November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

sshd: офигенно красивые грабли

dil: (Default)
[personal profile] dil
Tuesday, January 3rd, 2012 12:22 pm

На сей раз не у меня, но история настолько красивая, что хочется поделиться.

Итак: Ubuntu server. На нём sshd. Доступ по паролю прекрасно работает. В целях усиления безопасности хочется перейти на аутентификацию по ключам. Кладём на машину публичный ключ. Пробуем зайти. Облом-с, пароль хочет. Включаем в ssh-клиенте -v. Яснее не становится. Сервер предлагает аутентификацию по паролю и ключу, клиент посылает ключ, сервер его не принимает, предлагает то же самое, у клиента ключей больше нет, поэтому он спрашивает у пользователя пароль, по нему пускают.

Ощущение такое, что сервер не видит публичного ключа, или у него неправильные права. Проверяем, всё на месте, права правильные.

А вот дальше начинается мистика: если на сервер залогиниться (по паролю, естественно, по-другому не получается), то после этого начинает пускать и по ключу. И далее пока есть хоть одна открытая ssh-сессия, по ключу продолжают пускать. Закрываем все сессии — опять облом, ключ больше не работает, только пароль. Заходим по паролю, ключ начинает работать.

В логах сервера ничего подозрительного нет. Приходил пользователь, аутентифицировался по паролю. Потом по ключу. Никаких ошибок нет. Конфигурация PAM совершенно стандартная, в ней ничего не меняли.

Разгадка оказалась удивительно проста, но я, например, сам не догадался. Ваши версии?

Upd: ну, в общем, все угадали. А мне как-то не пришло в голову, что на сервере может бытьтакая засада

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:
Threaded | Top-Level Comments Only

[identity profile] jerom.livejournal.com
Tuesday, January 3rd, 2012 12:45 pm (UTC)
Зашифрованный или неправильно монтирующийся homedir. Проверяем: пишем публичный ключ человеку прямо в /etc/ssh/sshd_config

dil: (Default)
[personal profile] dil
Tuesday, January 3rd, 2012 12:50 pm (UTC)
Правильно. А мне такое на сервере и в голову не пришло

[identity profile] salas.livejournal.com
Tuesday, January 3rd, 2012 12:57 pm (UTC)
Шифрованный $HOME?

[personal profile] sewa
Tuesday, January 3rd, 2012 01:57 pm (UTC)
encrypted home ?

dil: (Default)
[personal profile] dil
Tuesday, January 3rd, 2012 02:06 pm (UTC)
Он самый

dil: (Default)
[personal profile] dil
Tuesday, January 3rd, 2012 02:06 pm (UTC)
Ага

[identity profile] sha90w.livejournal.com
Tuesday, January 3rd, 2012 03:05 pm (UTC)
Наверное домашний каталог при логине монтируется/map'ится ?

webushka: (Default)
[personal profile] webushka
Tuesday, January 3rd, 2012 05:25 pm (UTC)
Шифрование домашнего каталога выключи :)

[identity profile] debug.livejournal.com
Tuesday, January 3rd, 2012 07:22 pm (UTC)
шифрованные хоумдиры?

alz421: (Default)
[personal profile] alz421
Wednesday, January 4th, 2012 02:46 am (UTC)
Публичные ключи пусть живут в /etc/sshd/keys/%u

dil: (Default)
[personal profile] dil
Wednesday, January 4th, 2012 10:22 am (UTC)
Да это уже мелочи, главное было понять, почему они в стандартном месте не работают.

[identity profile] coolcold.livejournal.com
Thursday, January 5th, 2012 04:11 am (UTC)
Я вот не догадался. И вообще как-то это странно что хомяк разворачивать при логине...странно тем что, то он есть, а то его нет получается..

[identity profile] coolcold.livejournal.com
Thursday, January 5th, 2012 04:21 am (UTC)
И вот кстати, чтоб два раза не вставать, знамо ли тебе что /etc/hostname в дебиане теперь должен "This file should contain only the system hostname, not a fully qualified domain name." - http://www.debian.org/doc/manuals/debian-reference/ch03.en.html#_the_hostname
И соответственно полное имя через hostname --fqdn, а оно resolver dependent?

alz421: (Default)
[personal profile] alz421
Thursday, January 5th, 2012 05:35 am (UTC)
Такие же грабли были много лет назад с монтированием /home по nfs automount-ом. O шифровании тогда, понятно, не слышали.

dil: (Default)
[personal profile] dil
Thursday, January 5th, 2012 08:42 am (UTC)
Не то, чтобы именно разворачивать, а монтировать из шифрованной версии. А получается именно так: то есть, то нет.

dil: (Default)
[personal profile] dil
Thursday, January 5th, 2012 08:49 am (UTC)
Это вроде уже давно. У меня в мане 2009 года то же самое написано:

THE FQDN
You can't change the FQDN (as returned by hostname --fqdn) or the DNS
domain name (as returned by dnsdomainname) with this command. The FQDN
of the system is the name that the resolver(3) returns for the host
name.

Technically: The FQDN is the name getaddrinfo(3) returns for the host
name returned by gethostname(2). The DNS domain name is the part after
the first dot.

Therefore it depends on the configuration (usually in /etc/host.conf)
how you can change it. Usually (if the hosts file is parsed before DNS
or NIS) you can change it in /etc/hosts.
...
net-tools 2009-09-16 HOSTNAME(1)

[identity profile] coolcold.livejournal.com
Thursday, January 5th, 2012 05:48 pm (UTC)
Этот ман я читал, да. Я правда не понимаю логики с отсутствием fqdn в hostname и очень мне не нравится что используется resolver..

По поводу свежести - Lenny вышел раньше чем ман был написан "It was released on Feb 15th, 2009 as Debian GNU/Linux 5.0,
February 14th, 2009" , но там уже тоже (как я щас посмотрел) такое есть, хотя ман датируется 28 января 1996 года.
Threaded | Top-Level Comments Only