ssh-Verbindungsproblem

12/06/2012 - 16:34 von Werner Flamme | Report spam
Hallo miteinander,

ich versuche, ssh-Anmeldung mit Keys hinzubekommen. Der eine Host (D)
ist ein Datenbank-, der andere (A) ein Applikationsserver.

D làuft mit Oracle Linux 6, A mit SLES 11 SP1.

Als User U komme ich per ssh-Key von D nach A. Ich will jetzt mit dem
gleichen Usernamen von A nach D. Aber die Hosts wollen nicht:

schnipp
OpenSSH_5.1p1, OpenSSL 0.9.8j-fips 07 Jan 2009
debug1: Reading configuration data /home/user1/.ssh/config
debug1: Applying options for datenD
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to datenD [a.b.c.d] port 22.
debug1: Connection established.
debug3: Not a RSA1 key file /home/user1/.ssh/id_dsa_appliA.
debug2: key_type_from_name: unknown key type '--BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
[mehrmals]
debug2: key_type_from_name: unknown key type '--END'
debug3: key_read: missing keytype
debug1: identity file /home/user1/.ssh/id_dsa_appliA type 2
debug3: Not a RSA1 key file /home/user1/.ssh/id_rsa_appliA.
debug2: key_type_from_name: unknown key type '--BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
[mehrmals]
debug2: key_type_from_name: unknown key type '--END'
debug3: key_read: missing keytype
debug1: identity file /home/user1/.ssh/id_rsa_appliA type 1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.1
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit:
diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit:
diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit:
aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 111/256
debug2: bits set: 527/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/user1/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 16
debug3: check_host_in_hostfile: filename /home/user1/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 16
debug1: Host 'datenD' is known and matches the RSA host key.
debug1: Found key in /home/user1/.ssh/known_hosts:16
debug2: bits set: 492/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/user1/.ssh/id_dsa_appliA (0x7fe1a45694b0)
debug2: key: /home/user1/.ssh/id_rsa_appliA (0x7fe1a4563d60)
debug3: input_userauth_banner

Jeglicher Zugriff darf nur durch authorisiertes Personal erfolgen. Ein
nicht authorisierter Zugriff auf den Server wird
disziplinarisch/strafrechtlich verfolgt!


debug1: Authentications that can continue:
publickey,gssapi-keyex,gssapi-with-mic,password
debug3: start over, passed a different list
publickey,gssapi-keyex,gssapi-with-mic,password
debug3: preferred publickey,keyboard-interactive
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user1/.ssh/id_dsa_appliA
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue:
publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Offering public key: /home/user1/.ssh/id_rsa_appliA
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue:
publickey,gssapi-keyex,gssapi-with-mic,password
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
schnapp

Auf datenD sehe ich nur, dass die Verbindung durch appliA getrennt wurde.

Die "key_read: missing whitespace" halte ich hier für irrelevant, weil
ich von zwei Applikationsservern aus auf den DB-Server komme, von zwei
anderen aber nicht. Auf den zweiten DB-Server komme ich von allen
Applikationsservern ohne Probleme.

Dass die Dateien in ~/.ssh auf 0600 stehen (außer den Public Keys), habe
ich geprüft. Sie gehören auch alle dem richtigen User.

Ich habe wechselseitig die Keys aus den known_hosts gelöscht, die
Verbindung neu hergestellt, um sicher zu sein, dass die aktuellen
Schlüssel da sind. Keine Änderung.

Weglassen des command="..." in der Datei ~/.ssh/authorized_keys hat auch
keine Änderung gebracht.

Worauf muss ich noch sehen? Ich habe ja zwei Hosts, bei denen es klappt,
aber ich weiß nicht warum...

Ein "verbose"-Flag sehe ich beim sshd nicht, nur -d. Weil da aber nur
noch 1 Verbindung akzeptiert wird, möchte ich das ungern tun und den
DB-Server damit lahmlegen...

Gruß
Werner

 

Lesen sie die antworten

#1 Marc Haber
12/06/2012 - 19:43 | Warnen spam
Werner Flamme wrote:
debug1: Connection established.
debug3: Not a RSA1 key file /home/user1/.ssh/id_dsa_appliA.
debug2: key_type_from_name: unknown key type '--BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace



Irgendwas passt dem ssh-client nicht am private key.

debug1: Offering public key: /home/user1/.ssh/id_dsa_appliA



id_dsa_appliA oder id_dsa_appliaA.pub?

Wie sehen die .ssh/config aus?

Ein "verbose"-Flag sehe ich beim sshd nicht, nur -d. Weil da aber nur
noch 1 Verbindung akzeptiert wird, möchte ich das ungern tun und den
DB-Server damit lahmlegen...



nimm einen anderen port für den Test und lass den ungedebuggten Server
unveràndert laufen.

Grüße
Marc
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Ähnliche fragen