Старый 04.02.2011, 16:48   #1
AloneKiller
 
Аватар для AloneKiller
 
Регистрация: 04.10.2010
Сообщений: 79
Репутация: 0
Question Авторизация SSH по ключу, нужна помощь

Всем здравствуйте.

Был доступ на ряд машин через шлюзовую. Авторизация раньше в основном была по паролю ссш, проблем нет, трояним, получаем пароль, юзаем. Тем более обычно пароли пользователей совпадают.

Теперь юзеров перевели на авторизацию по ключу как я понял, хеш пароля юзеров в shadow или master.passwd не присутсвует. Пока сохраняется возможность авторизации на других машинах через шлюзовую, то есть я захожу под целевого пользователя (есть рут на шлюзовой ессно), т.е. делаю su username, и из-под юзера уже можно заходить на другие, просто ssh hostname. Это значит, что ключ нужный для авторизации на той машине, лежит на шлюзовой? Можно ли его использовать и использовать у себя в putty, как их вообще вытащить? Просто они на 99% одинаковые, надо составить базу, типа как раньше пароли были пользователей.

Заранее спасибо, жду советов, если объяснил непонятно, то поясню, спрашивайте.
AloneKiller вне форума   Ответить с цитированием
Старый 04.02.2011, 17:59   #2
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Приватный ключ пользователя лежит в его домашней папке в каталоге .ssh/ и называется id_rsa. Может быть запаролен, но чаще нет.

У тебя два пути - собрать нужные приватные ключи, либо добавить свой личный публичный ключ в .ssh/authorized_keys руту интересующих тебя машин.
tipsy вне форума   Ответить с цитированием
Старый 04.02.2011, 19:26   #3
AloneKiller
 
Аватар для AloneKiller
 
Регистрация: 04.10.2010
Сообщений: 79
Репутация: 0
По умолчанию

tipsy спасибо. В целом понятно, но есть некоторые вопросы.

Ну есть вот такой пользователь на машине шлюзовой, тут всё понятно, как раз файл id_rsa с его ключом.



А есть такие пользователи



Тут что является его авторизационным ключом?

Сервера разные фря\линукс, я так понимаю, что в плане этой авторизации ссш протоколы абсолютно совпадают? Ещё есть момент, в никсе можно авторизоваться только этим же пользователем на другой машине, ну то есть ivanov со шлюзовой может зайти только за такого же пользователя иванов на другой?

А если мне слить эти все ключи себе домой, то в путти я смогу их использовать, и получается при подключении я буду указывать имя пользователя и его ключ подставлять?
AloneKiller вне форума   Ответить с цитированием
Старый 04.02.2011, 19:36   #4
Andrey1800
 
Регистрация: 31.08.2010
Сообщений: 196
Репутация: 154
По умолчанию

Цитата:
Тут что является его авторизационным ключом?
ключ id_dsa, возможно и id_dsa2
обычно юзер и хост можно увидеть в конце соответствующего *.pub файла
Цитата:
А если мне слить эти все ключи себе домой, то в путти я смогу их использовать, и получается при подключении я буду указывать имя пользователя и его ключ подставлять?
предварительно нужно будет сгенерить putty private key (*.ppk) через утилиту puttygen.
Andrey1800 вне форума   Ответить с цитированием
Старый 04.02.2011, 19:59   #5
AloneKiller
 
Аватар для AloneKiller
 
Регистрация: 04.10.2010
Сообщений: 79
Репутация: 0
По умолчанию

Цитата:
Сообщение от Andrey1800 Посмотреть сообщение
ключ id_dsa, возможно и id_dsa2
обычно юзер и хост можно увидеть в конце соответствующего *.pub файла
Я думал, что успешно посещённые хосты складываются в know_hosts (там что за ключи я не знаю), видимо просто аля сессий. А чем отличается id_dsa и rsa? Просто название разное или алгоритмы тоже?

Цитата:
Сообщение от Andrey1800 Посмотреть сообщение
предварительно нужно будет сгенерить putty private key (*.ppk) через утилиту puttygen.
То есть мне хватит данных, взятых с id_dsa или id_rsa + имя пользователя, чтобы суметь зайти по путти самому?
AloneKiller вне форума   Ответить с цитированием
Старый 04.02.2011, 20:31   #6
Andrey1800
 
Регистрация: 31.08.2010
Сообщений: 196
Репутация: 154
По умолчанию

Цитата:
А чем отличается id_dsa и rsa? Просто название разное или алгоритмы тоже?
разные алгоритмы ЭЦП. в puttygen нужно будет выбрать используемый алгоритм
Цитата:
То есть мне хватит данных, взятых с id_dsa или id_rsa + имя пользователя, чтобы суметь зайти по путти самому?
если ключи без пароля, то вполне
Andrey1800 вне форума   Ответить с цитированием
Старый 04.02.2011, 23:38   #7
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Совет на будущее - всегда тащи все приватные ключи которые видишь. Смотри хистори и known_hosts (правда он всё чаще зашифрован), пробуй все найденные варианты.

Ключ похож на пароль, твой ivanov вполне может логиниться по нему под рутом или как petrov на другую машину.
tipsy вне форума   Ответить с цитированием
Старый 05.02.2011, 03:23   #8
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Цитата:
Сообщение от tipsy Посмотреть сообщение
Смотри хистори и known_hosts (правда он всё чаще зашифрован), пробуй все найденные варианты.
Позволю себе оффтоп: хорошие люди придумали даже скрипт для брутфорса хостов из known_hosts http://blog.rootshell.be/2010/11/03/...n_hosts-files/ xD
tex вне форума   Ответить с цитированием
Старый 05.02.2011, 15:31   #9
AloneKiller
 
Аватар для AloneKiller
 
Регистрация: 04.10.2010
Сообщений: 79
Репутация: 0
По умолчанию

Спасибо за скрипт, но у меня кновн_хостс не шифрован как я понимаю, и имеет вид

Цитата:
host.rootshell.be,10.0.0.2 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0ei6KvTUHnmCjdsEwpCCaO HZWvjS \
jytm/5/Vv1Dc6ToaxTnqJ7ocBb7NI/HUQEc23eUYjFrZQDS0JRml3RnsG0UzvtIfAPDP1x7h6HHy4ixj AP7slXgqj3c \
fOV5ThNjYI0mEbIh1ezGWovwoy0IxRK9Lq29CacqQH8407b1jE j/zfOzUi3FgRlsKZTsc3UIoWSY0KPSSPlcSTInviG \
oNi+9gC8eqXHURsvOWyQMH5K5isvc/Wp1DiMxXSQ+uchBl6AoqSj6FTkRAQ9oAe8p1GekxuLh2PJ+dMD IuhGeZ60fIh \
eq15kzZGsDWkNF6hc/HmkJDSPn3bRmo3xmFP02sNw==
Кстати, вопрос немного не в тему, home папка тариться нормально. Хоть в mc и не видно при открытии архива файлов, начинающихся с . , но в вин дома всё ок. А вот тарить файлы и папки с точкой из папки /root tar упорно не хочет, что я делаю не так?

tar zcf archive.tar.gz /root/*
AloneKiller вне форума   Ответить с цитированием
Старый 05.02.2011, 15:40   #10
Andrey1800
 
Регистрация: 31.08.2010
Сообщений: 196
Репутация: 154
По умолчанию

* не видит файлов, начинающихся с точки
сделайте просто tar zcf archive.tar.gz /root/
Andrey1800 вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot