|
Logowanie bez hasła z Tomato do zdalnego systemu
|
| jezikk |
Dodano 09-10-2011 13:55
|
User
Posty: 99
Dołączył: 23/08/2006 15:15
|
Witajcie,
Wie ktoś jak wygenerować klucze SSH bezpośrednio na routerze z Tomato aby dało się zalogować bez hasła do zdalnej maszyny.
Probowałem:
1. dropbearkey -t rsa -s 2048 -f id_rsa_tomato -> wygenerowany klucz publiczny wgrałem na zdalna maszyne i dodałem do authorized_keys. Niestety logowanie z routera poleceniem ssh user@maszyna ciagle pyta o hasło. Probowałem tez tak: ssh -i~/.ssh/id_rsa_tomato user@maszyna ale wywala bład Failed loading keyfile '~/.ssh/id_rsa_tomato'.
2 zainstalowałem z optware openssh, wygenerowalem klucze przez ssh-keygen, dodalem do zdalnego hosta i proba logowania konczyła się jak poprzednio. Pytaniem o hasło.
Dodam ze klucze wygenrowane na PC za pomoca PyttyGen działaja ok. Macie jakiś pomyśł co może być nie tak ? |
| |
|
|
| TF |
Dodano 09-10-2011 17:20
|
Power User
Posty: 249
Dołączył: 17/02/2010 21:51
|
Cytat jezikk napisał(a):
dropbearkey -t rsa -s 2048 -f id_rsa_tomato -> wygenerowany klucz publiczny wgrałem na zdalna maszyne i dodałem do authorized_keys.
Swego czasu bawiłem się kluczami w dropbear pod OpenWrt i z logowaniem interaktywnym (pisząc polecenia pod konsolą) nie było żadnych problemów. Nie wiem, czy są większe różnice w tej kwestii między Tomato a OpenWrt, ale może przydatne będzie dla Ciebie coś z mojego poradnika.
2 x TP-Link WR1043ND (Gargoyle PL by obsy) + SpeedStream 4101
|
| |
|
|
| jezikk |
Dodano 09-10-2011 18:05
|
User
Posty: 99
Dołączył: 23/08/2006 15:15
|
Klucze sprawdzałem 2 razy. Generowałem je zarowno z dropbeara jak i openssh.
Udało mi sie obejść to poprzez wygenerowanie kluczy na maszynie docelowej i przesłanie klucza prywatnego na router. |
| |
|
|
| krisan |
Dodano 09-10-2011 18:23
|
Power User
Posty: 207
Dołączył: 22/03/2011 11:48
|
Czytam ten wątek i nie wiem czy ciebie dobrze rozumiem, czy też źle zadałeś pytanie/opisałeś problem.... jeśli chcesz np za pomocą putty logować się do tomato to generujesz klucze, prywatny wrzucasz do putty a drugi poprzez np. WebGui Tomato do routera.
Jeśli źle Ciebie zrozumiałem .... to pewnie efekt wyborczego przed-wieczorka 
Edytowany przez krisan dnia 09-10-2011 18:31
|
| |
|
|
| jezikk |
Dodano 09-10-2011 20:17
|
User
Posty: 99
Dołączył: 23/08/2006 15:15
|
Problemem były (i w sumie jest nadal, bo to co zrobiłem to tylko workaround) jest to aby na pomidorku wygenerowac klucze które będzie mozna uzywać w zdalnych systemach.
Połączenie pomiedzy PC a pomidorkiem to nie problem, bo jak napisałes wystarczy za pomocy puttygen wygenerowac klucze i publiczny wkleić w GUI Administracja. |
| |
|
|
| TF |
Dodano 09-10-2011 20:25
|
Power User
Posty: 249
Dołączył: 17/02/2010 21:51
|
Tak z ciekawości - próbowałeś generować klucze na dropbear bez opcji -s 2048?
Spróbuj dokładnie tym sposobem:
dropbearkey -t rsa -f key.priv | grep ssh-rsa > key.pub
2 x TP-Link WR1043ND (Gargoyle PL by obsy) + SpeedStream 4101
|
| |
|
|
| jezikk |
Dodano 09-10-2011 21:50
|
User
Posty: 99
Dołączył: 23/08/2006 15:15
|
Próbowałem, ale to mi daje klucz 1024bit a serwer zdalny wymaga klucza o sile min 2048, wiec takiego klucza nie moge sprawdzic czy dziala. |
| |
|
|
| kille72 |
Dodano 24-04-2012 09:18
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Co jest bezpieczniejsze?
1. ssh z Remote Access + Allow Password Login
2. ssh z rsa-key ale bez passphrase w private key (chodzi mi o logowanie przez ssh bez hasla) |
| |
|
|
| hermes-80 |
Dodano 24-04-2012 11:07
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Cytat 2. ssh z rsa-key ale bez passphrase w private key (chodzi mi o logowanie przez ssh bez hasla)
To jest bespieczniejsze.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| shibby |
Dodano 24-04-2012 11:24
|
SysOp
Posty: 17148
Dołączył: 15/01/2009 20:30
|
ciężko jednoznacznie powiedziec. Klucz trzeba nosic przy sobie, trzeba go tez dodawac do putty przed logowaniem. Problematyczne gdy nie jest się u siebie tylko korzysta się z kompa kolegi itd.
Klucz mozna zawsze skopiowac lub mozna niechcący zapomniec go zostawic. Wtedy ktos ma dostep bez hasła  Z drugiej strony wpisujac haslo narazamy sie na keylogery. Nie mniej jednak bez hasła nikt nam nic nie popsuje.
nie mozna wiec IMO jednoznacznie wskazac ktore rozwiazanie jest bezpieczniejsze.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| hermes-80 |
Dodano 24-04-2012 11:29
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Zawsze możesz @kille72 zapamiętać klucz rsa .
A tak naprawdę to siadając na obcą maszynę bardziej bym się obawiał keylogger-ów niż własnej sklerozy
Edytowany przez hermes-80 dnia 24-04-2012 11:39
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| kille72 |
Dodano 24-04-2012 11:39
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Dziekuje za odpowiedzi Najbezpieczniejsze wiec bedzie rozwiazanie nr 3 (ktorego nie bralem pod uwage) z passphrase.
Czy jest mozliwe "wydlubac" passphrase z zapomnianego klucza? |
| |
|
|
| hermes-80 |
Dodano 24-04-2012 11:41
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Ale hasło nie jest powiązane z kluczem rsa - ustawia się je niezależnie od wpisanego klucza w Tomato z tego co pamiętam - mylę się ??.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| kille72 |
Dodano 24-04-2012 11:45
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
1. Zrobilem klucze w puttygen.exe.
2. Publiczny wkleilem do Tomato a prywatny (z passphrase) w pliku .ppk wskazalem w Putty w ssh-auth.
3. W Tomato odznaczylem Allow Password Login w SSH Daemon
Przy logowaniu musze podac username i passphrase. |
| |
|
|
| hermes-80 |
Dodano 24-04-2012 11:49
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Aaaa czyli tak na prawdę to hasło odblokowuje użycie klucza RSA i odnosi się tylko do niego, a nie jest powiązany z uwierzytelnianiem w Tomato.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| kille72 |
Dodano 24-04-2012 12:06
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Tak. Takie haslo latwo "wydrapac" z pliku .ppk? |
| |
|
|
| hermes-80 |
Dodano 24-04-2012 12:38
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Gdyby dało się go łatwo wydrapać to mijałoby się z celem jego zakładania .
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Raziel |
Dodano 24-08-2012 18:25
|
User
Posty: 5
Dołączył: 23/08/2012 12:37
|
Pozwolę sobie odświeżyć temat. Mam dokładnie taki sam problem, jak opisany w pierwszym poście:
Chciałbym móc zalogować się z routera z Tomato na inny, zdalny serwer, przy użyciu klucza (bez hasła).
1. Po wygenerowaniu kluczy przy użyciu ssh-keygen, dopisaniu klucza publicznego na docelowej maszynie i użyciu klucza prywatnego w Tomato - przy próbie łączenia pojawia się komunikat w stylu "String too long". Dotyczy on długości klucza prywatnego. Po doczytaniu okazało się, że powinienem wygenerować klucz używając dropbearkey. Komunikat o zbyt długim stringu zniknął, ale przy próbie logowania na zdalny serwer jestem proszony o podanie passphrase'y (moje klucze są bez passphrase), i tym samym logowanie bez hasła jest dalej niemożliwe.
2. Czy coś może zmienić instalacja OpenSSH? Po uruchomieniu serwera sshd nie jestem w stanie się zalogować na router (hasło używane dotychczas w dropbearze nie jest przyjmowane, klucze także).
Czy udało się komuś zwalczyć ten problem z logowaniem na zdalną maszynę?
----- UPDATE -----
Poradziłem sobie. Użyłem klienta ssh z paczki 'openssh' (optware) i pary kluczy wygenerowanych na docelowym serwerze.
Pozdrawiam,
Sławek
Edytowany przez Raziel dnia 24-08-2012 22:46
|
| |
|
' target='_blank'>Link
