ssh-keygen - ich verzweifel

arteck

@segway https://checkmk.com/de/linux-wissen/ssh-anmeldung-ohne-passwort

und dann drauf achten mit welchen User du den Key erzeugt hast

Segway

@arteck sagte in ssh-keygen - ich verzweifel:

@segway https://checkmk.com/de/linux-wissen/ssh-anmeldung-ohne-passwort

und dann drauf achten mit welchen User du den Key erzeugt hast

Ok danke, die Seite kannte ich noch nicht.
Gibt es auch eine Anleitung mit ed25519 ?

Segway

@arteck sagte in ssh-keygen - ich verzweifel:

@segway https://checkmk.com/de/linux-wissen/ssh-anmeldung-ohne-passwort

und dann drauf achten mit welchen User du den Key erzeugt hast

so habe es jetzt gemacht und es kommt:

bash: line 1: .ssh/authorized_keys: Permission denied

Die Rechte von .ssh sind auf 700 gesetzt (chmod 700 .ssh)
Die Rechte von .ssh/authorized_keys sind auf 640 gesetzt.

OliverIO

@segway

also du willst vom client auf einen server zugreifen
du hast auf dem client das schlüsselpaar erzeugt.
damit der public-key nun auf dem server im richtigen verzeichnis landet, kannst du auf dem client den folgenden Befehl verwenden.
der angegebene pfad ist der pfad auf dem client zur pub datei

ssh-copy-id -i ~/.ssh/id_rsa.pub user@server

weitere details
https://wiki.ubuntuusers.de/SSH/

Segway

@oliverio sagte in ssh-keygen - ich verzweifel:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@server

weitere details
https://wiki.ubuntuusers.de/SSH/

das habe ich ja gemacht und dann kommt:

sh: 1: cannot create .ssh/authorized_keys: Permission denied

OliverIO

@segway sagte in ssh-keygen - ich verzweifel:

cannot create .ssh/authorized_keys: Permission denied

Ablauf ist, genau wie bei ssh, das nach verbindungsaufnahme du zur Eingabe des passwortes aufgefordert wirst und zwar genau für den user, den du bei user@server angegeben hast. ggfs. hast du dich vertippt, was ich aber ausschließe da du es sicherlich mehrmals sorgfältig probiert hast.
Dann kann es eigentlich nur sein, das du die Rechte an den Ordnern im Server verbogen hast.

Der Ordner /home/<user>/.ssh sollte 0700 haben
Die Datei /home/<user>/.ssh /authorized_keys hat bei mir 0644

am besten du löscht aus der Datei authorized_key den von dir bereits hinzugefügten Eintrag heraus oder machst sie komplett leer, falls da nicht noch andere berechtigt sind.

Was ich noch gelesen habe, war mir selbst so nicht bewußt.
Starte mal den ssh-Dienst auf dem server neu, nachdem du die Änderungen durchgeführt hast

ignis-draco

Ein Fehler der häufiger gemacht wird ist den Key auf deinem Start System nicht zu laden.

Hier mal die häufigsten Fehlerquellen.

• PrivateKey in .ssh/authorized_keys
• Permisson vom .ssh, authorized_keys, und privatkey prüfen
• sicherstellen das "PubkeyAuthentication" in etc/ssh/sshd_config nicht auf "no" steht (default ist an)
• mittels ssh -i "Path to Privatkey" sicherstellen das der Key für die Anmeldung auch verwendet wird

Weiter Tipp ist die Verbindung mit ssh -vvv aufzubauen dann bekommt man mit was so los ist.
Dort müsste so etwas wie:

debug1: Will attempt key: /home/xx/.ssh/xxx ED25519 SHA256:"Kram" explicit
[.....]
debug1: Offering public key: /home/xx/.ssh/xx ED25519 SHA256:"Kram" explicit
[.....]
debug1: Server accepts key: /home/xx/.ssh/xx ED25519 SHA256:"Kram" explicit

auftauchen.

OliverIO

@ignis-draco sagte in ssh-keygen - ich verzweifel:

PubKey in .ssh/authorized_keys

wo ist da das Problem?
oder wolltest du PrivateKey schreiben?

ignis-draco

@oliverio sagte in ssh-keygen - ich verzweifel:

wo ist da das Problem?
oder wolltest du PrivateKey schreiben?

Ja du hast natürlich recht. Es sollte PrivateKey heißen.

Segway

So läuft jetzt.
Habe es aber manuell gemacht

Verzeichnis .ssh auf Rechner B braucht 700
alle Dateien darin auf Rechner B brauchen 640

Auf Rechner B den id_ed25519 Schlüssel in der id_ed25519.pub Datei eintragen mit hinten Username von Rechner B (wie er in der Konsole angezeigt wird)

Auf Rechner B den id_ed25519 Schlüssel in der authorized_keys Datei ebenso eintragen ABER mit hinten Username von Rechner A (wie er dort in der Konsole angezeigt wird)!!!

OliverIO

@segway sagte in ssh-keygen - ich verzweifel:

Verzeichnis .ssh auf Rechner B braucht 700
alle Dateien darin auf Rechner B brauchen 640

wenn du der einzige Nutzer bist, ist es egal.
Aber korrekt wäre, eine evtl. Datei mit dem private key, ebenfalls
auf 0700 machen.
Falls er auf diesem Rechner für diesen Nutzer generiert wäre
Bei 640 dürften sonst alle den private key lesen und das wäre der Sicherheit nicht so dienlich

Segway

@oliverio

okay notiert.
Oder wäre anstatt 640 besser 600 ?

welche Verschlüsselung ist denn besser ? id_rsa 4096 oder der id_ed25519

Laut Internet sollte ich besser den ed25519 nehmen.

OliverIO

@segway
eigentlich hatte ich diverse fragen hier aufgestellt.
hab dann beim suchen dann festgestellt,
das es eigentlcih nur vorteile gibt, bis auf den zugriff auf ältere ssh-server die den algo noch nicht kennen

er scheint vor allem auch schneller zu sein wie rsa. aber das ist beim gelegentlichen einloggen auch irrelevant
https://serverfault.com/questions/1081266/ssh-keys-ed25519-vs-rsa-performance-demystified

ich dachte, das der dann auch für die transportverschlüsselung verwendet wird und da kommt man bei älteren rechnern und schwachbrüstigen cpu s an die grenzen
aber die transportverschlüsselung ist unabhängig davon