Jump to content
  • 0

Изключване на SSH password authentication

Philip Petev

Asked by Philip Petev,

 Share Followers 2

Question

Philip Petev

Philip Petev 0

Posted
Posted

Здравейте

Има ли начин да се изключи напълно удостоверяването през SSH с парола и да остане само удостоверяването с двойката публичен/частен ключ? След като импортирах ключ на админа (RB951G-2HnD с RouterOS 6.20), вече ми дъни грешка когато опитам да се логна без ключа (както и трябва да е принципно), но самия метод все още е активен, а е добре да се изключи, защото без него всички brute force атаки през SSH стават безпредметни. В Linux има такава възможност като настройка в конфига на SSH сървъра, но тук не видях такова нещо и след ровене из Google никъде не видях конкретно някой да каже дали може или не. Благодаря предварително!

Link to post
Share on other sites

22 answers to this question

Recommended Posts

  • 0
  • Administrator
111111

111111 381

Posted
  • Administrator
Posted

и какво ще стане ако се регенерира ключа?

а и винаги може да смениш порта

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
Philip Petev

Philip Petev 0

Posted
  • Author
Posted

Как така ще се регенерира ключа? Какво искаш да кажеш с това?

Link to post
Share on other sites
  • 0
Null

Null 4

Posted
Posted

А и можеш да си исфилтрираш ssh -а и няма да имаш ядове.. другия вариянт е да ползваш portknock

Link to post
Share on other sites
  • 0
Philip Petev

Philip Petev 0

Posted
  • Author
Posted

А и можеш да си исфилтрираш ssh -а и няма да имаш ядове.. другия вариянт е да ползваш portknock

Нещо, което не съм писал в първия пост: не искам да режа достъпа на SSH отвън, защото смятам да влизам оттам и аз, затова идеята ми е да се изключи (ако може) само оторизацията с парола и да остане само оторизацията с публичен/частен ключ (в момента работят и двете оторизации), защото така хем рутера става устойчив на brute force, хем пътечката ми за към вътре остава.

=================================

Офтопик, ако искате го изтрийте това: добре сте го измислили това с петте одобрени мнения, но докато чакам да се одобрят, другите си пишат също и диалога се губи. Все пак не съм дошъл тук, за да си чеша езика, а за да търся помощ. Може ли малко по-експедитивно? Благодаря !

Link to post
Share on other sites
  • 0
Philip Petev

Philip Petev 0

Posted
  • Author
Posted

Да беше си направил труда да провериш в гоогле преди да ти го дадът на готово :)

http://support.hostgator.com/articles/specialized-help/technical/how-to-disable-password-authentication-for-ssh

 

Да, това го знам, че е точно така. Ха сега ми кажи как точно ще го приложиш в RouterOS? ::)

Link to post
Share on other sites
  • 0
kokaracha

kokaracha 62

Posted
Posted

Това на стикера с надпис микротик ли трябва да се напише и с черен туш дали може ?

 

 

Да беше си направил труда да провериш в гоогле преди да ти го дадът на готово :)

http://support.hostgator.com/articles/specialized-help/technical/how-to-disable-password-authentication-for-ssh

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to post
Share on other sites
  • 0
Philip Petev

Philip Petev 0

Posted
  • Author
Posted (edited)

на няколко места го намерих като теми по форуми така че не е толкова трудно :)

 

Виж, човече, дойдох да търся решение за проблем с RouterOS, затова дойдох в този форум. Не се обиждай, но пишеш глупости по две причини:

 

1. Това вече ти казах, че съм го виждал, има го на много места в нета. Не само съм го виждал, но и го знам, защото съм го правил на няколко Linux машини, в т.ч. предния ми рутер с OpenWRT.

2. Това, което цитираш, се прави под Linux, където имаш достъп до конфигурацията на услугите и по-конкретно SSH сървъра, което ме кара да предположа, че си нямаш представа какъв шел ползва RouterOS и каква свобода на достъпа имаш с него.

 

Ако исках решение за Linux, нямаше да си правя въобще труда да се регистрирам тук. Затова те попитах в предния пост как точно ще го приложиш това на RouterOS, където нямаш стандартния шел на Linux bash, както и достъп до конфигурацията на услугите, а ти ми отговаряш, че си го намерил на няколко теми по форумите. Къде точно са тия теми и за едно и също нещо ли говорим, а именно "Изключване на оторизацията с парола на SSH услугата в RouterOS" (подчертаните неща съм ги подчертал изрично)?

Edited by Philip Petev
Link to post
Share on other sites
  • 0
Mupo neTkoB

Mupo neTkoB 86

Posted
Posted

Приятел, няма как да го постигнеш това, поради изброените от теб вече по-горе причини. Най-лесния начин (може би и добър) е така наречения порт-кнокинг. Можеш също да ползваш на колегата Жоро предложението - пост2


а е възможно и да бъркам - http://wiki.mikrotik.com/wiki/Manual:IP/SSH

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites
  • 0
Philip Petev

Philip Petev 0

Posted
  • Author
Posted (edited)

Приятел, няма как да го постигнеш това, поради изброените от теб вече по-горе причини. Най-лесния начин (може би и добър) е така наречения порт-кнокинг. Можеш също да ползваш на колегата Жоро предложението - пост2

а е възможно и да бъркам - http://wiki.mikrotik.com/wiki/Manual:IP/SSH

 

Не, не бъркаш. Това го видях вече, но не върши работа, а и освен това по подразбиране е на no. Днес прочетох това-онова за port-knocking и май ще пробвам нещо такова. Благодаря все пак на всички за мненията.

 

Edit: решението от втория пост не ми върши работа, защото така ще си отрежа сам пътя. Пък и не е май необходимо, стандартния drop на входа в момента реже всичко което се опитва да влезе вкл. порт 22. Остава само да добавя преди него правилата за port-knocking и работата май ще стане.

 

Последният ми пост беше за това че го има и за routeros решение :)

Добре, нека да го видим.

Edited by Philip Petev
Link to post
Share on other sites
  • 0
  • Administrator
111111

111111 381

Posted
  • Administrator
Posted

За порт кнокинга има звънче ;)

http://www.zeroflux.org/projects/knock

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
kokaracha

kokaracha 62

Posted
Posted

Филипе,в дебъг режима какво ти излиза при кънекта  в конзолата на станцията ( ssh -vvv user@mikrotik ) ?

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to post
Share on other sites
  • 0
Philip Petev

Philip Petev 0

Posted
  • Author
Posted (edited)

Това е с умишлено непредоставен ключ (не гледайте MyKey09052012_private.openssh, той е RSA ключ за друго място и не може да се ползва тук, понеже RouterOS работи само с DSA ключове):

philip@ProBook-4340s:~$ ssh -vvv admin@192.168.0.1
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
debug1: Reading configuration data /etc/ssh_config
debug1: /etc/ssh_config line 20: Applying options for *
debug1: /etc/ssh_config line 102: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.0.1 [192.168.0.1] port 22.
debug1: Connection established.
debug1: identity file /Users/philip/.ssh/id_rsa type -1
debug1: identity file /Users/philip/.ssh/id_rsa-cert type -1
debug1: identity file /Users/philip/.ssh/id_dsa type -1
debug1: identity file /Users/philip/.ssh/id_dsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0, remote software version ROSSSH
debug1: no match: ROSSSH
debug2: fd 3 setting O_NONBLOCK
debug3: load_hostkeys: loading entries for host "192.168.0.1" from file "/Users/philip/.ssh/known_hosts"
debug3: load_hostkeys: found key type DSA in file /Users/philip/.ssh/known_hosts:6
debug3: load_hostkeys: loaded 1 keys
debug3: order_hostkeyalgs: prefer hostkeyalgs: ssh-dss-cert-v01@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-dss
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss-cert-v01@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-dss,ssh-rsa-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-rsa
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-dss
debug2: kex_parse_kexinit: aes192-cbc,aes128-cbc,aes256-cbc,blowfish-cbc,3des-cbc,none
debug2: kex_parse_kexinit: aes192-cbc,aes128-cbc,aes256-cbc,blowfish-cbc,3des-cbc,none
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 117/256
debug2: bits set: 545/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: DSA 7f:8b:5d:4f:e2:70:a5:2e:5a:6d:ba:9b:46:5c:9f:2f
debug3: load_hostkeys: loading entries for host "192.168.0.1" from file "/Users/philip/.ssh/known_hosts"
debug3: load_hostkeys: found key type DSA in file /Users/philip/.ssh/known_hosts:6
debug3: load_hostkeys: loaded 1 keys
debug1: Host '192.168.0.1' is known and matches the DSA host key.
debug1: Found key in /Users/philip/.ssh/known_hosts:6
debug2: bits set: 499/1024
debug1: ssh_dss_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /Users/philip/MyKey09052012_private.openssh (0x7fb02ad00f10),
debug2: key: /Users/philip/.ssh/id_rsa (0x0),
debug2: key: /Users/philip/.ssh/id_dsa (0x0),
debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/philip/MyKey09052012_private.openssh
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /Users/philip/.ssh/id_rsa
debug3: no such identity: /Users/philip/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /Users/philip/.ssh/id_dsa
debug3: no such identity: /Users/philip/.ssh/id_dsa: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
admin@192.168.0.1's password:
debug3: packet_send2: adding 64 (len 58 padlen 6 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: password
debug3: start over, passed a different list password
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup password
debug3: remaining preferred: ,keyboard-interactive,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
Permission denied, please try again.
admin@192.168.0.1's password:
debug3: packet_send2: adding 64 (len 58 padlen 6 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: password
Permission denied, please try again.
admin@192.168.0.1's password:
debug3: packet_send2: adding 64 (len 58 padlen 6 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: password
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (password).
philip@ProBook-4340s:~$

Само не разбирам, защо след като е разрешено уж да се ползва паролата, след като оторизацията с ключ не успява, продължава да иска парола, че и дъни permission denied. Тук ми мирише на кофти имплементация на SSH сървъра или на бъг или и на двете.

Edited by Philip Petev
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 2
Go to question listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept