Kein SSH-Login in Snow Leopard 10.6

03/09/2009 - 15:38 von Ingo Lembcke | Report spam
Hallo,
ich hatte ja schon in den làngeren Migrations-Artikeln kurz beschrieben, das SSH mich nicht reinlàsst.
Tja, 2 Tage spàter, Finger wundgegoogelt und ich bin nicht weiter.

Was habe ich zur Analyse gemacht?
- Leopard gebootet, da funktioniert es, in Tiger sowieso (Leo war clean
install, kaum benutzt)
- für Notfàlle sowieso sinnvoll, also Notpartition mit Snow Leopard sauber installiert,
also ohne Datenübernahme, Problem identisch
- KEYGEN benutzt, Schlüssel werden noch von der Gegenseite gesehen, danach
werde ich nicht reingelassen.
- Einstellungen in der Systemsteuerung auch für Fernwarung (Remote Desktop)
zugelassen, auch noch für einzelne User zugelassen
Fehlermeldungen im Log deuten für mich auf Sandbox hin. Logs und Details siehe unten.

Ausserdem habe ich dabei gesehen, dass von aussen stàndig Angriffe auf SSH stattfinden, also habe ich die Portweiterleitung im Router mal wieder abgestellt :-).
Nicht schlecht, das muss seit April offen gewesen, aber ich habe nichts bemerkt, das kommt vom Rumspielen mit dem System.

Secure.Log bei falschem Usernamen kommt so etwas:
Sep 2 13:37:42 ingo-lembckes-computer sshd[11158]: Invalid user
klhkhkhk from 192.168.xx.yy
Bei richtigem, existierendem Usernamen ist dort kein Eintrag.

dazu dann im System.Log
Sep 3 15:10:34 ingo-lembckes-computer sandboxd[9090]: sshd(9089) deny
mach-per-user-lookup
Sep 3 15:11:32: last message repeated 3 times

Dies sowohl bei korrektem, als auch bei falschem Usernamen.

und im appfirewall.log
Sep 3 15:10:25 ingo-lembckes-computer Firewall[96]: Allow sshd-keygen-
wrapper connecting from 192.168.xx.yy:1037 to port 22 proto=6

Auf der Thin Client (Power Term Interconnect auf Wyse) kommt folgende
Meldung:
zuerst, weil ich mit KEYGEN einen neuen angelegt hatte, muss der Key
akzeptiert und eingetragen (vertraut) werden.
Danach kommt der Login-Dialog, und egal was ich dort eingebe, nach
Bestàtigung sofort:
Using Username "<was ich angebe>"
"No supported authentication methods left to try"
Session Closed (0).

Bei Wyse ist eingestellt: SSH-2, Cipher 3DES (auch andere
ausprobiert), Port 22.

Zu dem "No supported authentication methods left to try" habe ich bei
Google einiges gefunden, viel nachgelesen, es half aber nichts.
Ausserdem habe ich in die folgenden Manuals reingesehen:
Intro_Command_Line_Admin_v10.6
Open_Directory_Admin_v10.5 (darauf wurde in dem anderen verwiesen).
Dort habe ich nichts gefunden, was weiterhilft.

Kai Surendorfs Werke MAC OS X und Unix / MAC OS X 10.5 Leopard - beide für Leopard,
was hier auch nicht hilft, denn dort funktioniert es.

Ich arbeite mit Host-Keys, die ich auch probeweise neu angelegt habe,
für rsa (dsa entsprechender Befehl):
ssh-keygen -f /etc/ssh_host_rsa_key -t rsa

Die ssh_config und sshd_config habe ich mir angesehen, ein kleiner Unterschied zu der Tiger:
Protocol ist nur noch 2, bei Tiger steht da 2,1 (1 soll abgeschafft werden).
also der Eintrag in sshd_config lautet:
Protocol 2
Und für die Hotkeys:
# HostKey for protocol version 1
#HostKey /etc/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh_host_rsa_key
HostKey /etc/ssh_host_dsa_key

Meine Vermutung für die Ursache geht in Richtung sandboxd, aber da habe ich nicht nur keine Ahnung,
wie ich das beeinflusse, sondern auch keine Doku.
Ein Hinweis in die richtige Richtung reicht mir wahrscheinlich.
Làngere Logs kann ich nachliefern, dann per Mail. Oder wenn ich einen anderen Log-Ausschnitt liefern soll.

Ich hoffe, jemand kann mir helfen. Danke!

Mfg,
Ingo Lembcke
 

Lesen sie die antworten

#1 Ingo Lembcke
08/09/2009 - 19:10 | Warnen spam
Hallo,

Ich hoffe, jemand kann mir helfen. Danke!



Tja, hilf dir selbst, sonst hilft dir keiner :-).

Ich habe das gerade nochmal auf Englisch zusammen geschrieben um das bei
Apple in ein Forum zu posten.
Dabei habe ich mir die /etc/sshd_config nochmal vorgenommen und ein paar
Änderungen durchgeführt. Danach funktionierte es mit Power Term Interconnect
vom Wyse Client. ZOC von OS/2 immer noch nicht, aber darauf kann ich
verzichten, dort lautet die FM: "Fail: Incompatible SSH-Server-Version".

Was da als default falsch gesetzt war, kann ich nicht sagen, evtl was ganz
simples. Da ich mehrere Parameter angepasst habe, weiss ich nicht, was
es letztendlich war, ohne nochmal zu analysieren. Wer will, kann die Datei
sshd_config als Mailanhang bekommen.

Mfg,
Ingo Lembcke
"Wàhrend man arbeitet, nützt es nichts, wenn
man am Leben ist." (André Breton - Nadja)

Ähnliche fragen