Server lehnt Schlüsseldateien ab.

[elcomportal]

Hallo,
ich will meinen Strato V-Server umstellen auf Public Key.
Habe mir mit Puttygen die Schlüsseldateien erzeugt und bin genau nach der Anleitung vorgegangen:
http://www.drweb.de/magazin/ssh-die-arbeit-mit-der-secure-shell-2/
Wenn ich WinSCP verbinden will kommt nur "Der entfernte Rechner lehnte unseren Schlüssel ab."
Was mache ich falsch?
Mfg
Torsten

 

[Mr.Check]

Hallo,
ich will meinen Strato V-Server umstellen auf Public Key.
Habe mir mit Puttygen die Schlüsseldateien erzeugt und bin genau nach der Anleitung vorgegangen:
http://www.drweb.de/magazin/ssh-die-arbeit-mit-der-secure-shell-2/
Wenn ich WinSCP verbinden will kommt nur "Der entfernte Rechner lehnte unseren Schlüssel ab."
Was mache ich falsch?
Mfg
Torsten

Hast du auf deinem vServer eine Datei /root/.ssh/authorized_keys ? Wenn ja, poste mal bitte den Inhalt dieser. Wenn du alles richtig gemacht hast handelt es sich bei dem Inhalt nur um deinen öffentlichen Schlüssel, es ist also kein Risiko diesen offenzulegen.

 

[elcomportal]

ja, die Datei habe ich.
hier der Inhalt:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAmiUnYZmbnQ6lZhquG7zA3f+9+sj4nDRXBJQ5o0KSW3H1WbOIdChXPuyGnj4JYAQfSLYkq0LZ4SyaSLm71GHcxpYUjdjJFxohlmNo3Kvvunqr7I09VZ4y4uOinXRklfkKm3236mKKnnhrfqQGgmFs4NdffrHZ4IixaZCEy/XZzAc= rsa-key-20120624

Das ist das, was bei Puttygen in diesem Copy & Paste Fenster war.
Mfg
Torsten

 

[Mr.Check]

Das sieht auf jeden Fall schonmal gut aus. Und du hast im WinSCP den entsprechenden privaten Schlüssel ausgewählt, ja?

Ich habe mir gerade nochmal das Tutorial angeguckt. Es ist erforderlich, dass du deinen SSH-Daemon für die Authentifizierung per Key konfigurierst. Dazu habe ich in dem Tutorial nichts gefunden.

Schau dir mal deine

/etc/ssh/sshd_config

an.

Dort müsstest du diese beiden Zeilen haben:

PubkeyAuthentication yes
AuthorizedKeysFile     .ssh/authorized_keys

Wichtig ist, dass diese nicht mit einer Raute auskommentiert sind. Wenn du die Schlüssel-Authentifizierung erfolgreich getestet hast, kannst du die Passwort-Authentifizierung mittels

PasswordAuthentication yes

deaktivieren.

 

[elcomportal]

Ja, diese zwei Zeilen sind in der /etc/ssh/sshd_config
Das stand in der Anleitung die bei Strato zu finden war. Die Zeilen waren auskommentiert, die Rauten habe ich weggemacht.
In WinSCP habe ich die entsprechende Schlüsseldatei ausgewählt. Es geht trotzdem nicht.
Mfg
Torsten

 

[elcomportal]

...als Benutzername habe ich root angegeben. ist das vielleicht nicht so gut?

 

[OldSwede]

ssh neu gestartet?

 

[elcomportal]

ich hatte den Server neu gestartet...

 

[Mr.Check]

...als Benutzername habe ich root angegeben. ist das vielleicht nicht so gut?

Naja, wenn du die Datei /root/.ssh/authorized_keys angepasst hast, musst du dich ja als root anmelden, weil für diesen Benutzer die Keys in dieser Datei gültig sind. Ansonsten hättest du einen Benutzer user01 anlegen und dann das Keyfile entsprechend unter /home/user01/.ssh/authorized_keys ablegen müssen.

 

[achiral]

Naja, wenn du die Datei /root/.ssh/authorized_keys angepasst hast, musst du dich ja als root anmelden, weil für diesen Benutzer die Keys in dieser Datei gültig sind. Ansonsten hättest du einen Benutzer user01 anlegen und dann das Keyfile entsprechend unter /home/user01/.ssh/authorized_keys ablegen müssen.

Er könnte aber uU root Login verboten haben.

 

[elcomportal]

Wo kann man denn nachgucken, ob root login verboten ist?
Im Moment kann ich mich noch mit root und Passwort einloggen.

 

[achiral]

Wo kann man denn nachgucken, ob root login verboten ist?
Im Moment kann ich mich noch mit root und Passwort einloggen.

PermitRootLogin yes

in

/etc/ssh/sshd_config

aber wenn du dich mit dem Passwort als root einloggen kannst, ist es das nicht.
Da ist unter Garantie nicht der richtige key im winscp hinterlegt.

 

[elcomportal]

Ich hatte ja den public key und den private key gespeichert. Im WinSCP habe ich den private.ppk ausgewählt.

 

[elcomportal]

kann man sich den Schlüssel anzeigen lassen, den der Server benutzt?

 

[svenr]

ja klar

cat /root/.ssh/authorized_keys

oder für entsprechende user

cat /home/$username/.ssh/authorized_keys

Gruß Sven

 

[elcomportal]

Hier ist der Inhalt der WinSCP Protokolldatei. (Daten geändert)

. 2012-06-24 20:40:52.843 --------------------------------------------------------------------------
. 2012-06-24 20:40:52.844 WinSCP Version 4.3.2 (Build 1201) (OS 6.1.7600)
. 2012-06-24 20:40:52.844 Login time: Sonntag, 24. Juni 2012 20:40:52
. 2012-06-24 20:40:52.844 --------------------------------------------------------------------------
. 2012-06-24 20:40:52.844 Session name: root@www.h1438152.stratoserver.net
. 2012-06-24 20:40:52.844 Host name: www.h1438152.stratoserver.net (Port: 22)
. 2012-06-24 20:40:52.844 User name: root (Password: No, Key file: Yes)
. 2012-06-24 20:40:52.844 Tunnel: No
. 2012-06-24 20:40:52.844 Transfer Protocol: SFTP (SCP)
. 2012-06-24 20:40:52.844 Ping type: -, Ping interval: 30 sec; Timeout: 15 sec
. 2012-06-24 20:40:52.844 Proxy: none
. 2012-06-24 20:40:52.844 SSH protocol version: 2; Compression: No
. 2012-06-24 20:40:52.844 Bypass authentication: No
. 2012-06-24 20:40:52.844 Try agent: Yes; Agent forwarding: No; TIS/CryptoCard: No; KI: Yes; GSSAPI: No
. 2012-06-24 20:40:52.844 Ciphers: aes,blowfish,3des,WARN,arcfour,des; Ssh2DES: Yes
. 2012-06-24 20:40:52.844 SSH Bugs: -,-,-,-,-,-,-,-,-
. 2012-06-24 20:40:52.844 SFTP Bugs: -,-
. 2012-06-24 20:40:52.845 Return code variable: Autodetect; Lookup user groups: Yes
. 2012-06-24 20:40:52.845 Shell: default
. 2012-06-24 20:40:52.845 EOL: 0, UTF: 2
. 2012-06-24 20:40:52.845 Clear aliases: Yes, Unset nat.vars: Yes, Resolve symlinks: Yes
. 2012-06-24 20:40:52.845 LS: ls -la, Ign LS warn: Yes, Scp1 Comp: No
. 2012-06-24 20:40:52.845 Local directory: default, Remote directory: home, Update: No, Cache: Yes
. 2012-06-24 20:40:52.845 Cache directory changes: Yes, Permanent: Yes
. 2012-06-24 20:40:52.845 DST mode: 1
. 2012-06-24 20:40:52.845 --------------------------------------------------------------------------
. 2012-06-24 20:40:52.875 Looking up host "www.meinserver.stratoserver.net"
. 2012-06-24 20:40:52.876 Connecting to 11.222.333.444 port 22
. 2012-06-24 20:40:54.770 Server version: SSH-1.99-OpenSSH_4.6p1
. 2012-06-24 20:40:54.770 We believe remote version has SSH-2 ignore bug
. 2012-06-24 20:40:54.770 Using SSH protocol version 2
. 2012-06-24 20:40:54.770 We claim version: SSH-2.0-WinSCP_release_4.3.2
. 2012-06-24 20:40:56.070 Doing Diffie-Hellman group exchange
. 2012-06-24 20:40:56.430 Doing Diffie-Hellman key exchange with hash SHA-1
. 2012-06-24 20:40:56.982 Host key fingerprint is:
. 2012-06-24 20:40:56.982 ssh-rsa 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:65:39:43
. 2012-06-24 20:40:56.982 Initialised AES-256 CBC client->server encryption
. 2012-06-24 20:40:56.982 Initialised HMAC-SHA1 client->server MAC algorithm
. 2012-06-24 20:40:56.982 Initialised AES-256 CBC server->client encryption
. 2012-06-24 20:40:56.982 Initialised HMAC-SHA1 server->client MAC algorithm
. 2012-06-24 20:40:57.490 Reading private key file "C:\Users\ich\Desktop\private.ppk"
. 2012-06-24 20:40:57.490 Pageant is running. Requesting keys.
! 2012-06-24 20:40:57.491 Using username "root".
. 2012-06-24 20:40:57.730 Offered public key
! 2012-06-24 20:40:58.080 Server refused our key
. 2012-06-24 20:40:58.086 Server refused public key
. 2012-06-24 20:40:58.320 Keyboard-interactive authentication refused
. 2012-06-24 20:40:58.320 Prompt (6, SSH password, , &Passwort:)
. 2012-06-24 20:41:05.578 Disconnected: Unable to authenticate
* 2012-06-24 20:41:05.588 (ESshFatal) Die Verbindung wurde unerwartet geschlossen. Der Server sendete den Befehlsbeendigungsstatus 0.
* 2012-06-24 20:41:05.588 Anmeldungsprotokoll (Siehe Sitzungsprotokoll für Details):
* 2012-06-24 20:41:05.588 Verwende Benutzername "root".
* 2012-06-24 20:41:05.588 Der entfernte Rechner lehnte unseren Schlüssel ab.
* 2012-06-24 20:41:05.588 
* 2012-06-24 20:41:05.588 Anmeldung fehlgeschlagen.

 

[elcomportal]

Hmm,
ich dachte eher daran, mir anzeigen zu lassen ob der Server wirklich auf diesen Schlüssel zugreift und nich wo anders noch was rumliegen hat...

 

[svenr]

Wenn Du eine default sshd config hast dann greift er genau auf die genannten Stellen zu. Mr Check hatte es beschrieben.
Also irgendwo irgendwas macht ein Server nicht. Er macht genau das was man ihm vorgibt. Im default Fall als root ists eben die /root/.ssh/authorized_keys

Gruß Sven

 

[Mr.Check]

Hmm,
ich dachte eher daran, mir anzeigen zu lassen ob der Server wirklich auf diesen Schlüssel zugreift und nich wo anders noch was rumliegen hat...

Also der Server nimmt definitiv den Schlüssel aus der /root/.ssh/authorized_keys . Die Frage ist, ob du den richtigen privaten Key verwendest. Am besten erstellst du nochmal ein neues Schlüsselpaar. Am Besten verwendest du dafür sogar noch ein anderes Tutorial, da sich da ja ggf. ein Fehler bzw. Verständnisproblem eingeschlichen haben könnte. Zum Beispiel das hier:

http://www.systemengineers.de/linux/debian/key-basierte-ssh-logins-mit-putty

Viel Erfolg

 

[wstuermer]

oder für entsprechende user

cat /home/$username/.ssh/authorized_keys

Das geht nur solange gut, wie das Homedir auch unter /home/$user ist Eleganter wäre

cat ~$username/.ssh/authorized_keys