ssh Authentifizierung über Public-Keys mal schon mal nicht

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo liebe Comm,

    mein neuer Raspi3B (Raspbian Stretch Lite, Linux pi247 1 4.9.41-v7+ #1023 SMP Tue Aug 8 16:00:15 BST 2017 armv7l GNU/Linux) hat ein merkwürdiges Verhalten was die ssh-Authentifizierung betrifft.

    ich kann mich mit Public-Keys von einem Desktop-Rechner (Ubuntu 16.4) ohne Passwort einloggen. Vom Laptop (Linux-Mint 18.2 KDE) aus werden Public-Keys nicht verwendet. D.h. der Login funktioniert am Laptop nur, wenn ich das Passwort für pi@raspberry-IP eingebe.

    Beide Clients verwenden die selbe Openssh-client-Version (1:7.2p2-4ubuntu2.2). Beim Überspielen der Keys kommt keine Fehlermeldung und am Pi sind beide Geräte in der

    .ssh/authorized_keys registiert.

    Code
    # /etc/ssh/sshd_config am Raspi
    PubkeyAuthentication yes
    PasswordAuthentication yes
    ChallengeResponseAuthentication no
    UsePAM no
    X11Forwarding yes
    PrintMotd no
    AcceptEnv LANG LC_*
    Subsystem       sftp    /usr/lib/openssh/sftp-server

    Woran kann's liegen?

    Danke!

  • ssh Authentifizierung über Public-Keys mal schon mal nicht? Schau mal ob du hier fündig wirst!

  • Hab' die Zeile in der authorized_keys schon gelöscht und es mehrfach mit unterschiedlichen Keys versucht. Die wurden alle mit dem richtigen client eingetragen, aber die Authentifizierung funktionierte nicht. Wenn ich den Schlüssel mit "ssh -i ..." angebe wird das Schlüsselpasswort gefragt, dann erfolgt ein reibungsloser Login.

    Die Deaktivierung der PasswortAuth. ergibt: "Permission denied (publickey)", die Angabe des Pfads ("ssh -i ...") erlaubt ein Einloggen nach der Schlüsselpassphrase.

    hmm...???

  • Hast du in ~/.ssh/config einen IdentityFile Eintrag für diesen Host, der auf einen falschen Key zeigt?

    Guck dir ansonsten mal das Log an, wenn du per ssh -vvv user@host verbindest.

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Danke für den Hinweis auf die ~/.ssh/config - obwohl ich die gar nicht brauchte ;)

    Also: Der Schlüssel wird gefunden, wenn es eine ~/.ssh/config mit folgendem Inhalt gibt:

    Code
    Host 192.168.100.101
        IdentityFile ~/.ssh/RaspiTest
        User pi
        IdentitiesOnly yes

    Nun wird aber die Passphrase für den Schlüssel immer noch abgefragt. Daher habe ich den Schlüssel einmalig explizit an den ssh-agent übergeben:

    Code
    $ ssh-add ~/.ssh/RaspiTest

    Somit weiß der ssh-agent dass es den Schlüssel gibt, und er entsperrt ihn beim Einloggen am RasPi, ohne dass die Schlüsselpassphrase noch mal abgefragt werden muss.

    Eine ~/.ssh/config ist dann nicht mehr notwendig!

    Warum der Schlüssel bei LinuxMint nicht beim ssh-agent geadded wird ??? - bei Ubuntu 16.04 passiert's jedenfalls.

    Vielen Dank an die Helfer!

  • Nun wird aber die Passphrase für den Schlüssel immer noch abgefragt.

    Ja, aber jetzt wird der Schlüssel richtigerweise, immer abgefragt (weil Du ja eine Passphrase konfiguriert hast) und nicht "mal schon mal nicht" (... wie lt. dem Titel deines Threads).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    • Offizieller Beitrag

    Was soll dieser Threadtitel? Da ist nicht mal ein richtiger Satz. Bitte passen den Threadtitel so an, damit er dein Problem passend beschreibt.

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!