[Eisfair] [E64]: openssh login-Problem

Rolf Bensch azubi at bensch-net.de
Mo Jan 4 19:06:34 CET 2021 

Hallo Marcus,

Am 04.01.21 um 17:05 schrieb Marcus Röckrath:
> Hallo Rolf,
> 
> Rolf Bensch wrote:
> 
>> bisher hatte es immer funktioniert mit dem Handy (Android) per sftp aus
>> den Eis zuzugreifen. Verwendet wurde Key-Authentifizierung. Das klappt
>> plötzlich nicht mehr, auf dem Server gibt's folgende Fehlermeldung:
>>
>> Jan  4 15:51:07 eis64-2 sshd[8650]: Received disconnect from
>> 93.209.202.8 port 42966:11: Normal Shutdown [preauth]
>> Jan  4 15:51:07 eis64-2 sshd[8650]: Disconnected from authenticating
>> user rolf 93.209.202.8 port 42966 [preauth]
>>
>> Alle anderen Clients können mit dem gleichen Key problemlos connecten.
> 
> Mir ist an dieser Stelle der Gebrauch des Authentifizierungsschlüssels nicht
> klar.
> 
> Wieso benutzen mehrere Clients den gleichen Key, um sich als user at server zu
> authentifizieren? Wo kommt dieser Schlüseel her, wo wurde er von wem
> erzeugt?

Das Schlüsselpaar (RSA/4096) wurde (vor langer Zeit) auf dem Eis für den 
User erzeugt. Jeder User kann den Key auf beliebigen Endgeräten nutzen. 
Das funktioniert seit vielen Jahren so, aktuell nur auf dem Handy nicht 
mehr.

> Wie in https://web.nettworks.org/wiki/pages/viewpage.action?pageId=23330938
> beschrieben, erzeugt sich der User, der einen anderen Server kontaktieren
> will ein persönliches Schlüsselpärchen.
> 
> Dieses macht der User üblicherweise auf jedem seiner Endgeräte, von denen er
> aus eine Verbindung zum Server aufbauen will.
> 
> Der public-Part dieses Schlüsselpärchens "übermittelt" man dem User auf dem
> Server, mit dessen Account man sich connecten möchte. Dies geschieht durch
> eintragen des Schlüssels in die $HOME/<user>/.ssh/authorized_keys
> bze. /root/.ssh/authorized_keys Datei des Users, mit dem man sich auf dem
> Server connected.

Ich denke, ich weiß wie man ein Schlüsselpärchen erzeugt und verwendet.

>> Testweise habe ich SSH_PASSWDAUTH aktiviert, das funktioniert soweit,
>> möchte ich aber nicht aktiviert lassen. Also habe ich debug1 aktiviert:
> 
> An den globalen Verbindungseinstellungen wie hier
> https://web.nettworks.org/wiki/pages/viewpage.action?pageId=23330858
> beschrieben, liegt es dann wohl nicht.

Woraus schließt Du das? Ich vermute gerade hier das Problem - auch wenn 
ich nicht mit dem Finger drauf zeigen kann. Sind die Verschlüsselungen 
nur für die laufende Verbindung relevant und nicht für den Key?

>> Seit der letzten Nutzung habe ich sicherlich mehrere Updates auf dem
>> Client und Server durchgeführt, so kann ich aktuell nicht sagen, wie
>> lange das schon nicht mehr funktioniert. An der Client-App (CX Datei
>> Explorer) liegt es m.E. nicht, weil das Problem auch beim ssh-Login mit
>> Termius vorhanden ist.
> 
> Was für ein Typ Schlüssel ist es? dsa, rsa, ecdsa oder ed25519?
> 
> Dein Debug sieht nach rsa aus, was in Ordnung sein dürfte; dsa funktioniert
> wohl aus Sicherheitsgründen oft nicht mehr.
> 

Habe gerade auf dem Handy mit ConnectBot ein neues Schlüsselpärchen 
erstellt (RSA/2048) und verteilt. Auch damit baut das Handy keine 
Verbindung auf (gleiche Fehlermeldung). Das Pärchen habe ich dann mit 
einem anderen Endgerät getestet -> keine Probleme.

Ich vermute, dass dem ssh-Stack auf dem Handy aktuell irgendwas fehlt 
und, weil man auf dem Handy außer Updates schlecht nachsteuern kann, 
hatte ich die Hoffnung, dass auf dem Server etwas machbar wäre.

Grüße Rolf

Mehr Informationen über die Mailingliste Eisfair