Next - Dropbear - ssh keyfile

FIRMWARE

Moderator: ModTeam

User avatar
type5demonlord
Posts: 11
Joined: Wed Mar 26, 2008 18:13
Product(s): AMS 150
V2.00(02-21-2008)
Next V2.0.01-TW for AMS
Next webadmin V2.2.0 for AMS and SBLAN2
Next dropbear V0.51b for AMS and SBLAN2

Next - Dropbear - ssh keyfile

Postby type5demonlord » Fri Aug 08, 2008 15:34

Hallo,
erstmal geil das das alles funktioniert. Großes Lob an die Macher der Extensions.

Kurze Frage: Weiß jemand ob ein keyfile für den dropbear unterstützt wird? Und wenn ja, wie kann ich eins erzeugen und wo muss ich es hinkopieren?

Danke
-Matthias

User avatar
lochness
Posts: 3224
Joined: Sat Feb 04, 2006 20:42
Product(s): Myrica TV P42-2H
AMC 570 SAT (3.2.419 + VZD2)
AMC 370 SAT (1.6.115+VZD2)
AMP 150 (1.03.28eu)
3 x AMS 150 (V2.00 + NExt V2.0.06)
SBLAN2 R1.0 (V2.00 + NExt V2.0.06)
SBLAN2 R1.1 (V2.00 + NExt V2.0.06)
Storagebird DUO 35-LR (V1.03)
SB-L V1 (80GB, NetHDD007-0802)
Celvin Q800 4x2TB
Celvin Q700 2x1TB
Celvin Q600 1x2TB
Location: Bad Lippspringe

Re: Next - Dropbear - ssh keyfile

Postby lochness » Thu Aug 14, 2008 7:26

Ich habe zwar das Paket rausgegeben, aber ehrlich gesagt, weiss ich nicht genau, was Du meinst, da ich von Dropbear auch wenig Ahnung habe :). Bitte beschreibe mal genauer, was Dir da fehlt.

User avatar
zaphod42
Posts: 312
Joined: Fri Aug 31, 2007 17:14
Product(s): No FSC Products any more...
Location: Nürnberg

Re: Next - Dropbear - ssh keyfile

Postby zaphod42 » Thu Aug 14, 2008 14:19

lochness wrote:Ich habe zwar das Paket rausgegeben, aber ehrlich gesagt, weiss ich nicht genau, was Du meinst, da ich von Dropbear auch wenig Ahnung habe :). Bitte beschreibe mal genauer, was Dir da fehlt.


Hi Nessie,

bei SSH hast Du verschiedene Möglichkeiten, den Benutzer am Zielhost zu authentifizieren. Einmal geht das wie gewohnt über Login und Passwort und außerdem hast Du die Möglichkeit die Authentifizierung über sogenannte ssh keys (oder auch Zertifikate) zu machen. Die bessere und sichere Variante ist die über Key-Files. Dazu wird z.b. auf dem Client ein Key pair (public und private) erzeugt. Der public Key gehört dann auf den Zielhost in das Verzeichnis $HOME/.ssh und mit dem private Key (der auf dem Client ist) meldest Du Dich dann am Zielhost (via sshd) an. Der private Key ist dann üblicherweise mit einer Passphrase geschützt, die man beim Login auf dem Client eingeben muss, welche aber nicht an den Zeilhost übertragen wird.

Die Frage war wohl nun, ob der dropbear diese key files unterstützt. Kann ich aber auch nicht beantworten, da ich dieses Paket nicht einsetze. Ich vermute aber mal, dass er es kann... :wink:

Cheers,
Zap
Das Universum dehnt sich ständig aus und ich finde immer noch keinen Parkplatz... (Harald Lesch)

Programming is like s*e*x, one mistake and you have to support it for the rest of your life... (Mike Sinz, aus alten Commodore Zeiten...)

hennesk
Posts: 16
Joined: Wed Jul 30, 2008 0:25
Product(s): AMS 150 (V2.00(02-21-2008) + NExt V2.0.01-TW for AMS)

Re: Next - Dropbear - ssh keyfile

Postby hennesk » Thu Aug 14, 2008 15:33

es gäbe beim AMS150 allerdings Probleme, da per default alle via Web-Interface angelegten Benutzer
das gleiche Home-Verzeichnis /mnt in /etc/passwd eingetragen bekommen. Damit hätten alle
Benutzer das gleiche $HOME/.ssh Verzeichnis so wie schon jetzt für alle Benutzer das gleiche
$HOME/.profile gilt.

hennesk

User avatar
zaphod42
Posts: 312
Joined: Fri Aug 31, 2007 17:14
Product(s): No FSC Products any more...
Location: Nürnberg

Re: Next - Dropbear - ssh keyfile

Postby zaphod42 » Thu Aug 14, 2008 15:55

Hi hennesk,

da hast Du natürlich Recht. Aber wenn ich einem anderen User SSH Zugang zu meinem AMS erlauben würde, dann würde ich den User auch nicht per Web-Interface anlegen, sondern mal ganz geschmeidig zu telnet (oder putty) greifen und das in der Console erledigen... :wink:

Cheers,
Zap
Das Universum dehnt sich ständig aus und ich finde immer noch keinen Parkplatz... (Harald Lesch)

Programming is like s*e*x, one mistake and you have to support it for the rest of your life... (Mike Sinz, aus alten Commodore Zeiten...)

User avatar
lochness
Posts: 3224
Joined: Sat Feb 04, 2006 20:42
Product(s): Myrica TV P42-2H
AMC 570 SAT (3.2.419 + VZD2)
AMC 370 SAT (1.6.115+VZD2)
AMP 150 (1.03.28eu)
3 x AMS 150 (V2.00 + NExt V2.0.06)
SBLAN2 R1.0 (V2.00 + NExt V2.0.06)
SBLAN2 R1.1 (V2.00 + NExt V2.0.06)
Storagebird DUO 35-LR (V1.03)
SB-L V1 (80GB, NetHDD007-0802)
Celvin Q800 4x2TB
Celvin Q700 2x1TB
Celvin Q600 1x2TB
Location: Bad Lippspringe

Re: Next - Dropbear - ssh keyfile

Postby lochness » Thu Aug 14, 2008 15:58

Wenn ich das richtig verstehe, muss man doch sowieso manuell auf dem AMS per Console eingreifen. dan könnte man doch auch das Homedirectory des Users umsetzen, oder für Dropbear-Zugang einen neuen User anlegen, mit eigenem Homedirectory (wäre wohl besser).

Die Dropbear-Implementierung, die ich genommen habe, steht aber in der readme, vielleicht bekommt ihr ja raus, wie man das konfigurieren muss und könnt es hier posten. Vor Montag komme ich leider nicht dazu, was nachzusehen.

User avatar
zaphod42
Posts: 312
Joined: Fri Aug 31, 2007 17:14
Product(s): No FSC Products any more...
Location: Nürnberg

Re: Next - Dropbear - ssh keyfile

Postby zaphod42 » Thu Aug 14, 2008 16:05

lochness wrote:Wenn ich das richtig verstehe, muss man doch sowieso manuell auf dem AMS per Console eingreifen. dan könnte man doch auch das Homedirectory des Users umsetzen, oder für Dropbear-Zugang einen neuen User anlegen, mit eigenem Homedirectory (wäre wohl besser).


Mein reden...(s.o.) :wink:

Die Dropbear-Implementierung, die ich genommen habe, steht aber in der readme, vielleicht bekommt ihr ja raus, wie man das konfigurieren muss und könnt es hier posten. Vor Montag komme ich leider nicht dazu, was nachzusehen.


Ich auch nicht... mein AMS ist seit meinem Umzug nicht einmal angeschlossen...

Cheers,
Zap
Das Universum dehnt sich ständig aus und ich finde immer noch keinen Parkplatz... (Harald Lesch)

Programming is like s*e*x, one mistake and you have to support it for the rest of your life... (Mike Sinz, aus alten Commodore Zeiten...)

User avatar
lochness
Posts: 3224
Joined: Sat Feb 04, 2006 20:42
Product(s): Myrica TV P42-2H
AMC 570 SAT (3.2.419 + VZD2)
AMC 370 SAT (1.6.115+VZD2)
AMP 150 (1.03.28eu)
3 x AMS 150 (V2.00 + NExt V2.0.06)
SBLAN2 R1.0 (V2.00 + NExt V2.0.06)
SBLAN2 R1.1 (V2.00 + NExt V2.0.06)
Storagebird DUO 35-LR (V1.03)
SB-L V1 (80GB, NetHDD007-0802)
Celvin Q800 4x2TB
Celvin Q700 2x1TB
Celvin Q600 1x2TB
Location: Bad Lippspringe

Re: Next - Dropbear - ssh keyfile

Postby lochness » Thu Aug 14, 2008 19:58

zaphod42 wrote:
lochness wrote:Wenn ich das richtig verstehe, muss man doch sowieso manuell auf dem AMS per Console eingreifen. Dann könnte man doch auch das Homedirectory des Users umsetzen, oder für Dropbear-Zugang einen neuen User anlegen, mit eigenem Homedirectory (wäre wohl besser).

Mein reden...(s.o.) :wink:
Ups :oops:, da haben wir wohl fast zeitgleich die gleiche Idee gehabt :)... Komisch, sonst bekommt man im Forum doch angezeigt, wenn ein anderer gepostet hat, während man schreibt :? ...

User avatar
type5demonlord
Posts: 11
Joined: Wed Mar 26, 2008 18:13
Product(s): AMS 150
V2.00(02-21-2008)
Next V2.0.01-TW for AMS
Next webadmin V2.2.0 for AMS and SBLAN2
Next dropbear V0.51b for AMS and SBLAN2

Re: Next - Dropbear - ssh keyfile

Postby type5demonlord » Mon Aug 18, 2008 10:17

Hallo,
danke schon mal für die vielen Antworten. Unterstützen tut das Teil es auf jeden Fall, da man bei den Startoptionen des dropbears ja auch die (unsichereren) Password-Logins deaktivieren kann und somit nur noch die keyfile-authentification zulässt. Das Problem, wie es auch jetzt konkretisiert wurde, ist, wo kommt das authorized_keys2-file hin und wie löst man das Problem mit den User<->Homedirectory-Mapping

Gruß
-Matthias

hennesk
Posts: 16
Joined: Wed Jul 30, 2008 0:25
Product(s): AMS 150 (V2.00(02-21-2008) + NExt V2.0.01-TW for AMS)

Re: Next - Dropbear - ssh keyfile

Postby hennesk » Mon Aug 18, 2008 21:35

ich habe mal probeweise bei einem normalen Benutzer-Account das home-Verzeichnis geändert.
Dadurch konnte man zwar ein individuelles ".profile" anlegen, das von FSC mitgelieferte ftpd
lief aber nicht mehr richtig, da die entscheidenden Zugriffs-Rechte im file "/mnt/.ftpd.conf"
abgelegt sind. Selbst eine Kopie dieser Datei in das neue home-Verzeichnis bringt keine Lösung.
Hier hilft nur ein neues offenes ftpd-Programm.

hennesk

User avatar
lochness
Posts: 3224
Joined: Sat Feb 04, 2006 20:42
Product(s): Myrica TV P42-2H
AMC 570 SAT (3.2.419 + VZD2)
AMC 370 SAT (1.6.115+VZD2)
AMP 150 (1.03.28eu)
3 x AMS 150 (V2.00 + NExt V2.0.06)
SBLAN2 R1.0 (V2.00 + NExt V2.0.06)
SBLAN2 R1.1 (V2.00 + NExt V2.0.06)
Storagebird DUO 35-LR (V1.03)
SB-L V1 (80GB, NetHDD007-0802)
Celvin Q800 4x2TB
Celvin Q700 2x1TB
Celvin Q600 1x2TB
Location: Bad Lippspringe

Re: Next - Dropbear - ssh keyfile

Postby lochness » Mon Aug 18, 2008 21:45

Danke für den Test. Vielleicht können die Benutzer trotzdem damit leben? Ich meine, wer macht schon sicheres SSH mit einem Keyfile und macht dann mit dem gleichen User unsicheres ftp? Da könnte man dann doch auch scp verwenden. Funktioniert das denn dann mit dem Keyfile, wenn man das Homedirectory umlegt?

Ein offenes ftpd Programm nützt aber auch nichts, oder? Würde das denn mit den Zugriffsrechten laufen? Weil doch alle Ordner und Dateien für User, Group und World Lese- und Schreibberechtigung im Linux-Dateisystem haben. Wir hatten vsftp (ohne SSL) und andere mal evaluiert, unserer Ansicht nach was das nichts, da müsste man erst Teile des FSC ftpd integrieren, oder zumindest eine Konfiguration schaffen.

User avatar
type5demonlord
Posts: 11
Joined: Wed Mar 26, 2008 18:13
Product(s): AMS 150
V2.00(02-21-2008)
Next V2.0.01-TW for AMS
Next webadmin V2.2.0 for AMS and SBLAN2
Next dropbear V0.51b for AMS and SBLAN2

Re: Next - Dropbear - ssh keyfile

Postby type5demonlord » Mon Aug 18, 2008 22:33

Korrekt, auf ftp könnte man verzichten.

-M.


Return to “Firmware”

Who is online

Users browsing this forum: No registered users and 1 guest

cron