ssha in på fjärrdator

[Dimi]

Hejsan,

Jag håller på att försöka få till en ssh session på en fjärrdator.
Jag använder mig av dyndns tjänst för att vidarebefodra till min publika ip adress.

Detta verkar fungera bra då jag kan pinga den. i alla fall får jag svar från min ISP. :-) Det borde väl vara tillräckligt?

Jag har portforwardat i routern på port 22 till den dator jag vill ha anslutning till och slutligen så när jag kollar med nmap (nmap --open 192.168.0.110) så får jag till svar att port 22 är öppen.

Ändå så får jag till svar:
ssh: connect to host XXXXXX.dyndns.info port 22: Connection refused

Känns så jättetråkigt, någon som har något förslag på vad som kan vara fel.

Hoppas på framgång

/D

[ubot]

Är du säker på att dyndns "mappar" domännamnet till din IP? Du säger att du kan inga ditt ip och att namp visar att port 22 är öppen men hur är det med dyndns? Vidarebefordrar dyndns din ip som det är tänkt eller det kanske var det du menade att du hade testat? Testa att byta ut dyndns mot ip-numret efter ssh -p 22 för att se om felet ligger i dyndns hantering? Du vet väl också att du måste installera en klient på din server som uppdaterar dyndns med ditt dynamiska ip-nummer om ip-numret ändras?

Ett annat tips är ju att kontrollera inställningarna gör openssh-server i konfigurationsfilen. Du kanske har några konstiga inställningar för lösenord/nycklar?

[Dimi]

Vidarebefordrar dyndns din ip som det är tänkt eller det kanske var det du menade att du hade testat?

Ja där är en tänkbar felkälla. Men jag får följande svar:
64 bytes from c-9054e155.1135-1-64736c12.cust.bredbandsbolaget.se (85.225.84.144): icmp_seq=1 ttl=64 time=0.849 ms

Vilket är min publika ip adress så det känns ju hyggligt rätt.

Testa att byta ut dyndns mot ip-numret efter ssh -p 22 för att se om felet ligger i dyndns hantering?

Vilket ip nummer avser du då, 85.225.84.144?

Du vet väl också att du måste installera en klient på din server som uppdaterar dyndns med ditt dynamiska ip-nummer om ip-numret ändras?

Jo men än så länge har jag samma. Får göra en sak i taget. Min dyn dns ändras väl i princip bara när mitt modem tappar förbindelsen med bredbandsbolagets anslutning? Vilket var ungefär 4 månader sedan sist.

Ett annat tips är ju att kontrollera inställningarna gör openssh-server i konfigurationsfilen. Du kanske har några konstiga inställningar för lösenord/nycklar?

Jag har skapat en nyckel där. är det safe att under tiden som jag håller på med detta pillande köra mv .ssh .sshbak? Och sedan döpa tillbaka den till .ssh för att se om det är där det skiter sig?

[dmz]

Har du lagt till användaren i AllowUsers?

Kod: Markera allt

AllowUsers foo bar baz

Och använd inte port 22 om du inte absolut är tvingad till det...

[ubot]

Vilket ip nummer avser du då, 85.225.84.144?

Det var bara ett sätt att komma runt om dyndns krånglade. Jag menar du uteslöt du ju helt att använda dyndns om du anropar ip-numret direkt i ditt ssh-kommando. Eftersom dyndns ser ut att fungera så är det kanske inte så intressant längre.

Min dyn dns ändras väl i princip bara när mitt modem tappar förbindelsen med bredbandsbolagets anslutning? Vilket var ungefär 4 månader sedan sist.

Ja, det är sant. Jag menar mer om du hade stängt ner anläggningen och fått en ny ip. Om utrustningen får stå och gå så brukar man ha samma ip-nummer under lång tid. Det är möjligt att BBB ger dig samma ip även om utrustningen har varit avstängd. Det förutsätter nog att ip:t inte har getts till någon annan kund. Det där vet du bättre än vad jag gör.

[Hund]

http://www.lathund.nu/2010/01/19/kom-igang-med-ssh/

[Dimi]

Vilket ip nummer avser du då, 85.225.84.144?

Det var bara ett sätt att komma runt om dyndns krånglade. Jag menar du uteslöt du ju helt att använda dyndns om du anropar ip-numret direkt i ditt ssh-kommando. Eftersom dyndns ser ut att fungera så är det kanske inte så intressant längre.

Min dyn dns ändras väl i princip bara när mitt modem tappar förbindelsen med bredbandsbolagets anslutning? Vilket var ungefär 4 månader sedan sist.

Ja, det är sant. Jag menar mer om du hade stängt ner anläggningen och fått en ny ip. Om utrustningen får stå och gå så brukar man ha samma ip-nummer under lång tid. Det är möjligt att BBB ger dig samma ip även om utrustningen har varit avstängd. Det förutsätter nog att ip:t inte har getts till någon annan kund. Det där vet du bättre än vad jag gör.

Problemet löst. Det var nycklarna i .ssh filen som knasade. Efter att ha mv:at bort original mappen så fungerar det nu fint!

Tack så mycket för hjälpen.

Tack också hund för guiden.

[Dimi]

Jaha då fortsätter kråglandet. Nu vill jag kunna logga in utan att skriva lösen. Jag har då följt stegen i hunds guide för att skapa ett nyckelpar och sedan startat om ssh med :

sudo /etc/init.d/ssh restart

Men jag måste fortfarande skriva det baskade lösenordet. Något mer som måste göras för att få slippa mecket?

Trevlig helg.

[ubot]

Jaha då fortsätter kråglandet. Nu vill jag kunna logga in utan att skriva lösen. Jag har då följt stegen i hunds guide för att skapa ett nyckelpar och sedan startat om ssh med :

sudo /etc/init.d/ssh restart

Men jag måste fortfarande skriva det baskade lösenordet. Något mer som måste göras för att få slippa mecket?

Trevlig helg.

Vilket lösenord är det? Det finns ju en keyring i Ubuntu som ibland kräver lösen? Det går att diabla lösenord för keyring. Om det är ssh-lösenord så är det nog inställningen i sshd-konfigurationsfilen med AuthPassword eller något som du måste disabla.

Edit:

När du skapar nyckeln ska du inte ha ett lösenord på nyckeln utan bara trycka Enter när du får en fråga om lösenord.

[dmz]

När du skapar nyckeln ska du inte ha ett lösenord på nyckeln utan bara trycka Enter när du får en fråga om lösenord.

Det var det värsta jag hört. Då kan ju vem som helst som kommer över nyckeln ansluta helt obehindrat.

Du behöver använda ssh-agent i någon form för att 'spara' din passphrase. Det fungerar som så att du första gången du försöker ansluta anger din _passphrase_ för din nyckel, och alla efterföljande anslutningar sker utan manuell authentication.

Om du bara använder ssh-agent så kommer en sådan process att spawnas för varje skal du öppnar, vilket inte är särskilt roligt. Bättre är då att använda t.ex keychain, som jag föredrar. Då lägger du bara en rad i stil med;

Kod: Markera allt

eval `keychain -q --eval id_rsa`

i din .bashrc/.zshrc.

[ubot]

Det var det värsta jag hört. Då kan ju vem som helst som kommer över nyckeln ansluta helt obehindrat.

Hahaha! Det kallas för att driva trafik till en server.

[Dimi]

Fick det att fungera efter mycket googlande.

Hittade någonstans på nätet att man ska lägga till följande på servern:

sudo chmod 750 /home/mats

Någon som har invändningar mot det? Jag är ingen fena på rättigheter. Även om jag kan läsa mig till vad det innebär så inser jag inte om jag blottar mig onödigt mycket genom att göra så på min hemma mapp.

[ubot]

Fick det att fungera efter mycket googlande.

Hittade någonstans på nätet att man ska lägga till följande på servern:

sudo chmod 750 /home/mats

Någon som har invändningar mot det? Jag är ingen fena på rättigheter. Även om jag kan läsa mig till vad det innebär så inser jag inte om jag blottar mig onödigt mycket genom att göra så på min hemma mapp.

Räcker det inte att du ändrar rättigheter på $HOME/.ssh-katalogen?

Dessutom undrar jag om det inte räcker med: chmod 740 /home/mats/.ssh
Jag misstänker att du måste ha 750 för att du chmod:ar din Hemkatalog och inte .ssh-katalog. 4 står för read och 1 för execute eller (bläddra i katalog). Du måste ha 750 på din Hemkatalog för att ssh ska få bläddra in i .ssh. Men om du sätter chmod 740 .ssh så räcker nog det eftersom du då ger rätt att enbart läsa i .ssh, inte bläddra i katalogerna i din Hemkatalog. Det finns inte någon anledning att du ska tillåta alla i gruppen mats att bläddra i användaren mats kataloger i Hemkatalogen vilket jag tror att 5:an i 750 gör att gruppen har rätt till.

[Dimi]

Jo det fungerade att bara ändra på rättigheterna i .ssh mappen. Tycker nog inte att gruppen mats borde ha några rättigheter alls eftersom jag är den enda användaren i gruppen och jag har ju redan alla rättigheter jag behöver :-).

[ubot]

Jo det fungerade att bara ändra på rättigheterna i .ssh mappen. Tycker nog inte att gruppen mats borde ha några rättigheter alls eftersom jag är den enda användaren i gruppen och jag har ju redan alla rättigheter jag behöver :-).

På mitt system har min användares Hemkatalog rättigheterna (ls -l /home/): drwx------

Du sätter rättigheter för din användare med chmod 700 sen får du sätta chmod 740 /home/mats/.ssh

Edit:

Vänta nu. Helt ensam är du väl inte i gruppen om du måste sätta 740 på .ssh för att ssh ska kunna läsa filerna. root eller sshd eller något måste väl finnas i gruppen mats?

När vi ändå är inne på openssh-server så har du en guide med lite inställningar för openssh-server om du inte redan vet: https://help.ubuntu.com/community/SSH/O ... onfiguring

[Dimi]

Men tusan också. Fler problem. Nu tillbaka till problem 1. Nu kan jag inte längre göra fjärrinloggningar (alltså utanför det lokalanätverket)! jag blir refusad hela tiden. Detta gäller både för min htc desire och min laptop, vilka är mina två försöksdatorer.

[ubot]

Men tusan också. Fler problem. Nu tillbaka till problem 1. Nu kan jag inte längre göra fjärrinloggningar (alltså utanför det lokalanätverket)! jag blir refusad hela tiden. Detta gäller både för min htc desire och min laptop, vilka är mina två försöksdatorer.

Har du loggat ut från datorn med ssh-servern? Jag tror du måste vara inloggd med din användare som har .ssh om du ska kunna fjärransluta. Det är så om du använder krypterad Hemkatalog för annars kommer inte sshd åt .ssh i din krypterade Hemkatalog. Alternativet till att alltid vara lokalt inloggad är att lägga .ssh utanför din Hemkatalog så att krypteringen inte spärrar nycklarna när du loggar ut din användare lokalt från datorn med ssh-servern.

[Dimi]

Har du loggat ut från datorn med ssh-servern? Jag tror du måste vara inloggd med din användare som har .ssh om du ska kunna fjärransluta. Det är så om du använder krypterad Hemkatalog för annars kommer inte sshd åt .ssh i din krypterade Hemkatalog. Alternativet till att alltid vara lokalt inloggad är att lägga .ssh utanför din Hemkatalog så att krypteringen inte spärrar nycklarna när du loggar ut din användare lokalt från datorn med ssh-servern.

Ja, jag är inloggad på servern med min användare och nej jag har ingen kryptering på min hemmakatalog. Det är i vilket fall inget jag gjort själv.

[ubot]

Jag vet inte hur det är med Ubuntu Server men Ubuntu Desktop Edition har ett alternativ för att kryptera Hemkatalogen som man bockar i under installationen av systemet. Är du inloggad lokalt på datorn med openssh-server så ska krypteringen vara "upplåst". Då är det inget problem.

Om du sätter chmod 750 /home/mats igen då? Fungerar fjärrinloggning då? Det kan hända att du måste sätta chmod -R 740 /home/mats/.ssh om nycklarna ligger i en underkatalog till .ssh-katalogen. Ligger nycklarna direkt i .ssh ska det räcka med chmod 740 /home/mats/.ssh

Jag tror att jag har följt den här guiden och fått det att fungera förut: http://www.debuntu.org/ssh-key-based-authentication

[Mekaniserad Apelsin]

Om du sätter chmod 750 /home/mats igen då? Fungerar fjärrinloggning då? Det kan hända att du måste sätta chmod -R 740 /home/mats/.ssh om nycklarna ligger i en underkatalog till .ssh-katalogen. Ligger nycklarna direkt i .ssh ska det räcka med chmod 740 /home/mats/.ssh

Sluta chmoda .ssh-mappen.

Den SKA vara 700. Det är bara användaren själv som ska kunna komma åt den privata nyckeln.

Om du har krypterat hemkatalogen så finns det en katalog ~/.Private och ~/.ecryptfs men det bästa sättet att kolla är att köra "mount" och finns rad av typ: "/home/[...]/.Private on /home/[...] type ecryptfs (ecryptfs_sig=[...],ecryptfs_fnek_sig=[...],ecryptfs_cipher=aes,ecryptfs_key_bytes=16)". Har du en sådan rad på servern så kommer din hemkatalog att avmonteras i tid och otid trots att du kör tjänster av typen screen. För att ansluta när hemkatalogen är krypterad måste man fortfarande komma åt ~/.ssh vilket leder till att flera personer tipsar om att man ska ha sina publika nycklar i katalogen ~/.ssh när den är omonterad OCH när den är monterad, vilket är jobbigt som sjutton, och aningen korkat eftersom när du väl förstått hur illa det är med att ha ssh-nycklar utan lösenord[1] så kanske du bara tar bort den ena publika nyckeln och hela världen fortsätter att använda din dator som sin slasktratt.

Rätt sätt[2] att göra det på är givetvis att lägga till raden

Kod: Markera allt

AuthorizedKeysFile /etc/ssh/%u/authorized_keys

i /etc/ssh/sshd_config och sedan skapa rätt katalog efter ditt användarnamn (det som ska ersätta %u enligt den nya raden) och lägga dina publika nycklar där.

Har du INTE krypterat din hemkatalog så kanske det beror på att du inte har igång din ssh-agent ordentligt. För att kontrollera detta, ta och kör följande kommando nästa gång problemet uppstår:
ssh -i ~/.ssh/id_rsa [dina vanliga parametrar]
(använd alltså flaggan -i och peka ut den _privata_ nyckeln, ej den som slutar med pub, kolla om du använder id_rsa/id_dsa eller annat).

Ett tredje problem som kan uppstå är att din isp byter din publika ipadress ofta och du försöker ansluta i mellantiden medan din dns-uppslagning är gammal.