OpenSSH không chấp nhận khóa ECDSA

9

Tôi vừa tạo khóa ECDSA với ssh-keygen:

ssh-keygen -t ecdsa -b 521

Sau đó tôi đã tiến hành sao chép khóa này vào máy chủ của mình:

cat .ssh/id_ecdsa.pub | ssh myserver "tee -a .ssh/authorized_keys"

Tôi đã xác minh rằng khóa của tôi có trong tệp.

Tuy nhiên, khi tôi cố gắng kết nối, kết nối của tôi bị từ chối:

ssh -v -i .ssh/id_ecdsa myserver

Nhật ký:

OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to myserver [192.168.1.1] port 22.
debug1: Connection established.
debug1: identity file .ssh/id_ecdsa type 3
debug1: Checking blacklist file /usr/share/ssh/blacklist.ECDSA-521
debug1: Checking blacklist file /etc/ssh/blacklist.ECDSA-521
debug1: identity file .ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.1
debug1: match: OpenSSH_6.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA 10:27:b8:78:2c:e1:e3:42:8e:e3:66:c4:cc:4e:f1:c0
debug1: Host 'myserver' is known and matches the RSA host key.
debug1: Found key in /home/naftuli/.ssh/known_hosts:73
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering ECDSA public key: .ssh/id_ecdsa
debug1: Authentications that can continue: publickey
debug1: No more authentication methods to try.
Permission denied (publickey).

Tìm thấy điều này trong nhật ký máy chủ:

auth.info sshd[13874]: userauth_pubkey: unsupported public key algorithm: ecdsa-sha2-nistp521 [preauth]

Cả máy khách của tôi và máy chủ đều đang sử dụng OpenSSH. Phiên bản OpenSSH của máy chủ là OpenSSH 6.1, phiên bản OpenSSH của khách hàng của tôi là OpenSSH 5.9.

Làm cách nào tôi có thể biết thuật toán chính nào được máy chủ của tôi hỗ trợ?

ssh

— Naftuli Kay
nguồn

OpenWRT 12,09 Điều chỉnh thái độ. Tôi có thể biên dịch lại máy chủ OpenSSH nếu cần. Có cách nào để liệt kê ít nhất các thuật toán được hỗ trợ không?

— Naftuli Kay

7

Giống như nhiều hệ thống nhúng khác, OpenWrt sử dụng dropbear làm máy chủ ssh của nó, chứ không phải OpenSSH nặng hơn thường thấy trên các hệ thống Linux. Các phiên bản cũ hơn của dropbear chỉ hỗ trợ các khóa RSA và DSA; hỗ trợ cho ECDSA không được thêm vào cho đến phiên bản 2013.62 (mới chỉ được phát hành vài ngày trước).

Nó sẽ xuất hiện sớm trong Barrier Breaker (thân cây); nhưng bạn sẽ không thấy nó trong Điều chỉnh thái độ.

— Michael Hampton
nguồn

Tôi thực sự đã cài đặt và định cấu hình OpenSSH trên bộ định tuyến OpenWRT của mình. Đó là lý do tại sao tôi ngạc nhiên rằng nó không hoạt động.

— Naftuli Kay

tức là: Tôi không sử dụng dropbear và nó đã được gỡ cài đặt.

— Naftuli Kay

Trong trường hợp đó, bạn (1) tự mình và (2) rõ ràng nằm ngoài giới hạn của những gì tôi mong đợi trong một môi trường chuyên nghiệp.

— Michael Hampton

Tôi cho là như vậy. Tôi sẽ liên hệ với OpenWRT về nó và xem những gì tôi có thể làm. OpenSSH được cung cấp dưới dạng một gói trong OpenWRT, vì vậy tôi tự hỏi tại sao điều đó lại khiến tôi phải tự lo liệu.

— Naftuli Kay

0

ecdsađược hỗ trợ từ openssh-server phiên bản 5.7 . Phiên bản nào của openssh-server bạn đang chạy? chạy dpkg -l | grep openssh-server | awk '{print $3}' | cut -d: -f2để tìm phiên bản.

— giết chết
nguồn

0

Nếu hệ thống của bạn là Red Hat Enterprise Linux 6.4 (hoặc cũ hơn) hoặc Fedora 19 (hoặc cũ hơn), lưu ý ECDSA đã bị xóa khỏi đó. Tôi không có bất kỳ chi tiết nào tại sao lại như vậy (có lẽ là lý do pháp lý): https://www.mail-archive.com/legal@lists.fedoraproject.org/msg00755.html

— lzap
nguồn

ECDSA nằm trong RHEL 6.5. như một phần của openssl 1.0.1 và cũng lưu ý rằng OP làm rõ rằng họ đang sử dụng OpenWRT 12,09

— user9517

Oh đúng, chỉnh sửa.

— lzap

3

Vâng, đó là lý do pháp lý. Tuy nhiên, cho đến ngày nay, không phải nhà phân phối nào cũng kích hoạt mật mã Elliptic Curve do các bằng sáng chế; RedHat chỉ kích hoạt một số đường cong, không phải ECC nói chung, sau khi xem xét pháp lý cẩn thận, nhưng những đường cong mà chúng đã kích hoạt bị ảnh hưởng bởi NIST (và do đó NSA). Bạn có thể muốn loại bỏ ECC ngay cả khi sức mạnh tính toán giảm là tốt đẹp.

— mirabilos

0

Để lại đây vì điều này đã xảy ra với tôi:

Ngày 1: Thiết lập một máy mới, tôi đã sao chép các khóa vào - khai thác trước - và có thể đăng nhập tốt.

Ngày 2: Tôi không thể đăng nhập bằng khóa ed25519. Huh? Tôi thêm khóa RSA; nó hoạt động Tôi tạo một khóa ed25519 mới và nó hoạt động ... nhưng khóa cũ của tôi thì không. WTF?

Hóa ra sau khi thử nghiệm, tôi đã cài đặt khóa của mình vào .ssh / ủy quyền của root để sao lưu ... và quên sửa các quyền trên tệp đó. Vì vậy, openssh đã liệt kê khóa của tôi, khiến tôi không thể đăng nhập. Việc sửa lỗi trên /root/.ssh/authorized_keys cho phép tôi đăng nhập với tư cách là người dùng của mình .

— pjz
nguồn