Einloggen in Debian per Putty (ssh) geht nicht mehr nach einen apt-get upgrade

  • Hallo,


    ich musste (oder auch nicht?) ein apt-get upgrade machen weil ich mir da einiges zerschossen hatte.
    Nu läuft alles wieder wunderbar, aber ich kann mich nicht mehr mit putty (ssh client) dort einloggen.
    Beim update wurde mir auch mitgeteilt das ssh irgenwelche alten Keys zurückzieht. Gut, aber wie kann ich mich jetzt wieder dort einloggen?


    Ich erinnere mich das ich damals einfach putty gestartet hatte, dann hatt er den Schlüssel vom VDR gezogen und ich konnte mich immer wunderbar einloggen.
    Jetzt weist der ssh Server aber jeden Versuch ab mich einzuloggen.


    Hat jemand einen Tip für mich wo ich mal schauen kann was da falsch läuft?


    cu


  • Hi,


    was genau heisst, du kannst dich nicht mehr einloggen?Gibt es eine Fehlermeldung. Evtl. den Inhalt von ".ssh/known_hosts" mal löschen.


    Gruß, Heinzelrumpel

  • Hallo!


    "Keys zurückgezogen"? Das klingt doch nach dem Debian-SSL-Schlüssel Bug oder?


    http://www.heise.de/security/S…-Co--/news/meldung/107808


    Beim einspielen der neuen Version von OpenSSL wurden die verwendeten Schlüssel vermutlich als von dem Problem betroffen erkannt und zurückgezogen.


    In dem Fall müsste man neue Schlüssel generieren und dann sollte es wieder funktionieren.


    Schöne Grüsse


    Michael

    Asus-Board, Core i3 3,5GHz, 4GB RAM, 1 TB WD HDD, 2 x Technotrend Budget S-1500 DVB-S, Thermaltake Gehäuse / Debian Testing - VDR 2.6.0

  • Es ist so wie mz01 schrieb.
    Die von Debian erzeugten SSH-Keys sind kompromittiert und wurden deshalb gesperrt.


    In diesem Fall kannst du dich nur direkt an der Konsole anmelden, einen neuen SSH-Key erzeugen und diesen verwenden.
    Da du vermutlich das Login per SSH mittels Passwort unterbunden hast, kommst du mit SSH nicht mehr an das System.


    Folgende Vorgangsweise sollte dir helfen:


    Login an der Konsole

    Code
    ssh-keygen -b 2048 -t rsa -f Name_der_Keydatei
    cat Name_der_Keydatei.pub >>~/.ssh/authorized_keys

    Dann die Datei Name_der_Keydatei auf dein Windowssystem kopieren (über Freigabe, oder wie auch immer), mit PuTTYgen umwandeln, über die alte Keydatei kopieren.
    Sobald das Login per SSH funktioniert ~/.ssh/Name_der_Keydatei am vdr löschen.


    Alternativ kannst du an der Konsole SSH-Login per Passwort in /etc/ssh/sshd_config aktivieren indem du folgende Zeile auf yes änderst

    Code
    #PasswordAuthentication no
    PasswordAuthentication yes

    und mittels /etc/init.d/ssh restart den SSH-Server neu startest.
    Dann kannst du dich ohne Schlüssel mit Passwort per SSH am vdr anmelden und die Erzeugung des neuen Schlüssels per PuTTY durchführen.


    Nachdem der neue Schlüssel funktioniert, änderst du in sshd_config wieder den Eintrag Passwordlogin no und führst erneut einen Neustart des SSH-Servers durch.

    VDR1: AMD Duron-1300, 512mb RAM, Nexus-S rev2.1, Airstar 2, Debian Lenny, kernel: 2.6.28-etobi.3, VDR 1.6.0-17 experimental/extensions von Tobi
    VDR2: Athlon XP-M-2600+, 512mb RAM, TT Prem 1.3 DVB-S, Skystar2, Airstar 2, Debian Lenny, kernel: 2.6.28-etobi.3, VDR 1.6.0-17 experimental/extensions von Tobi
    Extern: Activy300, Gen2VDR V2

  • - erledigt -

    Streamingclient 1:
    [-] RaspiVDR MLD 5.x an Panasonic TV mit CEC :D


    Streamingclient 2:
    [-] RaspiVDR MLD 5.x - Samsung TV mit CEC


    Streamingserver:
    [---] Proxmox Server PVE7
    [- ] MLD 5.x Server - OctopusNet 4 Tuner

    Edited once, last by MarkusH ().

  • Danke für die Antworten, ich hab jetzt mal versuch einiges Umzusetzen.


    Quote

    Original von wilderigel
    authentifizierung per key datei?


    Mhhh, bisher gings einfach so ;) Ich bin da echt nicht der Profi.


    Bissher hab ich einfach Putty gestartet, die IP eingegeben und dann hatte ich die Shell wo ich mich als Root eingeloggt hatte.


    In der Verbindungskonfiguration kann man weder Usernamen noch Password eingeben. Und bei der Keydatei die man importieren kann steht was vom Private Key. Aber nach meinem Verständnis müsste man da doch den Public Key importieren, oder?


    Quote

    laeuft ddhd denn aufn vdr?


    ---
    cd /
    find -name ddhd
    ---


    sagt nicht, also gibts ddhd wohl ganricht bei mir. Aber das hat ssh das letzte Jahr auch nicht davon abgehalten zu funktionieren.



    Also, egal was ich versuche, Putty reagiert immer mit:
    "Network Eroor: Connection Reset by peer"


    Dabei sagt logread (Also der Versuch der Kontaktaufnahme kommt am VDR an):

    Code
    Aug 14 16:30:53 (none) auth.info sshd[4575]: Server listening on :: port 22.
    Aug 14 16:31:58 (none) auth.err sshd[4585]: error: Host key 45:7e:af:d4:1d:79:e7:d2:66:2f:75:6b:6c:23:2f:48 blacklisted (see ssh-vulnkey(1))
    Aug 14 16:31:58 (none) auth.err sshd[4585]: error: Host key 7b:e0:89:4a:ba:df:cf:98:5d:d3:14:5e:35:74:94:32 blacklisted (see ssh-vulnkey(1))


    Wobei "ssh restart" mit folgender Meldung Startet:

    Code
    Host key 45:7e:af:d4:1d:79:e7:d2:66:2f:75:6b:6c:23:2f:48 blacklisted (see ssh-vulnkey(1))
    Host key 7b:e0:89:4a:ba:df:cf:98:5d:d3:14:5e:35:74:94:32 blacklisted (see ssh-vulnkey(1))
    Host key 45:7e:af:d4:1d:79:e7:d2:66:2f:75:6b:6c:23:2f:48 blacklisted (see ssh-vulnkey(1))
    Host key 7b:e0:89:4a:ba:df:cf:98:5d:d3:14:5e:35:74:94:32 blacklisted (see ssh-vulnkey(1))


    Das

    Code
    ssh-keygen -b 2048 -t rsa -f Name_der_Keydatei
    cat Name_der_Keydatei.pub >>~/.ssh/authorized_keys


    ändert nichts darn. Und ich vermute es kommt auch garnicht bis zu der Stelle wo das benötigt wird da er schon von vornherrein jeden Verbindungsversuch abweist.


    BTW: Ist doch richtig edas ich den *.pub" Schlüssel in PuttyKeyGen importieren muß um ihn dann als Public Key zu exportieren. Dieser wird dann in Puty importiert (weil in Putty finde ich nur einen Import für einen private Key)?


    Code
    #PasswordAuthentication no
    PasswordAuthentication yes


    Folglich bringt das auch nichts.



    Kann es sein das irgendetwas mit den Grundlegenden Keys nciht stimmt und ich diese neu generieren muß.


    /etc/ssh enthält folgendes:


    sshd_config


    sshd_config


    Kann ich nicht einfach mal den ganzen Schlüsselkram löschen udn eu generieren?
    Oder ssh deinstallieren, das Verzeichnis löschen und neu installieren?


    cu

  • Deine Keys sind blacklisted, weil sie von dem boesen Debian Bug befallen sind.


    Gemeint sind die Host-Keys, nicht irgendwelche zum einloggen. Also hat authorized_keys damit ueberhaupt nichts zu tun.


    Die aktuelle Version von ssh hat die fehlerhaften Keys erkannt und "geblacklisted", so dass sie nicht mehr verwendet werden. Dummerweise wurden allerdings keine neuen generiert.


    Also entweder alles loeschen oder die Keys neu generieren. Wie das jetzt speziell in Debian ist, weiss ich nicht. Schau einfach mal in das Startskript (vmtl. /etc/init.d/sshd rein, da sollte eine Abfrage drinnen sein.


    Also, host-Keys neu generieren, dann laeuft dsa auch wieder einwandfrei.

    Glotze: yaVDR (ASRock Q1900M, 4GB RAM, DD Cine S2 V6.5, ZOTAC GT630 (Rev. 2)
    Server: HP ProLiant MicroServer G8, VMware ESXi 5.5 :P

  • Deinstallieren geht unter Debian folgendermaßen:


    apt-get remove --purge openssh-server


    Das sollte alles samt Konfiguration löschen. Und mit


    apt-get install openssh-server


    neu installieren. Dabei sollte der ssh-server neue Hostkeys generieren.

    Asus-Board, Core i3 3,5GHz, 4GB RAM, 1 TB WD HDD, 2 x Technotrend Budget S-1500 DVB-S, Thermaltake Gehäuse / Debian Testing - VDR 2.6.0

  • Jaaaaaaaa. Es geht :)


    War also ne kaputte Konfig. Und ich dachte wegen dem neuen SSH ist da jetzt irgendwas grundsätzlich anderst (mehr Sicherheitsstufen, oder soetwas). Da war ich also auf dem komplett falschen Weg.


    Vielen Dank an alle die hier mitgewirkt haben.


    BTW: SSH laut obrigen Post deinstalliert. /etc/ssh gelöscht und neu installiert. Dann gabs ne Fehlermeldung.
    Dann das /etc/ssh von der damaligen easyVDR install CD wiederhergesstellt und SSH nochmal deinstalliert und dann wieder installiert. Dann lief es (und zwar genauso einfach wie immer).


    cu

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!