1

Тема: Не работает openssh-server 1:5.1p1-6.maemo2

После обновление openssh до 1:5.1p1-6.maemo2 с repository.maemo.org перестало пускать на таблетку по ssh. Откатился на 1:4.7p1-12.maemo2 — снова пускает. Проверял оба раза как с ноута, так и с самой таблетки (на localhost). Содержимое ~/.ssh и /etc/ssh ни там, ни там не менялось. Хочу узнать: у кого-то ещё воспроизводится, или это у меня что-то локальное? В системе много чего переделано, но с ssh это напрямую никак не связано.

2

Re: Не работает openssh-server 1:5.1p1-6.maemo2

На всякий случай добавляю конфиг:

$ egrep -v '^($|#)' /etc/ssh/sshd_config
Port ****
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server

3

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Ну как бе и не должно пускать то!

PermitRootLogin no

О чём говорит? Рута не пускать!

c приветом, gLobster
Nokia E7|Lumia 920 + TomTom Go Live 1000 + Lenovo IdeaPad Z370+ Motorola Xoom

4

Re: Не работает openssh-server 1:5.1p1-6.maemo2

и еще:
PasswordAuthentication no

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

5

Re: Не работает openssh-server 1:5.1p1-6.maemo2

И? Я разве сказал, что пытаюсь заходить рутом, или что логинюсь по паролю? Авторизация по ключу. Повторюсь: со старым openssh-server всё работает, с новым нет, конфиги не меняются.

6

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Ну тогда ssh -vvv user@n810 и смотреть вывод
1:5.1p1-6.maemo2 работает без проблем и по ключу тоже

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

7

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Как я понимаю по этим ответам, у вас проблема не воспроизводится?

8

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

Ну тогда ssh -vvv user@n810 и смотреть вывод
1:5.1p1-6.maemo2 работает без проблем и по ключу тоже

Что-то я стормозил… Настолько привык к логам, что про -vvv и забыл как-то. Сейчас посмотрю, спасибо.

9

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

1:5.1p1-6.maemo2 работает без проблем и по ключу тоже

Ключ rsa? Судя по выводу, у меня dsa ключ проверяется, а rsa — нет.

debug2: key: /home/user/.ssh/identity ((nil))
debug2: key: /home/user/.ssh/id_rsa (0x5bbf0)
debug2: key: /home/user/.ssh/id_dsa ((nil))
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug3: no such identity: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey
debug1: Trying private key: /home/user/.ssh/id_dsa
debug3: no such identity: /home/user/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey).

10

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Вот это выключите: PasswordAuthentication no

N̶8̶0̶0̶ + N̶8̶1̶0̶ + N̶9̶0̶0̶ + N̶9̶5̶0̶ + N̶9̶ ̶C̶y̶a̶n̶ + N̶9̶ ̶B̶l̶a̶c̶k̶

11

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Вот же проверка RSA:

debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey

Попробуйте заново скопировать public
ssh-copy-id

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

12

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Mitrandir пишет:

Вот это выключите: PasswordAuthentication no

Не должно оно влиять на авторизацию по ключу. И не хочу я, чтобы ко мне ломились подбирать пароли. Проходил уже через это на ББ лет пять назад ещё. Даже нестандартный порт не всегда спасает.

13 Отредактировано t.t (25-06-2010 16:44:29)

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

Вот же проверка RSA:

debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey

Это мне как раз не совсем понятно: есть упоминание о посылке ключа, но не упоминается хоть какой-то ответ.

svs57 пишет:

Попробуйте заново скопировать public
ssh-copy-id

Пробовал уже, без толку.

14

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Вот для сравнения аналогичный кусок ответа от сервера 4.7:

debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug3: no such identity: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug2: input_userauth_pk_ok: fp ****
debug3: sign_and_send_pubkey
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0

15

Re: Не работает openssh-server 1:5.1p1-6.maemo2

t.t пишет:

И не хочу я, чтобы ко мне ломились подбирать пароли. Проходил уже через это на ББ лет пять назад ещё. Даже нестандартный порт не всегда спасает.

Вы немного путаете причину и следствия. Если захотят ломиться - то ломиться будут. И метод авторизации от самого факта ломления не спасает. Фактически внешне это выглядит одинаково - не удаётся авторизоваться злоумышленнику по паролю. Просто с выключенной опцией долбящемуся никогда пароль не подобрать, а с включённой - это уже зависит от качества логина и пароля. Но от самой "долбёжки" это никак не защитит. Чтобы долбёжка не мешала - её надо на пограничном роутере отсекать. Ещё до таблетки smile))

c приветом, gLobster
Nokia E7|Lumia 920 + TomTom Go Live 1000 + Lenovo IdeaPad Z370+ Motorola Xoom

16

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Если ключ не подходит так и будет:

debug2: we sent a publickey packet, wait for reply
debug3: Wrote 528 bytes for a total of 1655
debug1: Authentications that can continue: publickey,password
debug2: we did not send a packet, disable method
Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

17

Re: Не работает openssh-server 1:5.1p1-6.maemo2

gLobster пишет:
t.t пишет:

И не хочу я, чтобы ко мне ломились подбирать пароли. Проходил уже через это на ББ лет пять назад ещё. Даже нестандартный порт не всегда спасает.

Вы немного путаете причину и следствия. Если захотят ломиться - то ломиться будут. И метод авторизации от самого факта ломления не спасает. Фактически внешне это выглядит одинаково - не удаётся авторизоваться злоумышленнику по паролю. Просто с выключенной опцией долбящемуся никогда пароль не подобрать, а с включённой - это уже зависит от качества логина и пароля. Но от самой "долбёжки" это никак не защитит. Чтобы долбёжка не мешала - её надо на пограничном роутере отсекать. Ещё до таблетки smile))

Я ничего не путаю. По опыту от содержимого сообщения после неудачного входа «(publickey)» либо «(publickey, password)» интенсивность долбёжки всё же зависит. Да и больше беспокоит не само долбление, а шансы на успех. А насчёт отсечения — дома-то отсекается на ноуте (через usb хожу в сеть), а вот в публичных вайфай сетях или на gprs-е ничего до таблетки не отсечёшь.

18

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

Если ключ не подходит так и будет:

debug2: we sent a publickey packet, wait for reply
debug3: Wrote 528 bytes for a total of 1655
debug1: Authentications that can continue: publickey,password
debug2: we did not send a packet, disable method

Это-то понятно. Непонятно другое: каким образом «подходящесть» ключа может зависеть от версии сервера. Кроме неё ведь ничего не меняется.

19

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Но у других же работает.
А пакет из маемовского репозитория?
Попробуйте еще с  dsa ключами.
PS
Может попробовать с портом 22 ?

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

20

Re: Не работает openssh-server 1:5.1p1-6.maemo2

t.t пишет:

По опыту от содержимого сообщения после неудачного входа «(publickey)» либо «(publickey, password)» интенсивность долбёжки всё же зависит.

каким образом? взломщик снаружи не может знать какие методы доступны. Сервер ведь не говорит о том, что используется неразрешённый метод авторизации - он просто отказывает в ней всегда одинаково. С точки зрения защиты - это глупость сообщать какую ошибку делает авторизующийся. Примерно как сказать: вы ошиблись в 3ьей букве пароля.

Ну и про взлом в общественных сетях - это параноя. На взлом нужно несколько часов, если не суток. При этом нужно ещё и "вычислить" кого ломать. А все публичные сети - это NAT. И как за ним Вас ловить? доступны только компьютеры с внешним IP... Параноя это.

c приветом, gLobster
Nokia E7|Lumia 920 + TomTom Go Live 1000 + Lenovo IdeaPad Z370+ Motorola Xoom

21

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Согласен с gLobster по поводу NAT. Нечего здесь защищать.
Точно также как и попытки установить файервол на таблетке.
Она все время за NAT находится.

Был бы у Чехова автомобиль, поворотник бы Чехов включал.
N810 (DIABLO_5.2008.43-7)

22

Re: Не работает openssh-server 1:5.1p1-6.maemo2

svs57 пишет:

Но у других же работает.

Так это-то и странно. Если бы у всех не работало, написал бы баг-репорт и успокоился.

svs57 пишет:

А пакет из маемовского репозитория?

Да, я писал, откуда ставил, в первом посте.

svs57 пишет:

Попробуйте еще с  dsa ключами.

Завтра попробую.

svs57 пишет:

PS
Может попробовать с портом 22 ?

Пробовал. Не помогает.

23

Re: Не работает openssh-server 1:5.1p1-6.maemo2

gLobster пишет:
t.t пишет:

По опыту от содержимого сообщения после неудачного входа «(publickey)» либо «(publickey, password)» интенсивность долбёжки всё же зависит.

каким образом? взломщик снаружи не может знать какие методы доступны. Сервер ведь не говорит о том, что используется неразрешённый метод авторизации - он просто отказывает в ней всегда одинаково. С точки зрения защиты - это глупость сообщать какую ошибку делает авторизующийся. Примерно как сказать: вы ошиблись в 3ьей букве пароля.

Взломщик не знает, спрашивают ли у него пароль или отказывают сразу? (: Конечно сервер не говорит, используется ли неразрешённый способ авторизации — он просто его _не_ использует, да и всё. И «вычисляется» это на раз, в т.ч. и программно.

gLobster пишет:

Ну и про взлом в общественных сетях - это параноя. На взлом нужно несколько часов, если не суток. При этом нужно ещё и "вычислить" кого ломать. А все публичные сети - это NAT. И как за ним Вас ловить? доступны только компьютеры с внешним IP... Параноя это.

Не все NAT. Мне известна пара с динамическими внешними айпишниками. А также известны случаи, когда ломали из той же сети, если она большая. И gprs не забывайте. А «вычислить», кто из прощупанных вчера машин на каком адресе висит сегодня — тоже дело двух минут. Начиная с того, что в сети мобильного оператора или даже на общественном вайфае машин с поднятым ssh в принципе будет совсем не много.

24

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Вообще я заметил, что людей, склонных к компьютерной паранойе крайне сложно убедить в излишестве каких-либо средств защиты. Максималисты smile

Ломать и даже просто сканировать адреса GPRS-абонентов крайне невыгодно — у них мизерная скорость отдачи.

Имхо, хороший пароль решает 99.9% проблем

N̶8̶0̶0̶ + N̶8̶1̶0̶ + N̶9̶0̶0̶ + N̶9̶5̶0̶ + N̶9̶ ̶C̶y̶a̶n̶ + N̶9̶ ̶B̶l̶a̶c̶k̶

25

Re: Не работает openssh-server 1:5.1p1-6.maemo2

Mitrandir пишет:

Вообще я заметил, что людей, склонных к компьютерной паранойе крайне сложно убедить в излишестве каких-либо средств защиты. Максималисты smile

Ломать и даже просто сканировать адреса GPRS-абонентов крайне невыгодно — у них мизерная скорость отдачи.

Имхо, хороший пароль решает 99.9% проблем

Начнём с того, что кроме проблем есть ещё и удобство. Мне удобнее работать с ключом, чем с паролем. Причём намного удобнее. А «хороший пароль» в смысле удобства ещё хуже. (;

А gprs был упомянут лишь для полноты картины. Повторюсь: мне достоверно известны случаи вскрытия ssh в публичных вайфай-сетях. Да, единичные. Но не попытки, а именно вскрытия. А значит попытки как минимум в сотни раз чаще; а они мне тоже не нужны.

Итого. Первый аргумент: удобство. А вероятность успешной атаки, хоть и мизерная, — лишь из серии «пусть будет до кучи». Не пойму, где вы здеь паранойю увидели.