linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

SSH Login ohne Passwort

Angeheftet Linux

4 Beiträge 1 Kommentatoren 1.2k Aufrufe

F Offline
F Offline
FrankM
schrieb am zuletzt editiert von FrankM

#1
Wird Zeit das man den Artikel hier mal vernünftig macht, habe deswegen gestern drei Stunden verplempert, weil vermutlich wg. der Hitze, der Groschen nicht fallen wollte

Server

Installation des Dienstes
```
apt install openssh-server
```
In der Datei /etc/ssh/sshd_config wird der SSH-Dienst gesteuert. Die Zeile, die uns interessiert.
```
PermitRootLogin without-password
```
Was bedeutet das jetzt?
- without-password Der Passwort-Login für Root ist deaktiviert, dann kann man sich nur mittels SSH-Key einloggen, wenn dieser hinterlegt wurde.
PermitRootLogin
Specifies whether root can log in using ssh(1). The argument must be “yes”,
“without-password”, “forced-commands-only”, or “no”. The default is “yes”.

If this option is set to “without-password”, password authentication is disabled for
root.

If this option is set to “forced-commands-only”, root login with public key
authentication will be allowed, but only if the command option has been specified
(which may be useful for taking remote backups even if root login is normally not
allowed). All other authentication methods are disabled for root.

If this option is set to “no”, root is not allowed to log in.

Quelle: http://manpages.ubuntu.com/manpages/trusty/en/man5/sshd_config.5.html

Datei bearbeiten und dann den Dienst einmal neustarten
```
service sshd restart
```
oder
```
 /etc/init.d/ssh restart
```
Client

Wir erzeugen einen Key mit

RSA (veraltet)
```
ssh-keygen -t rsa -b 4096
```
ED25519
```
ssh-keygen -t ed25519
```
Dann kopieren wir diesen Key auf das Zielsystem. Das geht aber nur, wenn
```
PermitRootLogin yes
```
steht. Also vorher auf dem Server umstellen und den Dienst neu starten!

Key kopieren

RSA (veraltet)
```
cat .ssh/id_rsa.pub | ssh username@domain.com 'cat >> .ssh/authorized_keys'
```
ED25519
```
cat .ssh/id_ed25519.pub | ssh username@domain.com 'cat >> .ssh/authorized_keys'
```
Fertig!

Danach auf dem Server wieder auf
```
PermitRootLogin without-password
```
umstellen. Ganz wichtig!!
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0
F Offline
F Offline
FrankM
schrieb am zuletzt editiert von FrankM

#2
Wenn das mal nicht geht, ist der Ordner .ssh auf dem Ziel/Quelle nicht vorhanden.

Dann auf dem Ziel/Quelle
```
ssh-keygen -t rsa
```
ausführen, danach geht es.
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0
F Offline

F Offline
FrankM
schrieb am zuletzt editiert von

#3

Ich habe heute den Ursprungsbeitrag mal vernünftig aktualisiert, weil ich gestern drei Stunden bei dem Testen von sshfs verplempert habe. Zu sshfs kommt auch noch ein Beitrag
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0

FrankM

schrieb am

Wie ihr ja wisst, benutze ich das Forum hier auch gerne als Notizbuch Also mal wieder was hier notieren. Mein Windows Systemadmin sagte mir heute, das es auch folgendes gibt

# ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (/root/.ssh/id_ed25519): /tmp/ed
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /tmp/ed
Your public key has been saved in /tmp/ed.pub
The key fingerprint is:
SHA256:D33HCTW7Dy0p5kQdFTkPudx1PQh0EHFgkBvxy8KwhGM root@frank-ms7c92
The key's randomart image is:
+--[ED25519 256]--+
|         o=O*o=+=|
|      .  oo o+oB+|
|     E o  o.o.o+*|
|    . o +o...oo=o|
|       .So.o= O .|
|         o.= o + |
|          . .   .|
|                 |
|                 |
+----[SHA256]-----+

Der Key liegt nur in /tmp kopieren lohnt also nicht

Ob das jetzt die Zukunft ist, kann ich nicht beantworten. Ich wollte es aber hier mal festhalten, weil es wohl mittlerweile auch von vielen Projekten benutzt wird.

ssh-keygen - Wikipedia

(en.wikipedia.org)

F FrankM hat am auf dieses Thema verwiesen

F

Update 1.32.5 - Security Fixes!
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Vaultwarden vaultwarden linux
1

0 Stimmen

1 Beiträge

63 Aufrufe

Niemand hat geantwortet
F

Restic v0.16.1 released
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Restic restic linux
1

0 Stimmen

1 Beiträge

118 Aufrufe

Niemand hat geantwortet
F

FrOSCon 18 - Bericht
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux froscon linux
2

0 Stimmen

2 Beiträge

541 Aufrufe

F

Und man soll ja auch was mitnehmen....

Screenshot_20230809_194620.png

Das ist Semaphore, installiert in einer VM auf meinem Proxmox.
F

NodeBB - 2.8.13 & 3.1.3 Security Release
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb linux
1

0 Stimmen

1 Beiträge

59 Aufrufe

Niemand hat geantwortet
F

ZFS - Wichtige Befehle
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux zfs linux
2

0 Stimmen

2 Beiträge

613 Aufrufe

F

Unter dem Beitrag sammel ich mal ein paar Beispiele, für mich zum Nachlesen 🙂

Den Anfang macht die
ZFS-Replication
Ich hatte Am Anfang ein wenig Verständnisprobleme, bis es klar war, das diese Replication von Pool zu Pool funktioniert. Also brauchen wir zwei vorhandene ZFS-Pools.
root@pbs:/mnt/datastore/datapool/test# zfs list NAME USED AVAIL REFER MOUNTPOINT Backup_Home 222G 677G 222G /mnt/datastore/Backup_Home datapool 2.36G 1.75T 2.36G /mnt/datastore/datapool
Wir erzeugen ein Dataset im datapool
zfs create datapool/docs -o mountpoint=/docs
Wir erzeugen eine Datei mit Inhalt
echo "version 1" > /docs/data.txt
Wir erzeugen einen Snapshot
zfs snapshot datapool/docs@today
Kontrolle
root@pbs:/mnt/datastore/datapool/test# zfs list -t snapshot NAME USED AVAIL REFER MOUNTPOINT datapool/docs@today 0B - 96K -
Wir replizieren den vorhandenen Snapshot zum ZFS-Pool Backup_Home und speichern ihn da im Dataset test.
zfs send datapool/docs@today | zfs receive Backup_Home/test
Nun befinden sich die Daten in dem anderen ZFS-Pool
root@pbs:/mnt/datastore/datapool/test# ls /mnt/datastore/Backup_Home/test/ data.txt
Und was mich am meisten interessiert, ist wie man das zu einem anderen Server schickt 😉
zfs send datapool/docs@today | ssh otherserver zfs receive backuppool/backup
Den Test reiche ich dann später nach.

Quelle: https://www.howtoforge.com/tutorial/how-to-use-snapshots-clones-and-replication-in-zfs-on-linux/
ZFS inkrementelle Replication
Als, nur die geänderten Daten senden!

Wir erzeugen ein paar Dateien
root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data1.txt root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data2.txt root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data3.txt root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data4.txt
Neuer Snapshot
zfs snapshot datapool/docs@17:02
Liste der Snapshots
root@pbs:/mnt/datastore/datapool/test# zfs list -t snapshot NAME USED AVAIL REFER MOUNTPOINT datapool/docs@today 56K - 96K - datapool/docs@17:02 0B - 112K -
Wir senden dieinkrementelle Replication
zfs send -vi datapool/docs@today datapool/docs@17:02 | zfs receive Backup_Home/test send from datapool/docs@today to datapool/docs@17:02 estimated size is 38.6K total estimated size is 38.6K cannot receive incremental stream: destination Backup_Home/test has been modified since most recent snapshot
Dazu schreibt die Anleitung, die ich unten verlinkt habe, das die Daten verändert wurden. Warum, verstehe ich aktuell noch nicht. Mit -F im send Befehl erzwingt man einen Rollback zum letzten Snapshot.
zfs send -vi datapool/docs@today datapool/docs@17:02 | zfs receive -F Backup_Home/test send from datapool/docs@today to datapool/docs@17:02 estimated size is 38.6K total estimated size is 38.6K
Und Kontrolle
ls /mnt/datastore/Backup_Home/test/ data1.txt data2.txt data3.txt data4.txt data.txt
Quelle: https://klarasystems.com/articles/introduction-to-zfs-replication/
F

Debian 11 Bullseye released!
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux debian linux
4

0 Stimmen

4 Beiträge

296 Aufrufe

F

Mein Systemadmin auf der Arbeit meinte heute, angesprochen auf das Problem, läuft der Network-Manager? Ok, gute Frage...... Schauen wir mal.

Ich bin mir leider nicht 100% sicher, ob er vor meinem Eingreifen lief, ich denke aber schon. Warum ich unsicher bin?
root@debian:~# systemctl enable systemd-networkd.service Created symlink /etc/systemd/system/dbus-org.freedesktop.network1.service → /lib/systemd/system/systemd-networkd.service. Created symlink /etc/systemd/system/multi-user.target.wants/systemd-networkd.service → /lib/systemd/system/systemd-networkd.service. Created symlink /etc/systemd/system/sockets.target.wants/systemd-networkd.socket → /lib/systemd/system/systemd-networkd.socket. Created symlink /etc/systemd/system/network-online.target.wants/systemd-networkd-wait-online.service → /lib/systemd/system/systemd-networkd-wait-online.service.
Ok, danach
root@debian:~# systemctl start systemd-networkd.service root@debian:~# systemctl status systemd-networkd.service ● systemd-networkd.service - Network Service Loaded: loaded (/lib/systemd/system/systemd-networkd.service; enabled; ven> Active: active (running) since Tue 2021-08-17 17:36:38 CEST; 6s ago TriggeredBy: ● systemd-networkd.socket Docs: man:systemd-networkd.service(8) Main PID: 1288 (systemd-network) Status: "Processing requests..." Tasks: 1 (limit: 19087) Memory: 3.9M CPU: 39ms CGroup: /system.slice/systemd-networkd.service └─1288 /lib/systemd/systemd-networkd Aug 17 17:36:38 debian systemd[1]: Starting Network Service... Aug 17 17:36:38 debian systemd-networkd[1288]: enp25s0: Gained IPv6LL Aug 17 17:36:38 debian systemd-networkd[1288]: Enumeration completed Aug 17 17:36:38 debian systemd[1]: Started Network Service.
Danach ging immer noch nix.
root@debian:/etc/network# ^C root@debian:/etc/network# nmcli device show GENERAL.DEVICE: wlx7cdd907cbec2 GENERAL.TYPE: wifi GENERAL.HWADDR: BA:59:C0:76:C7:F5 GENERAL.MTU: 1500 GENERAL.STATE: 20 (nicht verfügbar) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- GENERAL.DEVICE: enp25s0 GENERAL.TYPE: ethernet GENERAL.HWADDR: 30:9C:23:60:C6:8E GENERAL.MTU: 1500 GENERAL.STATE: 10 (nicht verwaltet) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- WIRED-PROPERTIES.CARRIER: an IP4.ADDRESS[1]: 192.168.3.169/24 IP4.GATEWAY: 192.168.3.1 IP4.ROUTE[1]: dst = 192.168.3.0/24, nh = 0.0.0.0, mt = 0 IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 192.168.3.1, mt = 0 IP6.ADDRESS[1]: 2a02:908:1260:13bc:329c:23ff:xxxx:xxxx/64 IP6.ADDRESS[2]: fd8a:6ff:2880:0:329c:23ff:fe60:c68e/64 IP6.ADDRESS[3]: fe80::329c:23ff:fe60:c68e/64 IP6.GATEWAY: fe80::e4d3:f0ff:fe8f:2354 IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 256 IP6.ROUTE[2]: dst = ::/0, nh = fe80::e4d3:f0ff:fe8f:2354, mt = 1024 IP6.ROUTE[3]: dst = 2a02:908:xxxx:xxxx::/64, nh = ::, mt = 256 IP6.ROUTE[4]: dst = fd8a:6ff:2880::/64, nh = ::, mt = 256
Jetzt hatte ich das erste Mal einen Ansatz, wonach ich suchen musste.
GENERAL.STATE: 10 (nicht verwaltet)
Etwas Suche im Netz und dann das
nano /etc/NetworkManager/NetworkManager.conf
Inhalt der Datei
[main] plugins=ifupdown,keyfile [ifupdown] managed=false
Das false in true geändert. Danach ein
systemctl restart NetworkManager
und ich konnte den Network-Manager auf dem Desktop benutzen!?!?!?

Bildschirmfoto vom 2021-08-17 18-07-25.png

Irgendwas ist da durcheinander im Bullseye 😳
F

Kopia - Administrative Aufgaben
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Kopia kopia linux
1

0 Stimmen

1 Beiträge

259 Aufrufe

Niemand hat geantwortet
F

Wireguard 1.0.0
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Wireguard linux wireguard
1

0 Stimmen

1 Beiträge

262 Aufrufe

Niemand hat geantwortet

linux-nerds.org

SSH Login ohne Passwort

Server

Client

RSA (veraltet)

ED25519

RSA (veraltet)

ED25519