
debug3: record_hostkey: a găsit tipul de cheie RSA în fișierul /home/user/.ssh/known_hosts:5
debug3: record_hostkey: tipul de cheie găsit ECDSA în fișierul /home/user/.ssh/known_hosts:6
debug3: load_hostkeys_file: s-au încărcat 3 chei de pe server
debug1: load_hostkeys: fopen /home/user/.ssh/known_hosts2: Nu există un astfel de fișier sau director
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: Nu există un astfel de fișier sau director
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: Nu există un astfel de fișier sau director
debug3: order_hostkeyalgs: au tipul de cheie potrivit cu cele mai bune preferințe [email protected], folosind HostkeyAlgorithms literal
debug3: trimite pachet: tip 20
depanare1: SSH2_MSG_KEXINIT trimis
debug3: primire pachet: tip 20
debug1: SSH2_MSG_KEXINIT primit
debug2: propunere KEXINIT client local
debug2: algoritmi KEX: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-hellman4,-diffshaie25 -sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ext-info-c
debug2: algoritmi cheie gazdă: [email protected],[email protected],[email protected],ecdsa-sha2- [email protected],[email protected],[email protected],rsa-sha2-512-cert-v01@ openssh.com,[email protected],[email protected],ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2- nistp521,[email protected],[email protected],rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: cifruri ctos: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: cifre stoc: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: MAC-uri ctos: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: MAC-uri stoc: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: compresie ctos: none,[email protected],zlib
debug2: compresie stoc: none,[email protected],zlib
debug2: limbi ctos: 
debug2: limbi stoc: 
debug2: first_kex_follows 0 
debug2: rezervat 0 
debug2: propunere peer server KEXINIT
debug2: algoritmi KEX: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group-hellman4,-diffshaie25-hellman4 -sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
debug2: algoritmi cheie gazdă: rsa-sha2-512, rsa-sha2-256, ecdsa-sha2-nistp256, ssh-ed25519
debug2: cifruri ctos: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: cifre stoc: [email protected],[email protected],aes256-ctr,[email protected],aes128-ctr
debug2: MAC-uri ctos: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: MAC-uri stoc: [email protected],[email protected],[email protected],[email protected],hmac -sha2-256,hmac-sha1,[email protected],hmac-sha2-512
debug2: compresie ctos: none,[email protected]
debug2: compresie stoc: none,[email protected]
debug2: limbi ctos: 
debug2: limbi stoc: 
debug2: first_kex_follows 0 
debug2: rezervat 0 
debug1: kex: algoritm: curve25519-sha256
debug1: kex: algoritm cheie gazdă: ssh-ed25519
debug1: kex: server->cifrare client: [email protected] MAC: <implicit> compresie: niciuna
debug1: kex: client->server cipher: [email protected] MAC: <implicit> compresie: niciunul
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug3: trimite pachet: tip 30
debug1: aștept SSH2_MSG_KEX_ECDH_REPLY
debug3: primire pachet: tip 31
depanare1: SSH2_MSG_KEX_ECDH_REPLY primit
debug1: cheie gazdă server: ssh-ed25519 SHA256:Uy8VMmU9e9OnnoJWzLrojVNFaDk6LJiNR9asnFJy57g
debug3: record_hostkey: tipul de cheie găsit ED25519 în fișierul /home/user/.ssh/known_hosts:4
debug3: record_hostkey: a găsit tipul de cheie RSA în fișierul /home/user/.ssh/known_hosts:5
debug3: record_hostkey: tipul de cheie găsit ECDSA în fișierul /home/user/.ssh/known_hosts:6
debug3: load_hostkeys_file: s-au încărcat 3 chei de pe server
debug1: load_hostkeys: fopen /home/user/.ssh/known_hosts2: Nu există un astfel de fișier sau director
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: Nu există un astfel de fișier sau director
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: Nu există un astfel de fișier sau director
debug1: „serverul” gazdă este cunoscut și se potrivește cu cheia gazdă ED25519.
debug1: Cheia găsită în /home/user/.ssh/known_hosts:4
debug3: trimite pachet: tip 21
debug2: set_newkeys: modul 1
debug1: rekey-out după 4294967296 blocuri
debug1: SSH2_MSG_NEWKEYS trimis
debug1: aștept SSH2_MSG_NEWKEYS
debug3: primire pachet: tip 21
depanare1: SSH2_MSG_NEWKEYS primit
debug2: set_newkeys: modul 0
debug1: reintroduceți după 4294967296 blocuri
debug1: va încerca cheia: /home/user/.ssh/id_rsa 
debug1: va încerca cheia: /home/user/.ssh/id_dsa 
debug1: va încerca cheia: /home/user/.ssh/id_ecdsa 
debug1: va încerca cheia: /home/user/.ssh/id_ecdsa_sk 
debug1: va încerca cheia: /home/user/.ssh/id_ed25519 
debug1: va încerca cheia: /home/user/.ssh/id_ed25519_sk 
debug1: va încerca cheia: /home/user/.ssh/id_xmss 
debug2: pubkey_prepare: terminat
debug3: trimite pachet: tip 5
debug3: primire pachet: tip 7
depanare1: SSH2_MSG_EXT_INFO primit
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,[email protected],ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha256-nist ,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,[email protected],[email protected]>
debug3: primire pachet: tip 6
debug2: service_accept: ssh-userauth
depanare1: SSH2_MSG_SERVICE_ACCEPT primit
debug3: trimite pachet: tip 50
debug3: primire pachet: tip 51
debug1: autentificări care pot continua: cheie publică,gssapi-keyex,gssapi-with-mic,parolă,bazat pe gazdă
debug3: începe de la capăt, a trecut o listă diferită cheie publică,gssapi-keyex,gssapi-with-mic,parolă,bazat pe gazdă
debug3: preferat bazat pe gazdă
debug3: authmethod_lookup bazat pe gazdă
debug3: rămâne preferat: 
debug1: Nu mai sunt metode de autentificare de încercat.
utilizator@server: Permisiune refuzată (cheie publică,gssapi-keyex,gssapi-with-mic,parolă,bazat pe gazdă).
335
0 + 0
dave_thompson_085 avatar
drapel jp
dave_thompson_085
Codul client (`ssh`) implicit pentru hostbased este dezactivat; dacă nu este activat într-un fișier de configurare pe care nu ni l-ați afișat, încercați să adăugați `-o HostBasedAuthentication=yes` (sau `true`).
0
Răspunde
MMM avatar
drapel il
MMM
După ce am citit aici https://www.usenix.org/system/files/login/articles/09_singer.pdf și aici https://utcc.utoronto.ca/~cks/space/blog/sysadmin/OpenSSHUseDNSErrorAnnoyance aceasta este lista de acțiuni: 1. Partea client setează HostbasedAuthentication la true pentru gazdele țintă. Setați EnableSSHKeysign yes Apoi, pe partea serverului, setați UseDNS la yes și aveți gazdele client în global shosts.equiv și cheile lor în ssh_known_hosts
0
Răspunde
dave_thompson_085 avatar
drapel jp
dave_thompson_085
La verificarea sursei, sunt de acord că este nevoie de EnableSSHKeysign. UseDNS nu ar trebui să fie necesar, deoarece aveți nume de utilizare bazate pe gazdă doar pentru pachet -- dar nici nu ar trebui să rănească.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.