staging.inyokaproject.org

Hallo,

seit paar Tagen komme ich mit ssh nicht mehr auf meine zwei Server bei all-inkl und Hetzner.

1
2
3
4
5
6

$ ssh root@ip****
hostkeys_find_by_key_hostfile: hostkeys_foreach failed for /home/user/.ssh/known_hosts: Permission denied
The authenticity of host 'ip**** (ip****)' can't be established.
ED25519 key fingerprint is SHA256:2aFy**************************************.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])?

Ich erinnere, dass vor Jahren bei einer ähnlichen Sache (der selben?) ein Löschen in der known_hosts Datei geholfen hat. Den fingerprint oben finde ich in known_hosts aber nicht.

Owner und Gruppe sind eine sechsstellige id******, die ich mit $ id nicht finde. Und in /etc/passwd und /etc/group ist diese ID auch nicht vorhanden.

1
2
3
4
5
6
7

~/.ssh$ ls -la
insgesamt 211
drwxrwxr-x   5 id**** id****  4096 Jul 28 10:29 .
drwxr-x---+ 53 user   user    4096 Jul 28 10:17 ..
-rw-------   1 id**** id****  3430 Okt 11  2021 allkey.id
-rw-r--r--   1 id**** id****   740 Okt 11  2021 allkey.id.pub
usw.

Dann habe ich die known_hosts mal umbenannt. Aber das Passwort funktioniert so oder so nicht, das hatte ich vorher schon probiert.

1
2
3
4
5
6
7
8

$ ssh ***@***.com
The authenticity of host '***.com (ip***)' can't be established.
ED25519 key fingerprint is SHA256:********************************.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Failed to add the host to the list of known hosts (/home/user/.ssh/known_hosts).
ssh-***@***.com.com's password: 
Permission denied, please try again.

Was kann das Problem sein? Danke.

PS: config

1
2
3

StrictHostKeyChecking no
ServerAliveInterval 60
ServerAliveCountMax 8

Da Du ja bis zur Passwort-EIngabe kommst, wird es nicht an der known-hosts liegen. Da ist anscheinend aber auch noch was schief an den Berechtigungen.

Passwort falsch? Caps-Lock an? Geht der Zugriff von anderen Rechnern aus?

Das hier sieht jedenfalls komisch aus (doppeltes .com):

ssh-***@***.com.com

Kuume schrieb:

~/.ssh$ ls -la
insgesamt 211
drwxrwxr-x   5 id**** id****  4096 Jul 28 10:29 .
drwxr-x---+ 53 user   user    4096 Jul 28 10:17 ..
-rw-------   1 id**** id****  3430 Okt 11  2021 allkey.id
-rw-r--r--   1 id**** id****   740 Okt 11  2021 allkey.id.pub
usw.

Evtl sind diese Dateien unter Beibehaltung von original owner und original group (... passt das birth-Datum?), auf dein System kopiert/übertragen worden. Dieser owner bzw. diese group gab/gibt es auf deinem System nicht und deshalb wird die original id benutzt.

stat allkey.id.pub

?

Doc_Symbiosis schrieb:

Da Du ja bis zur Passwort-EIngabe kommst, wird es nicht an der known-hosts liegen. Da ist anscheinend aber auch noch was schief an den Berechtigungen.

Passwort falsch? Caps-Lock an? Geht der Zugriff von anderen Rechnern aus?

Das hier sieht jedenfalls komisch aus (doppeltes .com):

ssh-***@***.com.com

Danke. (.com.com war Vertipper 🙄 )

Hetzner von anderem Rechner geht! 👍

1
2
3

$ ssh ***.***.**.***
Warning: Permanently added '***.***.**.***' (ECDSA) to the list of known hosts.
Welcome to...

Zu all-inkl nicht. Obwohl private und pub key auf den anderen Rechner kopiert.

1
2
3

$ ssh ***@w***.com
Received disconnect from **.***.**.*** port 22:2: Too many authentication failures
Disconnected from **.***.**.*** port 22

@lubux, auf dem anderen Rechner sind alle Dateien unter /.ssh/ auf den USER.

Wenn ich das auf dem ersten Rechner auch mache:

1
2

-rw-------   1 user user  3430 Okt 11  2021 allkey.id
-rw-r--r--   1 user user   740 Okt 11  2021 allkey.id.pub

kommt trotzdem

1
2
3
4
5

$ ssh ***@***.com
The authenticity of host '***@***.com (**.***.**.***)' can't be established.
ED25519 key fingerprint is SHA256:***************************************.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])?

"~/.ssh$ stat allkey.id.pub" verstehe ich nicht ganz. Aber Uid und Gid scheint zu passen?

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

~/.ssh$ stat allkey.id.pub

  Datei: allkey.id.pub
 Größe: 743       	Blöcke: 8          EA Block: 4096   Normale Datei
Gerät: fd01h/64769d	Inode: 44959232    Verknüpfungen: 1
Zugriff: (0644/-rw-r--r--)  Uid: ( 1000/    user)   Gid: ( 1000/    user)
Zugriff: passt
Modifiziert: passt
Geändert: passt
Geburt: passt

Mit dem anderen pub key kommt die sechsstellige id****** und UNKNOWN, dass passt wohl nicht! Aber woher kommt das?

1
2

~/.ssh$ stat 2key.id.pub
Zugriff: (0644/-rw-r--r--)  Uid: (******/ UNKNOWN)   Gid: (******/ UNKNOWN)

Ich habe nichts in letzter Zeit an den keys oder am ssh-Verzeichnis usw. gemacht.

Also die Dateien key's, config, known_hosts alle auf user:user gesetzt:

1

sudo chown user:user

bei all-inkl auf einen Account, bei dem ich schon immer ein Passwort eingeben musste, komm ich rein:

1
2
3
4
5

$ ssh ssh-****@****.com
ssh-****@****.com's password: 
hostfile_replace_entries: mkstemp: Permission denied
update_known_hosts: hostfile_replace_entries failed for /home/user/.ssh/known_hosts: Permission denied
Last login: Fri Jul 28 13:52:11 2023 from **.***.***.***.

Bei allen anderen Accounts, bei denen ich nicht das Passwort eingeben musste, klappt es trotz dem Passwort des private key, nicht:

1
2
3

$ ssh root@***.***.**.***
root@***.***.**.***'s password: 
Permission denied, please try again.

Kuume schrieb:

Mit dem anderen pub key kommt die sechsstellige id****** und UNKNOWN, dass passt wohl nicht! Aber woher kommt das?

1 2	~/.ssh$ stat 2key.id.pub Zugriff: (0644/-rw-r--r--) Uid: (******/ UNKNOWN) Gid: (******/ UNKNOWN)

Ich habe nichts in letzter Zeit an den keys oder am ssh-Verzeichnis usw. gemacht.

Konfiguriere (zukünftig) deine Server so, dass bei einer Änderung der Datei "/var/log/wtmp", Du _sofort_ und immer eine eMail bekommst. Z. B.:

Login at: Monday, 24.07.2023; 23:00:46 CET/CEST, from: ******     ttyp0    1##.###.###.###            Mon Jul 24 23:00   still logged in

Kuume schrieb:

Bei allen anderen Accounts, bei denen ich nicht das Passwort eingeben musste, klappt es trotz dem Passwort des private key, nicht:

1 2 3

$ ssh root@***.***.**.*** root@***.***.**.***'s password: Permission denied, please try again.

Wenn du das passende Keyfile direkt mit -i angibst, geht es dann? Was zeigt die Ausgabe von ssh mit -vvv?

Mir ist nicht klar woran es nun genau lag. Aber durch "aufräumen" geht wieder alles. Aber stelle das Thema jetzt auf gelöst.

lubux schrieb: ..

Konfiguriere (zukünftig) deine Server so, dass bei einer Änderung der Datei "/var/log/wtmp", Du _sofort_ und immer eine eMail bekommst. Z. B.:

Login at: Monday, 24.07.2023; 23:00:46 CET/CEST, from: ******     ttyp0    1##.###.###.###            Mon Jul 24 23:00   still logged in

Was benutzt du dafür? Z.B. inotify? Welches mail commando?

Bei Provider all-inkl ist der SSH Zugang beschränkt, nur Auswahl an Befehlen möglich und dort finde ich kein "/var/log/wtmp". Außer beim Provider nachfragen noch einen Tipp dazu?

Danke.

sebix schrieb: ...

Wenn du das passende Keyfile direkt mit -i angibst, geht es dann? Was zeigt die Ausgabe von ssh mit -vvv?

Ist es normal, dass in zwei SSH Verzeichnissen nach "ssh_known_hosts" und "known_hosts" gesucht wird?

Warum werden die alten Testdateien Nr.2, die es schon länger nicht mehr gibt, gesucht?

1
2

ssh_known_hosts2
known_hosts2

1
2
3
4
5

debug1: load_hostkeys: fopen /home/myuser/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: Host '***.**.***.***' is known and matches the ED25519 host key.
debug1: Found key in /home/myuser/.ssh/known_hosts:106

Danke.

Kuume schrieb:

Mir ist nicht klar woran es nun genau lag. Aber durch "aufräumen" geht wieder alles. Aber stelle das Thema jetzt auf gelöst.

Aufraeumen von alten SSH Keys? Ja, das kann die Loesung gewesen sein, darauf zielte mein Vorschlag mit der direkten Angabe des Keys ab.

sebix schrieb: Ist es normal, dass in zwei SSH Verzeichnissen nach "ssh_known_hosts" und "known_hosts" gesucht wird?

Ja, das ist normal. Das waren die alten Standard-Pfade.