ssh-keygen - ich verzweifel
-
Hallo,
ich möchte von meinem Entwicklungsrechner auf unterschiedliche Maschinen (PIs, VMs, CTs usw.) direkt mich einloggen können.
Also schon zig mal ssh-keygen gemacht aber das einloggen muss immer noch mit Passwort sein. Ergo mach ich was falsch und hab es noch nciht verstanden
ich benutze
ssh-keygen -t ed25519passphrase lasse ich erstmal leer.
Dann hole ich mir mitcat *.pubden publich key und gehe auf den entfernten Rechner und trage dort unter/.ssh/authorized_keysden Schlüssel ein.Danach abspeichern, neustarten und immer noch PW_Eingabe
Hab es auch über ssh-copy-id probiert --> dann läuft er auf ein permission Problem
Für mich wieder alles zu kompliziert dabei habe ich mich nach der offiziellen Anleitung doch gehalten oder habe ich wieder was fehlinterpretiert ?
- Frage dazu ?
Was ist zB wenn ich 2 Authorisierungen brauche an dem entfernten Rechner ?
Also einmal von meinem Entwicklungsrecher auf den entfernten rechner und einmal verbindet sich der entfernte rechner mit zB Github per ssh-keys ?
- Frage dazu ?
-
@segway https://checkmk.com/de/linux-wissen/ssh-anmeldung-ohne-passwort
und dann drauf achten mit welchen User du den Key erzeugt hast
-
@arteck sagte in ssh-keygen - ich verzweifel:
@segway https://checkmk.com/de/linux-wissen/ssh-anmeldung-ohne-passwort
und dann drauf achten mit welchen User du den Key erzeugt hast
Ok danke, die Seite kannte ich noch nicht.
Gibt es auch eine Anleitung mit ed25519 ? -
@arteck sagte in ssh-keygen - ich verzweifel:
@segway https://checkmk.com/de/linux-wissen/ssh-anmeldung-ohne-passwort
und dann drauf achten mit welchen User du den Key erzeugt hast
so habe es jetzt gemacht und es kommt:
bash: line 1: .ssh/authorized_keys: Permission deniedDie Rechte von .ssh sind auf 700 gesetzt (chmod 700 .ssh)
Die Rechte von .ssh/authorized_keys sind auf 640 gesetzt. -
also du willst vom client auf einen server zugreifen
du hast auf dem client das schlüsselpaar erzeugt.
damit der public-key nun auf dem server im richtigen verzeichnis landet, kannst du auf dem client den folgenden Befehl verwenden.
der angegebene pfad ist der pfad auf dem client zur pub dateissh-copy-id -i ~/.ssh/id_rsa.pub user@serverweitere details
https://wiki.ubuntuusers.de/SSH/ -
@oliverio sagte in ssh-keygen - ich verzweifel:
ssh-copy-id -i ~/.ssh/id_rsa.pub user@serverweitere details
https://wiki.ubuntuusers.de/SSH/das habe ich ja gemacht und dann kommt:
sh: 1: cannot create .ssh/authorized_keys: Permission denied -
@segway sagte in ssh-keygen - ich verzweifel:
cannot create .ssh/authorized_keys: Permission denied
Ablauf ist, genau wie bei ssh, das nach verbindungsaufnahme du zur Eingabe des passwortes aufgefordert wirst und zwar genau für den user, den du bei user@server angegeben hast. ggfs. hast du dich vertippt, was ich aber ausschließe da du es sicherlich mehrmals sorgfältig probiert hast.
Dann kann es eigentlich nur sein, das du die Rechte an den Ordnern im Server verbogen hast.Der Ordner /home/<user>/.ssh sollte 0700 haben
Die Datei /home/<user>/.ssh /authorized_keys hat bei mir 0644am besten du löscht aus der Datei authorized_key den von dir bereits hinzugefügten Eintrag heraus oder machst sie komplett leer, falls da nicht noch andere berechtigt sind.
Was ich noch gelesen habe, war mir selbst so nicht bewußt.
Starte mal den ssh-Dienst auf dem server neu, nachdem du die Änderungen durchgeführt hast -
Ein Fehler der häufiger gemacht wird ist den Key auf deinem Start System nicht zu laden.
Hier mal die häufigsten Fehlerquellen.
- PrivateKey in .ssh/authorized_keys
- Permisson vom .ssh, authorized_keys, und privatkey prüfen
- sicherstellen das "PubkeyAuthentication" in etc/ssh/sshd_config nicht auf "no" steht (default ist an)
- mittels ssh -i "Path to Privatkey" sicherstellen das der Key für die Anmeldung auch verwendet wird
Weiter Tipp ist die Verbindung mit ssh -vvv aufzubauen dann bekommt man mit was so los ist.
Dort müsste so etwas wie:debug1: Will attempt key: /home/xx/.ssh/xxx ED25519 SHA256:"Kram" explicit [.....] debug1: Offering public key: /home/xx/.ssh/xx ED25519 SHA256:"Kram" explicit [.....] debug1: Server accepts key: /home/xx/.ssh/xx ED25519 SHA256:"Kram" explicitauftauchen.
-
@ignis-draco sagte in ssh-keygen - ich verzweifel:
PubKey in .ssh/authorized_keys
wo ist da das Problem?
oder wolltest du PrivateKey schreiben? -
@oliverio sagte in ssh-keygen - ich verzweifel:
wo ist da das Problem?
oder wolltest du PrivateKey schreiben?Ja du hast natürlich recht. Es sollte PrivateKey heißen.
-
So läuft jetzt.
Habe es aber manuell gemachtVerzeichnis .ssh auf Rechner B braucht 700
alle Dateien darin auf Rechner B brauchen 640Auf Rechner B den id_ed25519 Schlüssel in der id_ed25519.pub Datei eintragen mit hinten Username von Rechner B (wie er in der Konsole angezeigt wird)
Auf Rechner B den id_ed25519 Schlüssel in der authorized_keys Datei ebenso eintragen ABER mit hinten Username von Rechner A (wie er dort in der Konsole angezeigt wird)!!!
-
@segway sagte in ssh-keygen - ich verzweifel:
Verzeichnis .ssh auf Rechner B braucht 700
alle Dateien darin auf Rechner B brauchen 640wenn du der einzige Nutzer bist, ist es egal.
Aber korrekt wäre, eine evtl. Datei mit dem private key, ebenfalls
auf 0700 machen.
Falls er auf diesem Rechner für diesen Nutzer generiert wäre
Bei 640 dürften sonst alle den private key lesen und das wäre der Sicherheit nicht so dienlich -
okay notiert.
Oder wäre anstatt 640 besser 600 ?welche Verschlüsselung ist denn besser ? id_rsa 4096 oder der id_ed25519
Laut Internet sollte ich besser den ed25519 nehmen.
-
@segway
eigentlich hatte ich diverse fragen hier aufgestellt.
hab dann beim suchen dann festgestellt,
das es eigentlcih nur vorteile gibt, bis auf den zugriff auf ältere ssh-server die den algo noch nicht kennener scheint vor allem auch schneller zu sein wie rsa. aber das ist beim gelegentlichen einloggen auch irrelevant
https://serverfault.com/questions/1081266/ssh-keys-ed25519-vs-rsa-performance-demystifiedich dachte, das der dann auch für die transportverschlüsselung verwendet wird und da kommt man bei älteren rechnern und schwachbrüstigen cpu s an die grenzen
aber die transportverschlüsselung ist unabhängig davon
