Kan man inte använda samma id_rsa.pub för att logga in på två konton på samma server?

Trädvy Permalänk
Medlem
Registrerad
Aug 2011

Kan man inte använda samma id_rsa.pub för att logga in på två konton på samma server?

Har satt upp en freenas och loggar in med SSH som root@'freenas' och det funkar bra. Jag har stängt av all inloggning med lösenord för alla användare. Nu vill jag skapa en användare till, och trodde jag skulle kunna använda samma nyckelpar för denna användare. Jag använder ju samma på en massa olika servrar i olika sammanhang. Men freenas vill inte ta emot inloggningen. ("Permission denied (publickey)")

Är det i freenas jag måste leta efter felet, eller handlar det helt enkelt om att man av nån anledning inte kan använda samma id_rsa.pub för två olika användare på samma server?

Filen kopierades över i båda fallen med ssh-copy-id... och har hamnat i authorized_keys.

Trädvy Permalänk
Medlem
Plats
Östersund
Registrerad
Jan 2011

Det ska så vitt jag vet inte vara några problem. Så länge det inte är något särskilt med freenas..

CPU: i7 4770k Noctua NH-D14 MOBO: Maximus VI Hero GPU: GTX 980 RAM: 16 GB 1600 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G500s V.v. citera mig för att få svar.

Trädvy Permalänk
Medlem
Registrerad
Jul 2017

Har du lagt till den nya användaren i AllowUsers ?

Trädvy Permalänk
Medlem
Registrerad
Aug 2011
Skrivet av JeanC:

Har du lagt till den nya användaren i AllowUsers ?

Nej, det tror jag inte. Var skulle jag göra det? Försöker googla "freenas allowusers" men får inga bra träffar...

Och varför, jag behövde ju inte göra nåt sånt (vad jag minns) när jag konfigurerade root-kontot för ssh.

EDIT: okej du syftar på min lokala /etc/ssh/sshd_config file? Jag gissar att det inte behövs för när jag skickar iväg mitt kommando för att logga in så startar processen och "söker av" handskakning etc. Får en ganska lång logfil med --verbose flaggan innan felmeddelandet kommer upp.

Trädvy Permalänk
Medlem
Registrerad
Aug 2011

Dec 8 22:19:51 FreeNAS sshd[18513]: Authentication refused: bad ownership or modes for file /mnt/TANK/home/testuser/.ssh/authorized_keys Dec 8 22:47:19 FreeNAS sshd[21832]: Authentication refused: bad ownership or modes for file /mnt/TANK/home/testuser/.ssh/authorized_keys Dec 8 22:51:49 FreeNAS sshd[22251]: Authentication refused: bad ownership or modes for file /mnt/TANK/home/testuser/.ssh/authorized_keys Dec 8 22:54:28 FreeNAS sshd[22557]: Authentication refused: bad ownership or modes for file /mnt/TANK/home/testuser/.ssh/authorized_keys

Okej, nu vet jag i alla fall var felet ligger...

Trädvy Permalänk
Hedersmedlem
Plats
Uppsala
Registrerad
Jul 2001

Har du löst det?
Om inte så bör det lösa sig med t ex
sudo chown -R testuser ~testuser/.ssh
sudo chmod 600 ~testuser/.ssh/*

Edit: Oops. Om du körde det jag skrev INNAN, så bör du nog lägga till
sudo chmod 700 ~testuser/.ssh
också, så att mappen får rätt permissions.

X370 Taichi / R7 1700 @ 3.75 GHz 1.2 V / 2x8 GB 3200 MHz CL16 / MSI GTX 1070 Gaming, OC / Samsung 960 EVO 500 GB / Corsair RM650x
LG G6 (H870)

Trädvy Permalänk
Medlem
Registrerad
Aug 2011
Skrivet av Thomas:

Har du löst det?
Om inte så bör det lösa sig med t ex
sudo chown -R testuser ~testuser/.ssh
sudo chmod 600 ~testuser/.ssh/*

Edit: Oops. Om du körde det jag skrev INNAN, så bör du nog lägga till
sudo chmod 700 ~testuser/.ssh
också, så att mappen får rätt permissions.

Tack för svaret! Jag är lite anal och vill ogärna ändra i onödan (för det riskerar att bli plottrigt och jag glömmer ofta ändra tillbaka, etc) så jag hoppas du inte misstycker att jag ställer en fråga - till alla som vill svara - utan att testa dina permissions först:

I nuläget har både mappen .ssh och filen .ssh/authorized_keys 775 permissions (rwxrwxr-x) och ägare samt grupp är redan testuser. Så de existerande permissions torde ju vara mer tillåtande än nödvändigt. Kan det det bli fel med för tillåtande permissions?

FYI, hela sökvägen är /mnt/TANK/home/testuser, och allt utom /mnt har testuser som ägare och grupp och 775. /mnt ägs av root.

Trädvy Permalänk
Hedersmedlem
Plats
Uppsala
Registrerad
Jul 2001
Skrivet av pigge_85:

I nuläget har både mappen .ssh och filen .ssh/authorized_keys 775 permissions (rwxrwxr-x) och ägare samt grupp är redan testuser. Så de existerande permissions torde ju vara mer tillåtande än nödvändigt. Kan det det bli fel med för tillåtande permissions?

FYI, hela sökvägen är /mnt/TANK/home/testuser, och allt utom /mnt har testuser som ägare och grupp och 775. /mnt ägs av root.

Ja, det där är en extremt stor säkerhetsrisk. ALLA användare (och därmed program som ev. webbservers och liknande) på systemet kan läsa alla dina filer, inklusive den privata nyckeln -- som ju ger root-access, till och med!
Säg att någon hittar ett säkerhetshål i ett program som körs på datorn, som ger tillgång till att läsa filer på disken. Med dina nuvarande inställningar kan de rota sig fram till .ssh-mappen, ta din privata nyckel, och logga in på datorn som root.

Filer i ~/.ssh ska alltid ha permissions 600 (rw-------) och rätt ägare. OpenSSH klagar om andra användare har rätt att läsa de filerna, av säkerhetsskäl.

Mapparna /mnt, /mnt/TANK och /mnt/TANK/home bör ha ägare root och permissions 755, medan mappen /mnt/TANK/home/testuser bör ha permissions 700 och ägare testuser (om inte andra users av någon anledning ska ha tillgång -- isåfall kanske 750 eller 770 -- att ge alla tillgång är väl knappast att rekommendera).

X370 Taichi / R7 1700 @ 3.75 GHz 1.2 V / 2x8 GB 3200 MHz CL16 / MSI GTX 1070 Gaming, OC / Samsung 960 EVO 500 GB / Corsair RM650x
LG G6 (H870)

Trädvy Permalänk
Medlem
Registrerad
Aug 2011
Skrivet av Thomas:

Åh, schysst att bli varnad för att det är för tillåtande!

Jag anade att permissions var lite generösa men har än så länge valt att köra på de permissions som FreeNAS sätter och se till att det funkar innan jag börjar finslipa permissions. (Än så länge är servern inte öppen mot internet.)

Har en stor överföring med rsync i testusers namn just nu så jag kan inte koppla bort hans lösenordsaccess än, men när den är klar om nån timme så ska jag ändra permissions enligt ovan och testa igen.

Trädvy Permalänk
Medlem
Registrerad
Aug 2011

SUCCESS!! Tack för hjälpen @Thomas

Fan van bökigt det var!
Lyckades efter mycket om och men ändra permissions till rwx------ på .ssh-mappen och rw------- på authorized_keys. Var tvungen att göra det via Windows för Freenas commandline tillåter tydligen inte sånt när datasetet är skapat som Windows kompatibelt. (Fattar inte varför)

Först funkade det inte men nu klagade logfilen på fel permission på /mnt/TANK/testuser så då gav jag den 700 också (från Windows förstås! ), och pang så var jag inne!

Men allvarligt, börjar misströsta lite angående freeNAS. Trodde jag skulle klara det lättare nu när jag börjat bli haj på Linux, men sharing som ska vara åtkomlig från Windows gör allt till ett rent helsike. Yikes!