Zablokování SSH na Raspberry Pi

Zablokování SSH na Raspberry Pi
« kdy: 06. 12. 2020, 01:09:31 »
Zdravím všechny.

Omlouvám se za spam,

Postupoval jsem dle návodu a asi se mi povedlo odříznout SSH od mého RPI, kde si snažím postavit postfix dle tohodle návodu:

https://www.root.cz/clanky/stavime-vlastni-e-mailovy-server-zakladni-nastaveni-systemu/

Vůbec mě nenapadá, kde bych udělal chybu, zkopíroval jsem SSH klíč do složky, poté jsem aktualizoval sshd_config - změnil ty parametry, jak se píše v návodu z Yes na No a odkomentoval jsem je. (smazal hashtag)

Příkaz systemctl reload ssh mi nevracel žádný output, tak jsem se rozhodl pro uzavření ssh a znovu otevření, jenže poté už se mi na něho nešlo připojit pres putty (ani rootem) a házelo mi to pop up okno "No supported authentication methods available (server sent: publickey, gssapi-keyex, gssapi-with-mic)"

Poté jsem tedy restartoval RPI na tvrdo a nyní mi to nenabídne vůbec nic, ani to tam nepíše, žádnou hlášku.. Mám takový dojem, že tou změnou hodnot v sshd_config jsem si vypnul možnost připojit se přes ssh? :D

Moc netuším.. :(

Za každou radu budu velice rád! Je mi celkem jasné, že nejspíše budu muset RPI opět restartovat, ale chtěl bych alespon vědět, kde jsem udělal chybu.

Nevím jestli to hraje roli ale mám RPI 3, model B a na něm centos minimalism - arm.

Děkuju!

« Poslední změna: 06. 12. 2020, 19:12:28 od Petr Krčmář »


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Zablokování SSH
« Odpověď #1 kdy: 06. 12. 2020, 02:12:59 »
Vypni to, vyndej kartu, podívej se do /var/log/auth.log, příp. syslog

Nahraď sshd_config za původní verzi z balíčku

Zapni si lokální přihlášení po sériáku, ať se tam příště můžeš dostat na konzoli

Jinak z popisu problému to taky může být u tebe, že nemáš správně nakonfigurovaný klíč a neposíláš ho. Bohužel PuTTy nepoužívám, u řádkového ssh bych to poradil pustit to s -vvv a přečíst si, jestli to klíč našlo a nabízí,

Re:Zablokování SSH
« Odpověď #2 kdy: 06. 12. 2020, 02:13:45 »
Citace
Mám takový dojem, že tou změnou hodnot v sshd_config jsem si vypnul možnost připojit se přes ssh?
dobrej vodhad ;D ;D ;) ;)

pár rychlejch typů

1) zkuz se připojit tak že nepoužiješ hostname ale napišeš přímo ip adresu rpi
jakože misto 'email@testemail.cz' napišeš 'email@192.168.1.123' nebo jakou máš ip  :o :o

2) putty možná preferuje nějakej svuj divnej keygen hele
zkus najít/vodhadnout podobnej postup pro centos :o :o konfigurace sshd tam maj snad stejnou :o :o
Some clients prefer PuTTY style keys. I would recommend creating this format now so you have the choice in the future. The following commands will install puttygen and create a PuTTY version of your new key :

sudo apt-get install putty-tools

then :

puttygen id_rsa -o id_rsa.ppk

umí vubec putty vidět takle umístěný klíčky v ~/.ssh nemá nějakou svou složku?? :o :o

3) přeinstalace neni uplně nutná když se mi jednou poved podobnej kousek tak sem vyndala sd kartu mountla ji v linuxu a norálně sshd_config poeditovala a strčila spátky do rpi ;D ;D

už sem skoro spací tak sry jestli jako je to co pišu trošičku z cesty ;D ;)
lidi postižený environmentálním žalem hele choděj za ekopsycholožkama hele 🤡 💆 🤡 💆

Re:Zablokování SSH
« Odpověď #3 kdy: 06. 12. 2020, 10:33:35 »
no a ten klíč k přihlášení místo helsa z maliny někde máte? jde o ten soubor ~/.ssh/id_rsa

pokud jo, tak do putty se musí zkonvertovat, viz Use Existing Public and Private Keys https://devops.ionos.com/tutorials/use-ssh-keys-with-putty-on-windows/

pokud klíč nemáte, tak se musí karta vytáhnout a namountovat v Linuxu nebo i ve Windows  https://www.thewindowsclub.com/how-to-read-ext4-in-windows-10

klíč vykopírovat a pro jistotu asi zrušit nemožnost přihlášení heslem, teda dát PasswordAuthentication yes

Re:Zablokování SSH
« Odpověď #4 kdy: 06. 12. 2020, 11:26:08 »
Klíč vygenerovaný na Linuxovém serveru musíte nejprve zkonvertovat, aby s ním Putty umělo pracovat. A pak musíte při přihlašování říct, že se má tento klíč použít. Nebo lépe použít Putty agenta a klíč otevřít v něm.

Server vám posílá, že mezi povolenými typy autentizace je publickey, takže na serveru by mělo být přihlašování nakonfigurované v pořádku.

Citace
Poté jsem tedy restartoval RPI na tvrdo a nyní mi to nenabídne vůbec nic, ani to tam nepíše, žádnou hlášku.
Co se tedy přesně děje? Píšete o připojení v Putty, takže kliknete na Open a dál se děje co?


Re:Zablokování SSH
« Odpověď #5 kdy: 06. 12. 2020, 12:14:38 »
Vypni to, vyndej kartu, podívej se do /var/log/auth.log, příp. syslog

Nahraď sshd_config za původní verzi z balíčku

Zapni si lokální přihlášení po sériáku, ať se tam příště můžeš dostat na konzoli

Jinak z popisu problému to taky může být u tebe, že nemáš správně nakonfigurovaný klíč a neposíláš ho. Bohužel PuTTy nepoužívám, u řádkového ssh bych to poradil pustit to s -vvv a přečíst si, jestli to klíč našlo a nabízí,
Jj , použít ssh -vvv, jestli má Windows 10 tak tam je ssh klient nativní, aspoň myslím

Re:Zablokování SSH na Raspberry Pi
« Odpověď #6 kdy: 06. 12. 2020, 22:11:13 »
Dej tam původní sshd_config, který ti umožní se připojit pomocí hesla, pak ze stanice ze které se budeš připojovat ssh-keygen, pak ssh-copy-id, pak zase upravit sshd_config (zakázat heslo, povolit klíč), pak reboot nebo jen restart ssh a je to...
« Poslední změna: 06. 12. 2020, 22:13:58 od HanzHanz »

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Zablokování SSH na Raspberry Pi
« Odpověď #7 kdy: 06. 12. 2020, 22:25:38 »
[...]zase upravit sshd_config (zakázat heslo, povolit klíč)[...]
pokud nastavuje pristup pres klic na zarizeni kde (dle dotazu) nema primej pristup a/nebo lcd+kbd, tak je rozhodne vhodne NEJDRIV zprovoznit ten klic a teprve potom co ze stanice overi pripojeni klicem, tak zakazat prihlaseni heslem ;-)

Re:Zablokování SSH na Raspberry Pi
« Odpověď #8 kdy: 06. 12. 2020, 23:52:01 »
Wau, Pánové, děkuji za reakce.

Až teď jsem se dostal domů a na mobilu se mi to nechtělo psát.

Nejspíš to v bude v tom jak říkáte, protože já vůbec netušil, že se tam připojuje ještě jinak, než přes Putty : D.. Jaké jsou prosím Vás na to sw, které bych měl používat?

Každopádně, jak jsem psal, proč sem i na RPI nedá připojit. Tak jsem se šel podívat a potom co jsem to RPI na sílu restartoval, tak se mi asi pos*ala síťovka, protože nesvítí. Na to bohužel kouknu až za 2 dny, jelikož v 5 vstávám na vlak a fakt potřebuju trošku spánku..

Takže děkuji za rady! Vyzkouším to, kdyžtak mám v záloze ještě RPI2 s Raspbianem :), tak to můžu zkusit nebo tam nahodit zase Centos.

Děkuji moc!

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Zablokování SSH na Raspberry Pi
« Odpověď #9 kdy: 07. 12. 2020, 00:35:20 »
Nejspíš to v bude v tom jak říkáte, protože já vůbec netušil, že se tam připojuje ještě jinak, než přes Putty : D.. Jaké jsou prosím Vás na to sw, které bych měl používat?
„Normální“ SSH. Příkaz se jmenuje ssh, a balíček je to openssh-client. Snad na všech distribucích bude nainstalovaný defaultně.

Ale samozřejmě není problém používat PuTTy nebo cokoli co ti vyhovuje. Já mám problém, že se mi PuTTy neintegruje dobře do zbytku systému a nastavit to všechno v tom menu mi přijde zdlouhavé. Ale sto lidí, sto chutí, klidně používej PuTTy a třeba časem zjistíš, že ti to, nebo něco jiného, vyhovuje víc.

Je potřeba ale správně nastavit ty klíče. Můžeš napsat, co přesně jsi dal do authorized_keys? Klíče z PuTTy obsahují nové řádky, aby to sežralo sshd v authorized_keys, musí se nové řádky odstranit (a smazat hlavička a patička, ale to je vidět). No a pak musíš vyřešit, abys měl ten privátní klíč v PuTTy nastavený. To nevím jak se dělá, někde se to tam dá naklikat. No a obzvláště když jsi začátečník, tak je to potřeba udělat tak, že si _nejdřív_ vyzkoušíš, že ti autentizace klíčem funguje, a _až potom_ vypneš přihlašování heslem! :)

Re:Zablokování SSH na Raspberry Pi
« Odpověď #10 kdy: 07. 12. 2020, 09:16:22 »
Je potřeba ale správně nastavit ty klíče. Můžeš napsat, co přesně jsi dal do authorized_keys? Klíče z PuTTy obsahují nové řádky, aby to sežralo sshd v authorized_keys, musí se nové řádky odstranit (a smazat hlavička a patička, ale to je vidět).
V tom návodu je to popsáno opačně – klíče se generují na serveru. Pro použití s Putty je pak potřeba klíč v puttygen.exe naimportovat a zkonvertovat do formátu Putty. Následně se musí klíč vybrat při navazování konkrétního spojení, nebo – což je podle mne lepší – použít pageant.exe (SSH agent od Putty) a v něm klíč otevřít (já to mám nastavené tak, že se mi pageant spouští a naimportuje klíče hned po přihlášení). Při připojování to pak bude „fungovat samo“ – výchozí nastavení Putty je, že se pokouší použít klíče z agenta.

Pokud by to ferevuu chtěl v Putty konfigurovat ručně, je to obojí v konfiguraci spojení pod Connection → SSH → Auth. Volba Attempt authentication using Pageant (defaultně zaškrtnutá) říká, že se má Putty pokusit použít klíč z Putty agenta. Privátní klíč (vyexportovaný z puttygen.exe) se dá nastavit pod Private key file for authentication.