Re: ssh - Authentication key
Te has molestado en mirar en /etc/ssh ?-- ... may the source be with you...
Re: ssh - Authentication key
El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Alguien tiene alguna idea? GPA Ricardo Estan en /etc/ssh/ Saludos, -- Diego Quintana a.k.a. RouterMaN Estudiante Ing de las Telecomunicaciones PUCP Linux Registered User #382615 - http://counter.li.org/ http://routerman.blogsome.com http://planeta.debianperu.org
Re: ssh - Authentication key
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ricardo Araoz wrote: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Te muestra la direccion MAC y la ip. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. No exactamente. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Son 2 cosas diferentes (a menos que yo te haya malinterpretado) Alguien tiene alguna idea? Cada vez que te conectas emediante ssh a un host nuevo, te ofrecera eso. Personalmente no me molesta, ni tampoco me da sensacion de seguridad...nunca pense en quitar eso...aunque estoy seguro que, cuando logres hacerlo, nos diras como ;) GPA Ricardo - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDmE26kw12RhFuGy4RAp39AJ4+r7nEJttWMhiESNrj6GnBZoqJeQCglrKa wrwdCqERsiQQQOFovGi0s0A= =xyMj -END PGP SIGNATURE-
Re: ssh - Authentication key
Te has molestado en pensar que no soy tonto? Alguna respuesta CONSTRUCTIVA tal vez? O sólo preguntas para molestar? El Jueves 08 Diciembre 2005 11:55, ChEnChO escribió: Te has molestado en mirar en /etc/ssh ? -- ... may the source be with you...
Re: ssh - Authentication key
El día 8/12/05, Ricardo Araoz [EMAIL PROTECTED] escribió: Te has molestado en pensar que no soy tonto?Alguna respuesta CONSTRUCTIVA tal vez?O sólo preguntas para molestar?Es más fácil contestarte man ssh que decir nada más. -- ... may the source be with you...
Re: ssh - Authentication key
2005-12-18, Ricardo Frydman Eureka! [EMAIL PROTECTED]: Ricardo Araoz wrote: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Te muestra la direccion MAC y la ip. Pues yo diría que lo que te muestra aparte de la IP (y del FQDN) es la huella digital de la llave pública usada... Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. No exactamente. ¿Para qué se muestra esa información entonces? Ya podrías haber gastado un par de líneas en dar una pequeña explicación. :-p Yo lo resumiría como autenticación, pero esto está muy ligado al man in the middle, y más aún cuando típicamente no hay un sistema de certificados o un sistema de comodidad similar que dé sentido al dato cuando se recibe por primera vez. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Son 2 cosas diferentes (a menos que yo te haya malinterpretado) Son dos tipos de algoritmo que SSHv2 usa para lo mismo: la autenticación. Alguien tiene alguna idea? Cada vez que te conectas emediante ssh a un host nuevo, te ofrecera eso. Personalmente no me molesta, ni tampoco me da sensacion de seguridad...nunca pense en quitar eso...aunque estoy seguro que, cuando logres hacerlo, nos diras como ;) No hay sensación de seguridad porque no hay una buena infraestructura detrás. Es similar a cuando entras en una página web segura mal configurada o no respaldada por un organismo de seguridad y salen pantallas enojosas advirtiendo acerca de problemas con la sesión: se asume la responsabilidad porque se quiere el servicio y se asume (o no se percibe) el riesgo que entraña. -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED]
Re: ssh - Authentication key
2005-12-08, Ricardo Araoz [EMAIL PROTECTED]: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Alguien tiene alguna idea? Elaborando un poco lo dicho hasta ahora (y suponiendo una configuración por defecto como la mía) ejecuta lo siguiente desde el servidor: ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub O bien, si usas DSA en vez de RSA, lanza esto: ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key.pub -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED]
Re: ssh - Authentication key
El Jueves 08 Diciembre 2005 11:57, Diego Quintana Cruz escribió: El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Alguien tiene alguna idea? GPA Ricardo Estan en /etc/ssh/ Pues no, en /etc/ssh estan : ssh_host_d/rsa_key y .pub, pero ninguno de estos archivos tiene coincidencia alguna con la key que me muestra el cliente cuando me voy a conectar. Ricardo Saludos, -- Diego Quintana a.k.a. RouterMaN Estudiante Ing de las Telecomunicaciones PUCP Linux Registered User #382615 - http://counter.li.org/ http://routerman.blogsome.com http://planeta.debianperu.org
Re: ssh - Authentication key
On Thu, 2005-12-08 at 16:50 -0300, Ricardo Araoz wrote: El Jueves 08 Diciembre 2005 11:57, Diego Quintana Cruz escribió: El 8/12/05, Ricardo Araoz escribió: Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Alguien tiene alguna idea? Estan en /etc/ssh/ Pues no, en /etc/ssh estan : ssh_host_d/rsa_key y .pub, pero ninguno de estos archivos tiene coincidencia alguna con la key que me muestra el cliente cuando me voy a conectar. En $HOME/.ssh/known_hosts? « $HOME/.ssh/known_hosts Records host keys for all hosts the user has logged into that are not in /etc/ssh/ssh_known_hosts. See sshd(8).» (man ssh, sección FILES) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ssh - Authentication key
El Jueves 08 Diciembre 2005 12:14, Ricardo Frydman Eureka! escribió: Ricardo Araoz wrote: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Te muestra la direccion MAC y la ip. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. No exactamente. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Son 2 cosas diferentes (a menos que yo te haya malinterpretado) Alguien tiene alguna idea? Cada vez que te conectas emediante ssh a un host nuevo, te ofrecera eso. Personalmente no me molesta, ni tampoco me da sensacion de seguridad...nunca pense en quitar eso...aunque estoy seguro que, cuando logres hacerlo, nos diras como ;) No, no pensaba quitarlo. Más bien pensaba en usarlo apropiadamente. Pero no sé dónde tengo esos números para verificar. GPA Ricardo
Re: ssh - Authentication key
El Jueves 08 Diciembre 2005 15:40, Gonzalo HIGUERA DÍAZ escribió: 2005-12-08, Ricardo Araoz [EMAIL PROTECTED]: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Alguien tiene alguna idea? Elaborando un poco lo dicho hasta ahora (y suponiendo una configuración por defecto como la mía) ejecuta lo siguiente desde el servidor: ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub Muchísimas gracias! Esto era lo que necesitaba. Aunque debo hacer notar que es : ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key Sin el .pub, ya que el fingerprint que necesitas es el de la clave privada, la pública es pública así que puede estar a disposición de cualquier atacante. Muchas gracias. Ricardo
Re: ssh - Authentication key
El Jueves, 8 de Diciembre de 2005 21:59, Ricardo Araoz escribió: El Jueves 08 Diciembre 2005 17:24, escribió: El Jueves, 8 de Diciembre de 2005 20:50, Ricardo Araoz escribió: El Jueves 08 Diciembre 2005 11:57, Diego Quintana Cruz escribió: El 8/12/05, Ricardo Araoz[EMAIL PROTECTED] escribió: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Alguien tiene alguna idea? GPA Ricardo Estan en /etc/ssh/ Pues no, en /etc/ssh estan : ssh_host_d/rsa_key y .pub, pero ninguno de estos archivos tiene coincidencia alguna con la key que me muestra el cliente cuando me voy a conectar. no serán que te muestra el /servidor/? No, estoy hablando con absoluta presición. A mí me lo muestra el cliente, hasta que no verifico no tengo la absoluta certeza de que es el /servidor/ con quien estoy hablando. mi respuesta iba sólo orientada a que es en el servidor donde deberías buscar esas llaves, no? Ricardo Saludos, -- Diego Quintana a.k.a. RouterMaN Estudiante Ing de las Telecomunicaciones PUCP Linux Registered User #382615 - http://counter.li.org/ http://routerman.blogsome.com http://planeta.debianperu.org -- Si a tu vecino quieres mal, mete las cabras en su olivar. -- Sé amable con tus palabras y útil con tus obras. -- Versos Dorados. Recopilación de sentencias de los discípulos de Pitágoras. -- // //Rober Morales Chaparro // #include /* RMC'05 */ iostream class saludo { public: saludo(){ std::cout Hola; } ~saludo() { std::cout Mundo! ; } } ; int main() { saludo holamundo; }
Re: ssh - Authentication key
2005-12-08 21:49 +0100, Ricardo Araoz [EMAIL PROTECTED]: El Jueves 08 Diciembre 2005 15:40, Gonzalo HIGUERA DÍAZ escribió: 2005-12-08, Ricardo Araoz [EMAIL PROTECTED]: Hola Usando ssh me vino una duda. Cuando me conecto como cliente el ssh me muestra el tramo final del authentication key del servidor, que es una serie de números hexa, y la dirección IP del servidor. Y me pregunta si estoy de acuerdo en conectarme, para luego pedirme la contraseña de acceso. Esto es para evitar el man in the middle attack. Ahora.. todo esto es muy lindo pero no tengo idea dónde, en mi servidor, está la bendita key para chequear que es correcta. Todos los tutoriales y how-to te hablan de las keys (RSA y DSA) publica-privadas para hacer logons automático pero a lo sumo te cuentan que el servidor se identifica y nada más. Alguien tiene alguna idea? Elaborando un poco lo dicho hasta ahora (y suponiendo una configuración por defecto como la mía) ejecuta lo siguiente desde el servidor: ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub Muchísimas gracias! Esto era lo que necesitaba. Aunque debo hacer notar que es : ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key Sin el .pub, ya que el fingerprint que necesitas es el de la clave privada, la pública es pública así que puede estar a disposición de cualquier atacante. Debí entender mal para qué iba a ser usada. Creía que la huella digitar ssh del servidor era para, una vez en el cliente, poder verificar que el servidor al que se conecta es el correcto. En ese caso el servidor envía la llave pública al cliente para el proceso de autenticación y es por tanto la huella digital de la llave pública la que es capaz de observar el cliente. De todas formas, en cierta manera no tiene demasiada importancia: las llaves son intercambiables (con tal de ser consistente y repartir sólo una de ellas). Me alegro que te haya sido de ayuda. Salud. -- Gonzalo HIGUERA DÍAZ [EMAIL PROTECTED]
Re: ssh authentication woes
hi michael am guessing, you want to login into the remote machine and have it display stuff local on your pc??? lets say remote == 1.2.3.4 lets say here == 5.6.7.8 ( where you;re sitting ) here# xhost +1.2.3.4 here# ssh -l michael remote - enter passwd remote# export DISPLAY=5.6.7.8:0 remote# xterm --- should now display on your here machine # when done here# xhost -1.2.3.4 you cn fix oyur passwd issue after the above works... ~/.ssh/* you can simply type ssh instead of rsh, rcp, rexec rsync is NOT part of the r-commands === === dont use rsh ... especially if you dont need passwd ... === even if you have a firewall ... assume they broke into it.. and is sniffing your traffic ... c ya alvin http://www.Linux-Sec.net On Mon, 4 Jun 2001, Michael Kevin O'Brien wrote: Hola~ I'm really trying to be a good debian citizen. I need to do the equivalent: % rsh remotehost % setenv DISPLAY myhost:0 % some-x-program I can rsh no problem. However, I can't get ssh to let me access remotehost. I've got a null passwd on remotehost, same acount name. I've tried sprinkling nullok throughout /etc/pam.d/ssh, to no avail. What's the deal? Is there a document that eases the transition from the r* commands to ssh? MO
Re: ssh authentication woes
Not exactly, but close (BTW, I'm a different Andrew :)) - a user with an X server (of any type - Linux, U*x, Windows, etc.) and an ssh client can ssh into a correctly-configured Linux (or U*x) machine and have X applications running on the remote host automatically display locally using ssh tunnelling. As a convenient by-product, these sessions are encrypted and (usually) compressed. The Linux box must be set up to allow X forwarding, and the user must use the -X option (or have X forwarding set up by default). - Andrew J. Perrin - Assistant Professor of Sociology University of North Carolina, Chapel Hill 269 Hamilton Hall CB#3210, Chapel Hill, NC 27599-3210 USA [EMAIL PROTECTED] - http://www.unc.edu/~aperrin On Tue, 5 Jun 2001, Mike Egglestone wrote: Hey Andrew... Are you saying that a user can ssh into a linux box with X windows and have X windows access through ssh? this is very cool... Where can I find info to set this up? thanks Mike Nope, it's even easier than that: #ssh -X remote will tunnel X over ssh without any other setting of display stuff. Check out the man page too. There's a lot of great rsa stuff that ssh does. later, Andy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ssh authentication woes
Alvin Oga wrote: hi michael am guessing, you want to login into the remote machine and have it display stuff local on your pc??? lets say remote == 1.2.3.4 lets say here == 5.6.7.8 ( where you;re sitting ) here# xhost +1.2.3.4 here# ssh -l michael remote - enter passwd remote# export DISPLAY=5.6.7.8:0 remote# xterm --- should now display on your here machine # when done here# xhost -1.2.3.4 Nope, it's even easier than that: #ssh -X remote will tunnel X over ssh without any other setting of display stuff. Check out the man page too. There's a lot of great rsa stuff that ssh does. later, Andy
Re: ssh authentication woes
Hey Andrew... Are you saying that a user can ssh into a linux box with X windows and have X windows access through ssh? this is very cool... Where can I find info to set this up? thanks Mike Nope, it's even easier than that: #ssh -X remote will tunnel X over ssh without any other setting of display stuff. Check out the man page too. There's a lot of great rsa stuff that ssh does. later, Andy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ssh authentication
Noah L. Meyerhans wrote: On Wed, Nov 29, 2000 at 04:38:09PM +0100, robert_wilhelm_land wrote: snipped stuff about linking /root/.Xauthority to ~user/.Xauthority No! Don't do this! By doing so you are lowering the security level of your machine down to your user account. It's bad enough that security depends on a root account; it should *never* depend on a user account. Lowering only the X11 root permissions or the permisions of all apps? I tried to edit /etc/passwd by user rland and it did not work. So file restrictions do not seem to be affected by root accessing .Xauthority in the rland ~/. No, it doesn't affect how actual commands behave. Root's account should be a protected and self-contained account. That's one of the reasons that root's not allowed (by default) to log in via the network. By having root read a user's configuration files, you're setting things up such that the ability to access your configuration file is identical to the ability to access root's config file. Any unauthorized access to your account implies access to root's account. In other words, if somebody cracked your machine in such a way that they could log in as you (*much* easier than cracking root access) they could use the fact that root reads your config files to gain root access. They could effectively modify root's .Xauthority simply by editing your own. Thanks for your response, Noah. Noah, unfortunatly I'm not able to follow your explaination because I have no precise imagination exactly how the link lowers the system security. I have had a look into .Xautority, but its a binary. Then the link someone suggested is uni-directional and not bi-directional. So if I would set the /root dir to drw- --- --- nobody would be able to see the link. After all, this autority file only seems to restrict X11 access and as a newbie I have absolutely no idea what might happen when setting the suggested link. The only thing which just pops up into my mind is the TCP traffic OS-X11 which might be spoofed when lowering X11 root permissions. Was that what you wanted to say? But how can this happen when keeping only to a local mashine? Robert
Re: ssh authentication
Noah L. Meyerhans [EMAIL PROTECTED] wrote: On Tue, Nov 28, 2000 at 07:20:37PM +0100, robert_wilhelm_land wrote: As root in root's home directory, make .Xauthority a symbolic link to your normal user's .Xauthority file (or set the XAUTHORITY environment variable to the location of that file). Then you can just run X programs while inside 'su'. This works nicely - thank you very much! No! Don't do this! By doing so you are lowering the security level of your machine down to your user account. It's bad enough that security depends on a root account; it should *never* depend on a user account. Lowering only the X11 root permissions or the permisions of all apps? I tried to edit /etc/passwd by user rland and it did not work. So file restrictions do not seem to be affected by root accessing .Xauthority in the rland ~/. Robert
Re: ssh authentication
Carel Fellinger [EMAIL PROTECTED] wrote: On Tue, Nov 28, 2000 at 07:20:37PM +0100, robert_wilhelm_land wrote: ... Nevertheless I tried to use ssh on the local mashine called MINI while logged in as user rland and using one of the xterm's: ssh -l root MINI - the system then prompts me for the password and I keyed the root password. Reaction - permission denied root login through ssh is by default disabled, set the relevant parameter in /etc/ssh/sshd_config I did, but nothing changed. Should I restart the sshd, and if yes, how? I tried /sbin/sshd restart - it failed. Robert
Re: ssh authentication
Karsten wrote: Linking files under /root to normal user files is, in general, a Bad Thing[tm]. Instead, do this the right way, running as root: xauth -merge ~/my user id/.Xauthority You'll have to re-run this when updating your user xauth key, but this generally happens rarely. my user id - in this case the rland uid? What would the difference be when acting _only_ on the local mashine? Was your intention that TCP/IP traffic is not secure and a softlink to .Xauthority might be decoded? Robert
Re: ssh authentication
Yes you need to restart it. The command would be to run the sshd start from your init. This SHOULD be either: /etc/init.d/sshd restart or /etc/rc.d/init.d/sshd restart depending on your system. You will then need to re-login. Robert Thus spake robert_wilhelm_land ([EMAIL PROTECTED]): Carel Fellinger [EMAIL PROTECTED] wrote: On Tue, Nov 28, 2000 at 07:20:37PM +0100, robert_wilhelm_land wrote: ... Nevertheless I tried to use ssh on the local mashine called MINI while logged in as user rland and using one of the xterm's: ssh -l root MINI - the system then prompts me for the password and I keyed the root password. Reaction - permission denied root login through ssh is by default disabled, set the relevant parameter in /etc/ssh/sshd_config I did, but nothing changed. Should I restart the sshd, and if yes, how? I tried /sbin/sshd restart - it failed. Robert -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] :wq! --- Robert L. Harris| Micros~1 : Senior System Engineer |For when quality, reliability at RnD Consulting | and security just aren't \_ that important! DISCLAIMER: These are MY OPINIONS ALONE. I speak for no-one else. FYI: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
Re: ssh authentication
Robert L. Harris wrote: Yes you need to restart it. The command would be to run the sshd start from your init. This SHOULD be either: /etc/init.d/sshd restart or /etc/rc.d/init.d/sshd restart depending on your system. You will then need to re-login. this worked : /etc/init.d/ssh restart (only ssh) Robert
Re: ssh authentication
On Wed, Nov 29, 2000 at 04:38:09PM +0100, robert_wilhelm_land wrote: snipped stuff about linking /root/.Xauthority to ~user/.Xauthority No! Don't do this! By doing so you are lowering the security level of your machine down to your user account. It's bad enough that security depends on a root account; it should *never* depend on a user account. Lowering only the X11 root permissions or the permisions of all apps? I tried to edit /etc/passwd by user rland and it did not work. So file restrictions do not seem to be affected by root accessing .Xauthority in the rland ~/. No, it doesn't affect how actual commands behave. Root's account should be a protected and self-contained account. That's one of the reasons that root's not allowed (by default) to log in via the network. By having root read a user's configuration files, you're setting things up such that the ability to access your configuration file is identical to the ability to access root's config file. Any unauthorized access to your account implies access to root's account. In other words, if somebody cracked your machine in such a way that they could log in as you (*much* easier than cracking root access) they could use the fact that root reads your config files to gain root access. They could effectively modify root's .Xauthority simply by editing your own. I'm sure you'll think that that's very far fetched and extremely unlikely to happen. You're right, it probably won't ever happen. But it is something that you should be aware of and it's good to avoid it. It is a bad habbit to get in to. There are better and more secure ways to give root access to your user's X server. You should use those. Hope that clarifies things. noah -- ___ | Web: http://web.morgul.net/~frodo/ | PGP Public Key: http://web.morgul.net/~frodo/mail.html pgp8nshVlDDiP.pgp Description: PGP signature
Re: ssh authentication
Colin Watson wrote: [EMAIL PROTECTED] wrote: logged as a normal user I would like to open up X-apps requiring root permissions. As root in root's home directory, make .Xauthority a symbolic link to your normal user's .Xauthority file (or set the XAUTHORITY environment variable to the location of that file). Then you can just run X programs while inside 'su'. This works nicely - thank you very much! Launching ssh-keygen resulted in creating a file for the RSA key and a prompt for a passphrase. The relating manpage reports a required passphrase of at least 512bits. Key length isn't the same as passphrase length. The recommended passphrase length in that manpage is at least 10-30 characters. Nevertheless I tried to use ssh on the local mashine called MINI while logged in as user rland and using one of the xterm's: ssh -l root MINI - the system then prompts me for the password and I keyed the root password. Reaction - permission denied There must be something I had missed. How many bits are need for one char on a Intel mashine 8 on virtually every machine these days (anything with a C compiler has 8-bit chars, to start with), though that isn't important to your problem. Doesn't this rely on the OS and the processor. Would one char be coded by 8bits on the coming Intel 64bit processor and 64bit linux? Robert
Re: ssh authentication
on Tue, Nov 28, 2000 at 07:20:37PM +0100, robert_wilhelm_land ([EMAIL PROTECTED]) wrote: Colin Watson wrote: [EMAIL PROTECTED] wrote: logged as a normal user I would like to open up X-apps requiring root permissions. As root in root's home directory, make .Xauthority a symbolic link to your normal user's .Xauthority file (or set the XAUTHORITY environment variable to the location of that file). Then you can just run X programs while inside 'su'. This works nicely - thank you very much! *Don't* do this. Linking files under /root to normal user files is, in general, a Bad Thing[tm]. Instead, do this the right way, running as root: xauth -merge ~/my user id/.Xauthority You'll have to re-run this when updating your user xauth key, but this generally happens rarely. -- Karsten M. Self kmself@ix.netcom.com http://www.netcom.com/~kmself Evangelist, Zelerate, Inc. http://www.zelerate.org What part of Gestalt don't you understand? There is no K5 cabal http://gestalt-system.sourceforge.net/http://www.kuro5hin.org pgp1Mvh8DtYfS.pgp Description: PGP signature
Re: ssh authentication
On Tue, Nov 28, 2000 at 07:20:37PM +0100, robert_wilhelm_land wrote: ... Nevertheless I tried to use ssh on the local mashine called MINI while logged in as user rland and using one of the xterm's: ssh -l root MINI - the system then prompts me for the password and I keyed the root password. Reaction - permission denied root login through ssh is by default disabled, set the relevant parameter in /etc/ssh/sshd_config -- groetjes, carel
Re: ssh authentication
On Tue, Nov 28, 2000 at 07:20:37PM +0100, robert_wilhelm_land wrote: As root in root's home directory, make .Xauthority a symbolic link to your normal user's .Xauthority file (or set the XAUTHORITY environment variable to the location of that file). Then you can just run X programs while inside 'su'. This works nicely - thank you very much! No! Don't do this! By doing so you are lowering the security level of your machine down to your user account. It's bad enough that security depends on a root account; it should *never* depend on a user account. Nevertheless I tried to use ssh on the local mashine called MINI while logged in as user rland and using one of the xterm's: ssh -l root MINI - the system then prompts me for the password and I keyed the root password. Reaction - permission denied There must be something I had missed. Yes. By default Debian ships with root logins disabled. This is a security measure, and a good thing. You could go mucking about with the PAM configs and change this, but it's better to log in as a user and use su/sudo. Another person responded to your mail and suggested using xauth to allow root to access your X server. This is the right way to do it. noah -- ___ | Web: http://web.morgul.net/~frodo/ | PGP Public Key: http://web.morgul.net/~frodo/mail.html pgpiRsI4PpV4T.pgp Description: PGP signature
Re: ssh authentication
[EMAIL PROTECTED] (robert_wilhelm_land) writes: logged as a normal user I would like to open up X-apps requiring root permissions. I've been able to open X-apps as root using sudo. IMHO, sudo should be a required package in Debian. Hubert
Re: ssh authentication
[EMAIL PROTECTED] wrote: logged as a normal user I would like to open up X-apps requiring root permissions. As root in root's home directory, make .Xauthority a symbolic link to your normal user's .Xauthority file (or set the XAUTHORITY environment variable to the location of that file). Then you can just run X programs while inside 'su'. Launching ssh-keygen resulted in creating a file for the RSA key and a prompt for a passphrase. The relating manpage reports a required passphrase of at least 512bits. Key length isn't the same as passphrase length. The recommended passphrase length in that manpage is at least 10-30 characters. How many bits are need for one char on a Intel mashine 8 on virtually every machine these days (anything with a C compiler has 8-bit chars, to start with), though that isn't important to your problem. -- Colin Watson [EMAIL PROTECTED]