linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

sign_and_send_pubkey: signing failed: agent refused operation

Linux

1 Beiträge 1 Kommentatoren 779 Aufrufe

F Offline
F Offline
FrankM
schrieb am zuletzt editiert von FrankM

#1
Ich bekomme auf einigen Servern wo ich mich einloggen will immer folgende Meldung.

sign_and_send_pubkey: signing failed: agent refused operation

Eine Suche im Netz ergab dann, das man folgenden Befehl eingeben soll, also auf dem Rechner wo das Keyfile liegt.
```
ssh-add
```
Das bringt mir dann folgende Meldung
```
frank@frank-MS-7A34:~$ ssh-add
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for '/home/frank/.ssh/id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
```
Und endlich, jetzt klingelt es Da ich meinen Haupt-PC vollständig neu installiert habe, benutze ich eine Kopie von
```
/home/frank/.ssh/id_rsa
```
Und dieses File hat die falschen Benutzerrechte.
```
 -rwxrwxrwx  1 frank frank   397 Okt 25  2014 id_rsa.pub
```
Kurz auf 700 einstellen
```
frank@frank-MS-7A34:~$ chmod 700 /home/frank/.ssh/id_rsa
```
Fertig! Funktioniert!

Ein ls-la /home/frank/.ssh/ ergibt folgendes
```
-rwx------  1 frank frank  1766 Okt 25  2014 id_rsa
```
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0

F

Crowdsec - Ein fail2ban Ersatz?
Geplant Angeheftet Gesperrt Verschoben Linux crowdsec linux fail2ban
2

0 Stimmen

2 Beiträge

493 Aufrufe

F

Ich kann jetzt hier von meiner ersten Erfahrung berichten und wie CrowdSec mich gebannt hat 🙂

Was war passiert? Ich war gestern sehr intensiv mit der Konfiguration von Nextcloud <-> Collabora Online beschäftigt. Nachdem ich irgendwie nicht weiterkam habe ich mich der Erstellung eines Dokumentes gewidmet. Nach einiger Zeit war die Nextcloud nicht mehr erreichbar.

Ok, hatte ich bei der Konfiguration auch schon mal, den Server einmal neugestartet und fertig. Doch jetzt kam es, Server neugestartet - hilft nicht. Gut, schauen wir mal nach, Der SSH Login ging auch nicht 😞

Jetzt war guter Rat gefragt. Zu diesem Zeitpunkt ging ich noch davon aus, das auf diesem Server kein CrowdSec installiert war, sondern fail2ban. Und fail2ban hatte eine sehr kurze Bantime vom 10M.

Also blieb wohl nur noch das Rescue System von Hetzner.

488866bc-3dcf-4abc-9e98-6107d65aa4c7-grafik.png

Da hatte ich ja so gut wie gar keine Erfahrung mit. Also mal kurz den Nico angetriggert und es kam folgender Link.

Link Preview Image Hetzner Rescue-System - Hetzner Docs
favicon
(docs.hetzner.com)

Das Laufwerk war schnell bestimmt und schnell nach /tmp gemountet. Danach musste man sich noch mit chroot in diese Umgebung anmelden.
chroot-prepare /mnt chroot /mnt
Nachdem das klappte, habe ich eben fail2ban disabled.
sysmctl disable fail2ban
Danach das Rescue beendet. Der Server startete wieder und ich kam wieder per SSH drauf. Puuh.
Bei meiner ersten Kontrolle fiel mir was auf
root@:~# pstree systemd─┬─2*[agetty] ├─atd ├─cron ├─crowdsec─┬─journalctl │ └─8*[{crowdsec}] ├─crowdsec-firewa───9*[{crowdsec-firewa}]
Wie? Da läuft CrowdSec? Da ich dabei bin die Server auf CrowdSec umzustellen, war das wohl hier schon gemacht, aber leider nicht vernünftig. fail2ban hätte mindestens disabled werden müssen und in meiner Dokumentation war das auch nicht enthalten. 6 setzen!

CrowdSec besteht ja aus zwei Diensten, CrowdSec und dem Firewall-Bouncer. Der CrowdSec Dienst lief aber nicht, der war irgendwie failed. Ok, starten wir ihn und schauen was passiert. Nachdem er gestarte war mal die Banliste angeschaut.
cscli decisions list
ergab diesen Eintrag.
2551501 │ crowdsec │ Ip:5.146.xxx.xxx │ crowdsecurity/http-crawl-non_statics │ ban │ │ │ 53 │ 1h5m55.391864693s │ 1671
Meine IP war gebannt. Dann wissen wir ja , woher die Probleme kamen.
cscli decisions delete --id 2551501
Nach Eingabe war der Ban entfernt. Na gut, aber da ich aktuell immer noch an der richtigen Konfiguration von NC <-> CODE bastel, könnte das ja wieder passieren. Was machen? Kurz gegoogelt. Es gibt eine Whitelist. Aha!

/etc/crowdsec/parsers/s02-enrich/whitelists.yaml
name: crowdsecurity/whitelists description: "Whitelist events from private ipv4 addresses" whitelist: reason: "private ipv4/ipv6 ip/ranges" ip: - "127.0.0.1" - "::1" - "5.146.XXX.XXX" cidr: - "192.168.0.0/16" - "10.0.0.0/8" - "172.16.0.0/12" # expression: # - "'foo.com' in evt.Meta.source_ip.reverse"
Danach den Dienst neustarten. Jetzt hoffen wir mal, das es hilft.

Zum Schluss noch was, was mir aufgefallen war und was mich auch sehr verwirrt hatte. CrowdSec hatte wegen einem crowdsecurity/http-crawl-non_statics gebannt. Dadurch konnte ich meine
subdomain.<DOMAIN> nicht erreichen. Ok, logisch, wenn der Ban von da ausgeht. Ich konnte aber gleichzeitig eine andere subdomain mit derselben <DOMAIN> auch nicht erreichen. Komplett verwirrte es mich dann, als ich eine andere <DOMAIN> auf dem selben Server erreichen konnte. Und zum Schluss ging auch der SSH nicht.

Also, wieder viel gelernt.. 🤓
F

NAS 2023 - Thema Datensicherung
Geplant Angeheftet Gesperrt Verschoben Linux proxmox linux
2

0 Stimmen

2 Beiträge

119 Aufrufe

F

Bleibt noch etwas wichtiges. Die ganzen Konfigurationsdateien vom Proxmox Host. Sinnvoll, das man sich das sichert.
#!/bin/bash # Script um mit Restic Daten automatisiert zu sichern! # Dient zum Sichern des Ordners /etc/pve! # Was soll gesichert werden? backup_pfad=/etc/pve # Programm Start restic --password-file /root/passwd -r /mnt/pve/Restic_Backups/pve backup $backup_pfad > backup_pve_001.log restic --password-file /root/passwd -r /mnt/pve/Restic_Backups/pve forget --keep-last 3 --keep-monthly 3 --prune >> backup_pve_002.log # Testen restic --password-file /root/passwd -r /mnt/pve/Restic_Backups/pve check --read-data >> backup_pve_003.log
Crontab eingerichtet - fertig!
F

LUKS Key Derivation Function
Geplant Angeheftet Gesperrt Verschoben Linux luks linux
1

0 Stimmen

1 Beiträge

52 Aufrufe

Niemand hat geantwortet
F

checkmk - Agent auf einem Debian Buster Server installieren
Geplant Angeheftet Gesperrt Verschoben checkmk checkmk linux
1

0 Stimmen

1 Beiträge

528 Aufrufe

Niemand hat geantwortet
F

Rest-Server
Geplant Angeheftet Gesperrt Verschoben Restic rest-server linux restic
8

0 Stimmen

8 Beiträge

529 Aufrufe

F

Dann mal eben ausprobiert. Auf meinem Server war die Version 0.9.7 selber, mit go, gebaut. Dann mache ich das auch mit der v0.10.0 so. Aber bevor ich anfange, wird die v0.9.7 gesichert.
mv /usr/local/bin/rest-server /usr/local/bin/rest-server_0_9_7
So erspare ich mir im Problemfall das selber bauen.

Ok, dann die neue Version bauen.
git clone https://github.com/restic/rest-server.git cd rest-server go run build.go
Danach befindet sich im Verzeichnis die Binärdatei rest-server

Die kopieren wir jetzt
cp rest-server /usr/local/bin
Danach kurzer Test
# rest-server --version rest-server 0.10.0 (v0.10.0-6-g037fe06) compiled with go1.11.6 on linux/amd64
Gut Version passt 🙂

Dann ein Backup gestartet. Das sichert einen Teil meines Home-Verzeichnis
Files: 153 new, 100 changed, 177857 unmodified Dirs: 0 new, 1 changed, 0 unmodified Added to the repo: 81.881 MiB processed 178110 files, 80.571 GiB in 0:28 snapshot 607e0027 saved Applying Policy: keep the last 3 snapshots, 3 monthly snapshots keep 5 snapshots: ID Time Host Tags Reasons Paths --------------------------------------------------------------------------------------- fa97890e 2020-07-25 21:02:05 frank-XXX monthly snapshot /home/frank 5b073bbb 2020-08-30 10:17:27 frank-XXX monthly snapshot /home/frank f7cf37ef 2020-09-06 15:13:03 frank-XXX last snapshot /home/frank 0157462c 2020-09-13 13:32:12 frank-XXX last snapshot /home/frank 607e0027 2020-09-14 08:09:34 frank-XXX last snapshot /home/frank monthly snapshot --------------------------------------------------------------------------------------- 5 snapshots remove 1 snapshots: ID Time Host Tags Paths --------------------------------------------------------------------- 3010b7cc 2020-09-06 11:39:27 frank-XXX /home/frank --------------------------------------------------------------------- 1 snapshots 1 snapshots have been removed, running prune counting files in repo building new index for repo [1:34] 100.00% 17351 / 17351 packs
So weit funktioniert das genau wie vorher. Im Changelog stand ja was von Subfoldern. Das betrifft mich nicht, weil ich für jeden User genau ein Verzeichnis habe.

So mit alles Gut 🙂 Dann warte ich mal morgen ab, ob die täglichen Backups der Server rund laufen.
F

SSH sign_and_send_pubkey: signing failed: agent refused operation
Geplant Angeheftet Gesperrt Verschoben Linux linux
1

1 Stimmen

1 Beiträge

204 Aufrufe

Niemand hat geantwortet
F

checkmk - Agent installieren
Geplant Angeheftet Gesperrt Verschoben checkmk checkmk linux
1

0 Stimmen

1 Beiträge

2k Aufrufe

Niemand hat geantwortet
F

Let'sEncrypt auf Debian-Server einbauen
Geplant Angeheftet Gesperrt Verschoben Let's Encrypt letsencrypt linux
1

0 Stimmen

1 Beiträge

774 Aufrufe

Niemand hat geantwortet