SSH mit public key funktioniert nicht

Status
Für weitere Antworten geschlossen.

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
ich will hier wirklich nicht arrogant klingen, aber ich verweise nochmal in meine erste (oder zweite) Antwort: du machst da einen grundlegenden Fehler, wie es (nicht nur mir) scheint: mal schiebst du scheinbar den öffentlichen auf den falschen Rechner (entnehme ich so deinem Dialog mit tommes), mal benennst du den Schlüssel um in eine Datei (authorized_keys), die es aber auch in diesem Zusammenhang bereits an anderer Stelle im System geben sollte.

Kann sein, dass es an meinen müden Augen liegt, aber gerade blick ich nicht mehr durch deine key Verteilung durch (bzw. durch deine Posts diesbezüglich), daher würde ich einfach mal nichts groß umbenennen und einfach (zur Fehlersuche) alles mal nach Anleitung genau so machen.
EDIT: sehe auch gerade, dass die Angabe unten für Verwirrungen sorgen kann. Sorry...
So nicht:
DS=privatekey=id_rsa

WIN=Pubkey=id_rsa.pub

Sondern so:
DS=Pubkey
WIN/Client=Privatkey
Nicht, dass das einer liest und so macht und dann geht nix...EDIT Ende

Ich drück dir auf jeden Fall weiter die Daumen, es ist garantiert nur eine blöde Verwechslung, erscheint mir so jedenfalls...
 
Zuletzt bearbeitet:

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Also jetzt kommen wir zwei wirklich durcheinander.

Nochmal von vorne.

1. Du erstellst die SSH-Ordnerstruktur sowie den RSA-Schlüssel auf deiner DS.

2. Du erstellst auf deinem RPi ebenfalls eine SSH_Ordnerstruktur, jedoch ohne RSA-Schlüssel.

3. Du trägst den öffentlichen Schlüssel (id_rsa.pub) deiner DS in die authorized_keys deines RPi's ein, z.B. so...

Code:
cat ~/.ssh/*.pub | ssh pi@192.168.178.5 'umask 077; cat >> ~/.ssh/authorized_keys'

... und musst für den ersten Verbindungsaufbau das Passwort für deinen RPi eingeben, da ja noch kein Schlüssel übergeben wurde.

4. Du baust erneut eine SSH-Verbindung von deiner DS in Richtung RPi auf...
Code:
ssh pi@192.168.178.5

... und führst den ersten Handshake durch, den du mit "yes" bestätigst... und du gibts dein SSH-Passwort ein, falls du eins vergeben hast.

5. Du greifst von deiner DS aus auf den RPi über eine Public-Key Authentifizierung zu.

Wo liegt der private Schlüssel?
 
Zuletzt bearbeitet:

ProXy

Benutzer
Mitglied seit
08. Jul 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
@the other:

Laut Wikipedia ist dies aber so korrekt:
Im Gegensatz dazu wird bei der Public-Key-Authentifizierung nur der öffentliche Schlüssel auf einem Server gespeichert. Der private Schlüssel wird auf dem eigenen Rechner gespeichert, kann damit geheim gehalten und zusätzlich mit einer Kennung verschlüsselt werden. Die Kennung kann aus mehreren Wörtern bestehen (im Englischen passphrase).

Der öffentliche Schlüssel auf dem Server muss in der Datei 'authorized_keys' liegen, deshalb benenne ich den öffentlichen Schlüssel einfach um.

@Tommes:

Nein, in meinem Versuch mit dem rpi mache ich mir der Syno gar nichts. Ich habe den rpi benutzt, um die Syno zu ersetzen. Der RSA-Schlüssel wurde auf dem rpi erzeugt, und der öffentliche Schlüssel in die ~/.ssh/authorized_keys auf dem rpi eingetragen.
Der private Schlüssel wurde auf meinen Windows Client kopiert, der auch die Verbindung initiiert. Der private Schlüssel liegt nur auf dem Windows-Client, von welchem ich auf den rpi per SSH zugreife.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373

ProXy

Benutzer
Mitglied seit
08. Jul 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hallo Götz,

ja der User "ProXy" ist in der Admin-Gruppe. Dieser ersetzt praktisch den User "admin", welchen ich zur Sicherheit deaktiviert habe.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
ja, so wie ich es geschrieben habe verstehe ich aktuell DEINE key Verteilung. Und das wäre dann doof bzw. nicht wie vorgesehen. Richtig wäre es, wenn du das Schlüsselpaar bei dir am PC erzeugst, den ÖFFENTLICHEN key auf die DS zu packen und den PRIVATE auf dem Client zu behalten, wie auch schon hier gesagt.

Ich verstehe aber nach dem Lesen deiner Posts nicht mehr so ganz, wie du das jetzt (versehentlich) ggf. gemacht hast. Mir scheint, du hast es vertauscht. Aber wie gesagt, hatte Frühdienst und bin bereits etwas neben mir und die Sportzigarette macht es nicht besser...

:)

Und ich selber kenne keine Anleitung, die sagt, dass id_rsa.pub einfach UMBENANNT wird. Vielmehr wird der Inhalt in die authorized_keys eingetragen...das einfach mal nach Anleitung so gemacht?
 

ProXy

Benutzer
Mitglied seit
08. Jul 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Ah, so meinst du das. Ich erstelle die Schlüssel jetzt direkt auf dem Server, da ich unter Windows nur PuTTY habe, das das kann. Um den Fehler bei PuTTY auszuschliessen, habe ich das Erzeugen der Schlüssel auf den Server verschoben.
Der ÖFFENTLICHE Key bleibt dann wo er ist (muss allerdings in die Datei ~/.ssh/authorized_keys), der PRIVATE wird auf den Client verschoben.

Mache ich das hier beschriebene mit dem rpi und Windows (rpi erzeugt Keys)...alles gut, mache ich das hier beschriebene mit der Syno und Windows (Syno erzeugt Keys)...nix gut ;)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Im Gegensatz dazu wird bei der Public-Key-Authentifizierung nur der öffentliche Schlüssel auf einem Server gespeichert. Der private Schlüssel wird auf dem eigenen Rechner gespeichert...

Der öffentliche Schlüssel wir auf dem Server gespeichert um dich von einem Client aus (auf den privaten Schlüssel gespeichert ist) mit dem Server verbinden zu können.
 

ProXy

Benutzer
Mitglied seit
08. Jul 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Ja, genau das möchte ich ja. Mich vom Windows Client, der den privaten Schlüssel hat, auf die Synology verbinden!
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314

ProXy

Benutzer
Mitglied seit
08. Jul 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Dies war die erste Doku die ich hatte und leider nicht funktioniert hat.

Ich habe den öffentlichen Schlüssel von PuTTY von Hand eingetragen, über SCP kopiert um sicherzugehen, dass alles richtig geht. Anschliessend den privaten Key zur Anmeldung in PuTTY engetragen. Erfolglos.

Heisst: Egal ob ich die Schlüssel über PuTTY auf dem Windows Client oder über ssh-keygen auf dem rpi oder der Syno erzeuge. Danach klappt es vom Window Client auf den rpi, nie aber vom Windows Client auf die Syno.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
@tommes: achja, als ich das zum ersten Mal mit schwitzigen Händen gemacht habe, war ich auch mehr verwirrt als alles andere. nach dem x. Versuch hatte es dann geklappt und ich war saufroh. Neulich musste ich da mal wieder ran und es lief ruhig und beim ersten Mal...ist wie so oft, wenn man die Denke dahinter irgendwie mal geraffelt hat, dann geht es leiht von der Hand, da hilft nur machen und Fehler machen und weitermachen....

@TE: und?...Sag Bescheid, wie es ausgeht bitte...viel Erfolg
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.086
Punkte für Reaktionen
1.067
Punkte
314
Ich habe den öffentlichen Schlüssel von PuTTY von Hand eingetragen
Kannst du mir das bitte mal genauer erklären? Du hast den öffentlichen Schlüssel von Putty in die authorized_keys der DS eingetragen? Von Hand? Du meinst per Copy & Paste? Das sollte ja korrekt sein.

Anschliessend den privaten Key zur Anmeldung in PuTTY engetragen.
Welchen private Key? Den von der DS? Du musst den private Key von Putty dort eintragen.

Aber wie gesagt, ich arbeite mehr mit WinSCP und da habe ich es so gemacht, wie in Beitrag #14 beschrieben. WinSCP macht dann alles, was nötig ist und erzeugt am Ende ebenfalls eine .ppk Datei, welche du dann einfach in Putty übernehmen kannst um dich so mit der DS zu verbinden. Probiers mal aus. Aber...

Das hier der private Key der DS genommen wird, sollte hierbei nicht weiter diskutiert werden. Nimm es einfach hin, das das so funktioniert. Bei mir jedenfalls... schon bestimmt 20 mal.

Tommes
 

ProXy

Benutzer
Mitglied seit
08. Jul 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Ja, ich habe den öffentlichen Schlüssel aus dem Textfeld von PuTTY in die Zwischenablage kopiert und dann eingefügt.

Wenn ich die Erzeugung der Schlüssel über PuTTY mache, dann ist das private Key File natürlich das von PuTTY, mit der Endung ppt. Ich habe das soeben gefühlt zum 200. Mal gemacht

Rich (BBCode):
login as: ProXy
Server refused our key

Es muss doch irgendwie möglich sein, auf der Syno zu debuggen, was denn nicht stimmt.
 

ProXy

Benutzer
Mitglied seit
08. Jul 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Es funktioniert!

Fragt mich nun bitte nicht, warum, aber nun funktioniert es.

Ich habe bislang immer zur Sicherheit sshd neu gestartet, das klappte auch ohne Probleme. Gerade eben starte ich den Dienst wieder neu, fliege ich sofort von der Shell. Anschliessend kein Einloggen via SSH mehr möglich.
Daraufhin habe ich Telnet aktiviert, habe mich so verbunden und den Dienst neu gestartet. Auch dies klappte ohne Probleme und ich kam wieder per SSH auf die Shell. Allerdings mit Key Auth und ganz ohne Passwort!
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,

Nein?!
DOCH!
Ohhhhh....

Cool, dann geht es ja nun...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat