Delphi-PRAXiS - Delphi plink puttygen openssh

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Netzwerke (https://www.delphipraxis.net/14-netzwerke/)

- - Delphi plink puttygen openssh (https://www.delphipraxis.net/95905-plink-puttygen-openssh.html)

plink puttygen openssh

Hallo Forum,

versuche mit plink einen Tunnel für meine Datenbankverbindung zu erstellen
authentifizierung mittels publik-key

komme aber nicht weiter

Server meldet stets:

Zitat:

C:\Dokumente und Einstellungen\Micha\Desktop>plink.exe -v mtB@blafasel.net -i c:\data\myKey.ppk -L 3304:localhost:3306
Looking up host "blafasel.net"
Connecting to 123.456.789.99 port 22
Server version: SSH-1.99-OpenSSH_3.9p1
We claim version: SSH-2.0-PuTTY_Release_0.60
Using SSH protocol version 2
Doing Diffie-Hellman group exchange
Doing Diffie-Hellman key exchange with hash SHA-1
Host key fingerprint is:
ssh-rsa 1024 56:f1:3f:4a:0a:db:67:c2:88:8d:5f:43:24:30:4e:b2
Initialised AES-256 SDCTR client->server encryption
Initialised HMAC-SHA1 client->server MAC algorithm
Initialised AES-256 SDCTR server->client encryption
Initialised HMAC-SHA1 server->client MAC algorithm
Reading private key file "c:\data\myKey.ppk"
Using username "mtB".
Offered public key
Server refused our key
Server refused public key

erzeugt habe ich den key mit
puttygen

und der Public-Key auf dem Server in ~mtB/.ssh/authorized_keys (und auch mal testweise authorized_keys2) geschrieben
will aber nicht :-(

wo ist mein Fehler?

Gruß Micha

Re: plink puttygen openssh

Der Server verwendet ssh1 und du hast einen ssh2 key

Re: plink puttygen openssh

Hallo mkinzler,

Danke für die schnelle Antwort. Hab's auch jetzt auf demServer geändert (/etc/ssh/sshd_config) leider muß aber noch was falsch sein. Ich bekomme jetzt zwar beim Anmeldeversuch

Zitat:

Server version: SSH-2.0-OpenSSH_3.9p1

der Rest ist aber dasselbe einschlieslich refused... :cry:

Gruß Micha

Re: plink puttygen openssh

authorized_keys (bzw. authorized_keys2) darf nur für den Besitzer schreibbar sein, der Rest darf nur lesen

Code:

chmod u=rw,g=r,o=r ~/.ssh/authorized_keys

Ach ja, welchen Teil des Schlüssels du in authorized_keys kopieren mußt, weißt du?

Re: plink puttygen openssh

Hallo Olli,

ja den Public-Key direkt aus dem Fenster von Puttygen Copy&Paste

hab's jetzt auch noch an einem anderen Server probiert. Geht leider nicht

hier ist meine sshd_config vieleicht liegt ja hier der Hund begraben

Zitat:

# $OpenBSD: sshd_config,v 1.72 2005/07/25 11:59:40 markus Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22
#Protocol 2,1
Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding no
#X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#ShowPatchLevel no

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server

Gruß Micha

Re: plink puttygen openssh

Hiho nochmal,

folgendes:
1. checke mal in man sshd, ob o.g. Rechte korrekt wären. OpenBSD könnte da noch strikter sein. Üblicherweise ist es 644 (u=rw,g=r,o=r)oder 640 (u=rw,g=r,o=).
2. wenn die Rechte korrekt gesetzt sind, kann es sein, daß es Zeilenumbrüche in der Datei auf dem Server gibt?

Die sshd_config sieht soweit okay aus, die Defaultwerte sind normalerweise auch okay.

Re: plink puttygen openssh

ich würde auch auf die dateirechte der key's tippen.

du hast den public key in die authkey's datei kopiert?
du hast das /var/log/messages mal geprüft beim anmelden auf dem server?
wenn die dateirechte nicht stimmen, steht das dann da.

Zitat:

erzeugt habe ich den key mit
puttygen

der key hat auch das richtige format?
die keys sind ascii und fangen mit "ssh-rsa " an.

Re: plink puttygen openssh

Haste den Key auch für OpenSSH Konvertiert.

Man muss nämlich die KEYS von Putty für OpenSSH umwandeln

Re: plink puttygen openssh

Hallo Forum

@frank in /var/log/messages wird nix besonderes geschrieben (Obwohl ich inzwischen in sshd_config den LogLevel auf DEBUG2 stehen hab'). Das verstehe ich auch nicht. Selbst wenn ich mich mit Putty einlogge kommt nur eine Zeile wie normal (

Zitat:

session opened for user...

) Äh, Ja ich habe

Zitat:

/etc/init.d/sshd restart

gemacht ;-)

ja die Datairechte habe ich wie Olli empfohlen hat gesetzt u=rw,g=r,o=r

in der man-Page steht hierzu übrigens nur eine Empfehlung aber nix konkretes

Zitat:

~/.ssh/authorized_keys
Lists the public keys (RSA or DSA) that can be used to log into the userâs
account. This file must be readable by root (which may on some machines
imply it being world-readable if the userâs home directory resides on an NFS
volume). It is recommended that it not be accessible by others. The format
of this file is described above.

nein speziell konvertiert hab ich den Key nicht das steht im Key-Fenster von Puttygen dabei sinngemäß for OpenSSH for pasting into authorized_keys file

kann man eigentlich nix falsch machen

Bin kurz dabei in die Tastatur zu beißen :-(

steht doch in der man-page drin man soll nicht auf LogLevel Debug gehen weil das violates users privacy. Aber bei mir passiert nix (ja auch rebootet hab ich) dachte sogar eine Zeit lang ich versuche mit plink auf einer anderen Machine einzuloggen denn es kommen überhaubt keine Meldungen in der /var/log/messages. Wenn ich mich mit Putty einlogge wenigstens ein session opened

Gruß Micha

Re: plink puttygen openssh

Der Key in der authorized_keys muss eine Zeile sein

Re: plink puttygen openssh

Hallo Frank

ja der ist in einer Zeile. inzwischen bin ich shon ein bischen weiter. Ich hab jetzt mein account (micha mal auf Public-Key umgerüstet - also ein authorized_key eingetragen. Und siehe Da es funktioniert!

Jetzt kommt's

ein andere account (Den den ich extra für solche Geschichten erzeugt habe) funktioniert nicht. Obwohl ich 100% den gleichen Key habe

Zitat:

cp ~micha/.ssh/authorized_keys ~waldi/.ssh/authorized_keys
ls -l ~micha/.ssh/authorized_keys; ls -l ~waldi/.ssh/authorized_keys
-rw-r--r-- 1 micha users 805 16. Jul 15:32 /home/micha/.ssh/authorized_keys
-rw-r--r-- 1 waldi waldi 805 16. Jul 16:33 /home/waldi/.ssh/authorized_keys

Die selben Dateirechte. Der selbe inhalt. (Gleiche Maschine!)

Verbindungsaufbau

Zitat:

plink.exe -v micha@blafasel.ag -i c:\data\myKey.ppk -L 3304:localhost:3306
oder
plink.exe -v waldi@blafasel.ag -i c:\data\myKey.ppk -L 3304:localhost:3306

bei micha accepted bei waldi refused

Gibt's net! :-(

Gruß micha

Re: plink puttygen openssh

Hallöchen :-),

So langsam geht die Sonne auf :-) Immerhin weiß ich jetzt das der sshd auf Fedora nach /var/log/secure logt. Tja und Asche auf mein Haupt! :oops: da sehe ich unter anderem:

Zitat:

sshd[4276]: Authentication refused: bad ownership or modes for file /home/mtB/.ssh/authorized_keys

da muß wohl die Manpage ein Bug haben den da ist das nicht so wichtig mit den Rechten for authorized_keys

aber ich hab die gleiche Dateirechte von einen Account der funktioniert (ich mich per Pub-Key einloggen kann) siehe vorheriges Post eingestellt was kann den der Logeintrag noch bedeuten?

Na OK ich hab jetzt wieder ein Hinweis zum weiter 'forschen' ;-)

Gruß Micha (vielleivht fällt einem ja noch was 'zu ein?)

Re: plink puttygen openssh

Hallo nochmal

kleiner Zwischenstand

hab jetzt duch setzen der Dateirechte die obige Meldung wegbekommen

jetzt finde ich folgende Einträge im Log interessant

Zitat:

Jul 16 19:58:10 baby sshd[4563]: debug1: temporarily_use_uid: 10003/10003 (e=0/0)
Jul 16 19:58:10 baby sshd[4563]: debug1: trying public key file /home/mtB/.ssh/authorized_keys2
Jul 16 19:58:10 baby sshd[4563]: debug1: restore_uid: 0/0
Jul 16 19:58:10 baby sshd[4563]: debug3: mm_answer_keyallowed: key 0x5555556c14d0 is disallowed

disallowed?
da wird doch der Hund in der Pfanne verückt!!!

wieder im dunkeln

warum

auf dem jetzigen Test-Server;

Zitat:

FC4 OpenSSH_4.2p1, OpenSSL 0.9.7f 22 Mar 2005

soll ich upgraden? (nicht das OS aber OpenSSH)

Gruß Micha