Jump to content
  • 0

Изключване на SSH password authentication


Philip Petev

Question

Philip Petev

Здравейте

Има ли начин да се изключи напълно удостоверяването през SSH с парола и да остане само удостоверяването с двойката публичен/частен ключ? След като импортирах ключ на админа (RB951G-2HnD с RouterOS 6.20), вече ми дъни грешка когато опитам да се логна без ключа (както и трябва да е принципно), но самия метод все още е активен, а е добре да се изключи, защото без него всички brute force атаки през SSH стават безпредметни. В Linux има такава възможност като настройка в конфига на SSH сървъра, но тук не видях такова нещо и след ровене из Google никъде не видях конкретно някой да каже дали може или не. Благодаря предварително!

Link to post
Share on other sites

Recommended Posts

  • 0
  • Administrator

и какво ще стане ако се регенерира ключа?

а и винаги може да смениш порта

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
Philip Petev

Как така ще се регенерира ключа? Какво искаш да кажеш с това?

Link to post
Share on other sites
  • 0

А и можеш да си исфилтрираш ssh -а и няма да имаш ядове.. другия вариянт е да ползваш portknock

Link to post
Share on other sites
  • 0
Philip Petev

А и можеш да си исфилтрираш ssh -а и няма да имаш ядове.. другия вариянт е да ползваш portknock

Нещо, което не съм писал в първия пост: не искам да режа достъпа на SSH отвън, защото смятам да влизам оттам и аз, затова идеята ми е да се изключи (ако може) само оторизацията с парола и да остане само оторизацията с публичен/частен ключ (в момента работят и двете оторизации), защото така хем рутера става устойчив на brute force, хем пътечката ми за към вътре остава.

=================================

Офтопик, ако искате го изтрийте това: добре сте го измислили това с петте одобрени мнения, но докато чакам да се одобрят, другите си пишат също и диалога се губи. Все пак не съм дошъл тук, за да си чеша езика, а за да търся помощ. Може ли малко по-експедитивно? Благодаря !

Link to post
Share on other sites
  • 0
Philip Petev

Да беше си направил труда да провериш в гоогле преди да ти го дадът на готово :)

http://support.hostgator.com/articles/specialized-help/technical/how-to-disable-password-authentication-for-ssh

 

Да, това го знам, че е точно така. Ха сега ми кажи как точно ще го приложиш в RouterOS? ::)

Link to post
Share on other sites
  • 0

Това на стикера с надпис микротик ли трябва да се напише и с черен туш дали може ?

 

 

Да беше си направил труда да провериш в гоогле преди да ти го дадът на готово :)

http://support.hostgator.com/articles/specialized-help/technical/how-to-disable-password-authentication-for-ssh

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to post
Share on other sites
  • 0
Philip Petev

на няколко места го намерих като теми по форуми така че не е толкова трудно :)

 

Виж, човече, дойдох да търся решение за проблем с RouterOS, затова дойдох в този форум. Не се обиждай, но пишеш глупости по две причини:

 

1. Това вече ти казах, че съм го виждал, има го на много места в нета. Не само съм го виждал, но и го знам, защото съм го правил на няколко Linux машини, в т.ч. предния ми рутер с OpenWRT.

2. Това, което цитираш, се прави под Linux, където имаш достъп до конфигурацията на услугите и по-конкретно SSH сървъра, което ме кара да предположа, че си нямаш представа какъв шел ползва RouterOS и каква свобода на достъпа имаш с него.

 

Ако исках решение за Linux, нямаше да си правя въобще труда да се регистрирам тук. Затова те попитах в предния пост как точно ще го приложиш това на RouterOS, където нямаш стандартния шел на Linux bash, както и достъп до конфигурацията на услугите, а ти ми отговаряш, че си го намерил на няколко теми по форумите. Къде точно са тия теми и за едно и също нещо ли говорим, а именно "Изключване на оторизацията с парола на SSH услугата в RouterOS" (подчертаните неща съм ги подчертал изрично)?

Edited by Philip Petev
Link to post
Share on other sites
  • 0
Mupo neTkoB

Приятел, няма как да го постигнеш това, поради изброените от теб вече по-горе причини. Най-лесния начин (може би и добър) е така наречения порт-кнокинг. Можеш също да ползваш на колегата Жоро предложението - пост2


а е възможно и да бъркам - http://wiki.mikrotik.com/wiki/Manual:IP/SSH

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites
  • 0
Philip Petev

Приятел, няма как да го постигнеш това, поради изброените от теб вече по-горе причини. Най-лесния начин (може би и добър) е така наречения порт-кнокинг. Можеш също да ползваш на колегата Жоро предложението - пост2

а е възможно и да бъркам - http://wiki.mikrotik.com/wiki/Manual:IP/SSH

 

Не, не бъркаш. Това го видях вече, но не върши работа, а и освен това по подразбиране е на no. Днес прочетох това-онова за port-knocking и май ще пробвам нещо такова. Благодаря все пак на всички за мненията.

 

Edit: решението от втория пост не ми върши работа, защото така ще си отрежа сам пътя. Пък и не е май необходимо, стандартния drop на входа в момента реже всичко което се опитва да влезе вкл. порт 22. Остава само да добавя преди него правилата за port-knocking и работата май ще стане.

 

Последният ми пост беше за това че го има и за routeros решение :)

Добре, нека да го видим.

Edited by Philip Petev
Link to post
Share on other sites
  • 0
  • Administrator

За порт кнокинга има звънче ;)

http://www.zeroflux.org/projects/knock

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0

Филипе,в дебъг режима какво ти излиза при кънекта  в конзолата на станцията ( ssh -vvv user@mikrotik ) ?

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to post
Share on other sites
  • 0
Philip Petev

Това е с умишлено непредоставен ключ (не гледайте MyKey09052012_private.openssh, той е RSA ключ за друго място и не може да се ползва тук, понеже RouterOS работи само с DSA ключове):

philip@ProBook-4340s:~$ ssh -vvv admin@192.168.0.1
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
debug1: Reading configuration data /etc/ssh_config
debug1: /etc/ssh_config line 20: Applying options for *
debug1: /etc/ssh_config line 102: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.0.1 [192.168.0.1] port 22.
debug1: Connection established.
debug1: identity file /Users/philip/.ssh/id_rsa type -1
debug1: identity file /Users/philip/.ssh/id_rsa-cert type -1
debug1: identity file /Users/philip/.ssh/id_dsa type -1
debug1: identity file /Users/philip/.ssh/id_dsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0, remote software version ROSSSH
debug1: no match: ROSSSH
debug2: fd 3 setting O_NONBLOCK
debug3: load_hostkeys: loading entries for host "192.168.0.1" from file "/Users/philip/.ssh/known_hosts"
debug3: load_hostkeys: found key type DSA in file /Users/philip/.ssh/known_hosts:6
debug3: load_hostkeys: loaded 1 keys
debug3: order_hostkeyalgs: prefer hostkeyalgs: ssh-dss-cert-v01@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss-cert-v01@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-dss,ssh-rsa-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-rsa
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes192-cbc,aes128-cbc,aes256-cbc,blowfish-cbc,3des-cbc,none
debug2: kex_parse_kexinit: aes192-cbc,aes128-cbc,aes256-cbc,blowfish-cbc,3des-cbc,none
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 117/256
debug2: bits set: 545/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: DSA 7f:8b:5d:4f:e2:70:a5:2e:5a:6d:ba:9b:46:5c:9f:2f
debug3: load_hostkeys: loading entries for host "192.168.0.1" from file "/Users/philip/.ssh/known_hosts"
debug3: load_hostkeys: found key type DSA in file /Users/philip/.ssh/known_hosts:6
debug3: load_hostkeys: loaded 1 keys
debug1: Host '192.168.0.1' is known and matches the DSA host key.
debug1: Found key in /Users/philip/.ssh/known_hosts:6
debug2: bits set: 499/1024
debug1: ssh_dss_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /Users/philip/MyKey09052012_private.openssh (0x7fb02ad00f10),
debug2: key: /Users/philip/.ssh/id_rsa (0x0),
debug2: key: /Users/philip/.ssh/id_dsa (0x0),
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/philip/MyKey09052012_private.openssh
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /Users/philip/.ssh/id_rsa
debug3: no such identity: /Users/philip/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /Users/philip/.ssh/id_dsa
debug3: no such identity: /Users/philip/.ssh/id_dsa: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
admin@192.168.0.1's password:
debug3: packet_send2: adding 64 (len 58 padlen 6 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: password
debug3: start over, passed a different list password
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup password
debug3: remaining preferred: ,keyboard-interactive,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
Permission denied, please try again.
admin@192.168.0.1's password:
debug3: packet_send2: adding 64 (len 58 padlen 6 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: password
Permission denied, please try again.
admin@192.168.0.1's password:
debug3: packet_send2: adding 64 (len 58 padlen 6 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: password
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (password).
philip@ProBook-4340s:~$

Само не разбирам, защо след като е разрешено уж да се ползва паролата, след като оторизацията с ключ не успява, продължава да иска парола, че и дъни permission denied. Тук ми мирише на кофти имплементация на SSH сървъра или на бъг или и на двете.

Edited by Philip Petev
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.