SSH-Zugriff via RSA fragt immer nach Passwort

Quote from sunshine

Habe hier sicherheitshalber PasswordAuthentication yes gelassen, nicht dass ich mich dann völlig sperre.

BTW: Unabhängig von dem was in der ssh_config (bzw. in der sshd_config) steht bzw. konfiguriert ist, kannst Du mit der Kommandozeile, ssh mit den erforderlichen/gewünschten Optionen (temporär) benutzen.

EDIT:

Quote

ssh(1) erhält Konfigurationsdaten aus den folgenden Quellen in der folgenden Reihenfolge:

1. Befehlszeilenoptionen
2. die Konfigurationsdatei des Benutzers (~/.ssh/config)
3. die systemweite Konfigurationsdatei (/etc/ssh/ssh_config)

Quelle: manpage

Quote from sunshine

Aber Deine Angaben helfen mir nicht so richtig bei meinem Problem.

Versuch mal (ohne sudo bzw. nicht als root) mit:

ssh -v -o PasswordAuthentication=no -i ~/.ssh/id_rsa username@domain

EDIT:

BTW: Ob Du via rsa erfolgreich auf deinem PI4 bist, erkennst Du an z. B. solchen Zeilen:

debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
Authenticated to <IP-Adresse> ([<IP-Adresse>]:22) using "publickey".

, wenn Du als Test, ssh mit der Option "-v" benutzt.

EDIT2:

BTW: Wenn es nicht funktioniert, dann mal schauen/überlegen ob Du für die _involvierten / beteiligten_ Dateien und Verzeichnisse, das chmod bzw. chown richtig benutzt hast oder noch richtig benutzen musst.

EDIT 3:

Wenn Du "password authentication" mit der sshd_config (d. h. auf dem Server) _verhindern_ willst und du sicher bist, dass Du dich nicht aussperrst, kannst in der sshd_config auch zusätzlich die Zeilen:

AuthenticationMethods publickey
PasswordAuthentication no

benutzen/eintragen.

BTW: Der default-Eintrag für das Verzeichnis ist:

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile	.ssh/authorized_keys .ssh/authorized_keys2

Quelle: manpage

Quote from sunshine

Ansonsten habe ich in der sshd_config auf dem Pi4 noch folgendes aktiviert:

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

Kann es sein, dass der Pfad nicht stimmt und hier AuthorizedKeysFile %h/.ssh/authorized_keys stehen müsste?

//Edit

ODER die Zeile ganz raus?

Quote from sunshine

Ich erkenne leider keinen Fehler daraus, lerne aber gerne weiter...

Die Rechte müssten eigentlich stimmen. Alle wesentlichen Dateien sind auf den jeweiligen User mit chmod 600 eingestellt (entsprechend Anleitungen im Netz).

Auf deinem Client-System, fehlt die Datei:

.ssh/known_hosts

(oder gleichwertig) mit den richtigen Rechten/Eigentümer und Eintragungen, oder?

EDIT:

Z. B.:

debug1: Found key in /home/<local-user>/.ssh/known_hosts:8

EDIT 2:

Hast Du evtl. die/den user verwechselt? ... auf dem Server und dem Client?
Es fehlt auch die Zeile mit:

debug1: Server accepts key: ....

in der Ausgabe von "ssh -v ...", oder?

Quote from sunshine

Diese Datei ist aber da...

Ja, siehe meine Korrektur oben (Beitrag #8) in EDIT: und siehe auch EDIT 2: (oben im Beitrag #8).

In der /etc/ssh/sshd_config steht am Ende die folgende Zeile

Include /etc/ssh/ssh_config.d/*.conf

in dem Verzeichnis gibt es eine Datei 010_pi.......
Den genauen Namen weiß ich jetzt nicht, weil ich die Datei gelöscht habe.
Diese enthält seit längerem die Einstellungen für die Key-Authentifizierung...
Daher sind die Einträge wie PubkeyAuthentication yes in der sshd_config wirkungslos, bzw. werden überschrieben.

Es gibt jetzt folgende Möglichkeiten (wahlweise)

1. Den Eintrag in der sshd_config auskommentieren
2. Die Datei 010_pi_..... löschen
3. Die Einstellungen in der Datei anpassen.

//EDIT

Quote

Funktion:

Die Datei ermöglicht es, die SSH-Konfiguration für den Benutzer "pi" individuell zu gestalten, ohne die globale SSH-Konfiguration zu ändern. Dies ist nützlich, wenn man spezielle Einstellungen für den Zugriff des Benutzers "pi" benötigt, z.B. wenn man einen anderen Port für den SSH-Zugriff verwenden möchte oder wenn man die IP-Adresse einschränken möchte, von der der Benutzer "pi" auf den Raspberry Pi zugreifen darf

Quote from Franjo G

In der /etc/ssh/sshd_config steht am Ende die folgende Zeile

Include /etc/ssh/ssh_config.d/*.conf

in dem Verzeichnis gibt es eine Datei 010_pi.......
...

//EDIT

Quote

Funktion:

Die Datei ermöglicht es, die SSH-Konfiguration für den Benutzer "pi" individuell zu gestalten, ohne die globale SSH-Konfiguration zu ändern. Dies ist nützlich, wenn man spezielle Einstellungen für den Zugriff des Benutzers "pi" benötigt, z.B. wenn man einen anderen Port für den SSH-Zugriff verwenden möchte oder wenn man die IP-Adresse einschränken möchte, von der der Benutzer "pi" auf den Raspberry Pi zugreifen darf

Display More

Bei meinem PI4 (bookworm) steht diese Zeile am Anfang und nicht am Ende:

:~ $ cat /etc/ssh/sshd_config

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

Die Datei "010_pi......." gibt es hier nicht bzw. das Verzeichnis ist leer.
Von wo (Quelle?) hast Du das Zitat in deinem EDIT?

EDIT:

@TE: Wie sind auf deinem PI (Server mit sshd), die Ausgaben von:

sudo sshd -t
ls -la /etc/ssh/sshd_config.d

?

Quote from rpi444

Von wo (Quelle?) hast Du das Zitat in deinem EDIT?

Das hatte ich im Netz gefunden.
Ich weiß aber nicht mehr wo.

Ich glaube mich aber zu erinnern, dass die Dateien nur erstellt werden, wenn der ssh-key direkt mit dem Imager erstellt und eingerichtet wird.

Ich hatte das Problem nämlich auch mal. Der Imager sperrt sofort ab Einrichtung den Passwort-login. Das wollte ich rückgängig machen, aber Änderungen in der sshd_config brachten nichts. Ich hatte mich damals dumm gesucht. Bis ich die Dateien gefunden hatte.

Quote from Franjo G

Das hatte ich im Netz gefunden.
Ich weiß aber nicht mehr wo.

OK, ... weil das ist nicht die default-Einstellung. Das Verzeichnis ist leer.

Ich habe den Imager nicht benutzt und mache es immer mit dd, ssh- und userconf-Dateien. Damit ist kein Unterschied, beim sshd mit bookworm auf aarch64 und auf x86_64.

Quote from rpi444

Damit ist kein Unterschied, beim sshd mit bookworm auf aarch64 und auf x86_64.

Ja, dann wird das mit dem imager so erstellt. Genauso wie die Einstellung in "visudo" bzgl sudo "nopasswd"
Die befindet sich in /etc/sudoers.d

ls -la /etc/sudoers.d
insgesamt 40
drwxr-xr-x   2 root root  4096  3. Mai 18:51 .
drwxr-xr-x 149 root root 12288 31. Mai 20:17 ..
-r--r-----   1 root root    36 29. Apr 2019  010_at-export
-r--r-----   1 root root    44 19. Jun 2024  010_dpkg-threads
-r--r-----   1 root root    31 25. Jul 2023  010_global-tty
-r--r-----   1 root root    32 26. Dez 01:38 010_pi-nopasswd
-r--r-----   1 root root   211 18. Mär 2022  010_proxy
-r--r-----   1 root root  1096 27. Jun 2023  README

Das Verzeichnis ist bei mir auch leer, habe aber im Imager keinen Key generieren lassen. Das nur als Info.

Quote from Franjo G

Genauso wie die Einstellung in "visudo" bzgl sudo "nopasswd"
Die befindet sich in /etc/sudoers.d

Dazu sei anzumerken, das man diese Datei prinzipiell mit visudo bearbeiten sollte. visudo checkt auf Fehler. Wer kein visudo verwendet und hat aus Versehen einen Fehler drin, legt sudo lahm. Da ist es hilfreich eine Konsole als root offen zu haben, weil mit sudo ... kommt er nicht mehr ran.

Wer den vi nicht bedienen kann, der sollte vorher seine Environment-Variable EDITOR auf seinem Editor anpassen.

Quote from Franjo G

Ja, dann wird das mit dem imager so erstellt.

Ist das dann so, wenn man den Imager benutzt und einen Key (für ssh) generieren lässt, dass dann via dieser "10-pi..."-Datei, die Authentifizierung per Passwort _deaktiviert_ wird und nur noch pubkey (... auch per Kommandozeile beim ssh-Client) benutzt werden kann?
D. h.:

AuthenticationMethods publickey
PubkeyAuthentication yes
PasswordAuthentication no

in der wirksamen sshd_config für den user pi?

Quote from Bergwichtel

das man diese Datei prinzipiell mit visudo bearbeiten sollte.

Die Datei /etc/sudoers.d/010_pi-nopasswd kann man nicht mit visudo bearbeiten.

Da befindet sich auch nur eine Zeile drin.

sudo cat /etc/sudoers.d/010_pi-nopasswd
franjoG ALL=(ALL) NOPASSWD: ALL

ich sehe hier keinen Zusammenhang zwischen /etc/sudoers.d/010_pi-nopasswd und einer conf-Datei im Verzeichnis "/etc/ssh/sshd_config.d".
Denn ich benutze auf meinen PIs weder sudo noch den user pi, ... könnte aber z. B. eine Datei "/etc/ssh/sshd_config.d/mein_user.conf", für die Konfiguration des sshd benutzen.