RSAキーでパスワードなしのSSHを設定する方法

Question

2台のマシン間でパスワードなしのSSH設定をセットアップしようとしていますが、問題があります。私がフォローしていて成功しなかったハウツーがたくさんあります。これが私が取ったステップです

クライアントで認証キーを生成します。（パスフレーズの入力を求められたらEnterキーを押します）[root@box1:.ssh/$] ssh-keygen -t rsa
公開鍵をサーバーにコピーします。 [root@box1:.ssh/$] scp id_rsa.pub root@box2:.ssh/authorized_keys
承認済みのキーがサーバーで正常に作成されたことを確認しました
次のコマンドを実行しました：[root@box1:.ssh/$] ssh root@box2 ls

そして、私はまだパスワードの入力を求められました。「実行中のSSHのバージョンに応じて...」と書かれた1つの手引きに関するメモを読みました（ただし、必要なバージョンは指定されていませんでした）。

.ssh/authorized_keys2の公開鍵
.sshから700までの権限
.ssh/authorized_keys2から640へのアクセス許可

私もそれらの手順に従いましたが、成功しませんでした。ホーム、ルート、および.sshディレクトリがグループごとに書き込み可能ではないことを確認しました（ https://unix.stackexchange.com/tags/ssh/info による）。

誰かが私が見逃しているアイデアを持っていますか？

ありがとう

編集：ssh-copy-idコマンドを使用して公開鍵を2番目のボックスにコピーし、それによって.ssh/authorized_keysファイル。

[root@box1:.ssh/$] ssh-copy-id -i id_rsa.pub root@box2

EDIT2：バージョン情報を含む

// box1（システムキーはで生成されました）

Linux 2.6.34
OpenSSH_5.5p1 Debian-6、OpenSSL 0.9.8o 2010年6月1日

//ボックス2

Linux 2.6.33
Dropbearクライアントv0.52

EDIT3：デバッグ出力

[root@box1:.ssh/$] ssh -vvv root@box2 ls OpenSSH_5.5p1 Debian-6, OpenSSL 0.9.8o 01 Jun 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to box2 [box2] port 22. debug1: Connection established. debug1: permanently_set_uid: 0/0 debug3: Not a RSA1 key file /root/.ssh/id_rsa. debug2: key_type_from_name: unknown key type '-----BEGIN' debug3: key_read: missing keytype debug3: key_read: missing whitespace debug2: key_type_from_name: unknown key type '-----END' debug3: key_read: missing keytype debug1: identity file /root/.ssh/id_rsa type 1 debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048 debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048 debug1: identity file /root/.ssh/id_rsa-cert type -1 debug1: identity file /root/.ssh/id_dsa type -1 debug1: identity file /root/.ssh/id_dsa-cert type -1 debug1: Remote protocol version 2.0, remote software version dropbear_0.52 debug1: no match: dropbear_0.52 debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6 debug2: fd 3 setting O_NONBLOCK debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman- group14-sha1,diffie-hellman-group1-sha1 debug2: kex_parse_kexinit: ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-rsa,ssh-dss debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish- cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysatoe debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish- cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysatoe debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac- sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac- sha1-96,hmac-md5-96 debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: first_kex_follows 0 debug2: kex_parse_kexinit: reserved 0 debug2: kex_parse_kexinit: diffie-hellman-group1-sha1 debug2: kex_parse_kexinit: ssh-rsa,ssh-dss debug2: kex_parse_kexinit: aes128-ctr,3des-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish- cbc,twofish128-cbc,blowfish-cbc debug2: kex_parse_kexinit: aes128-ctr,3des-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish- cbc,twofish128-cbc,blowfish-cbc debug2: kex_parse_kexinit: hmac-sha1-96,hmac-sha1,hmac-md5 debug2: kex_parse_kexinit: hmac-sha1-96,hmac-sha1,hmac-md5 debug2: kex_parse_kexinit: zlib,zlib@openssh.com,none debug2: kex_parse_kexinit: zlib,zlib@openssh.com,none debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: debug2: kex_parse_kexinit: first_kex_follows 0 debug2: kex_parse_kexinit: reserved 0 debug2: mac_setup: found hmac-md5 debug1: kex: server->client aes128-ctr hmac-md5 none debug2: mac_setup: found hmac-md5 debug1: kex: client->server aes128-ctr hmac-md5 none debug2: dh_gen_key: priv key bits set: 132/256 debug2: bits set: 515/1024 debug1: sending SSH2_MSG_KEXDH_INIT debug1: expecting SSH2_MSG_KEXDH_REPLY debug3: check_Host_in_hostfile: Host 192.168.20.10 filename /root/.ssh/known_hosts debug3: check_Host_in_hostfile: Host 192.168.20.10 filename /root/.ssh/known_hosts debug3: check_Host_in_hostfile: match line 3 debug1: Host 'box2' is known and matches the RSA Host key. debug1: Found key in /root/.ssh/known_hosts:3 debug2: bits set: 522/1024 debug1: ssh_rsa_verify: signature correct debug2: kex_derive_keys debug2: set_newkeys: mode 1 debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug2: set_newkeys: mode 0 debug1: SSH2_MSG_NEWKEYS received debug1: Roaming not allowed by server debug1: SSH2_MSG_SERVICE_REQUEST sent debug2: service_accept: ssh-userauth debug1: SSH2_MSG_SERVICE_ACCEPT received debug2: key: /root/.ssh/id_rsa (0x54b1c340) debug2: key: /root/.ssh/id_dsa ((nil)) debug1: Authentications that can continue: publickey,password debug3: start over, passed a different list publickey,password debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_lookup publickey debug3: remaining preferred: keyboard-interactive,password debug3: authmethod_is_enabled publickey debug1: Next authentication method: publickey debug1: Offering public key: /root/.ssh/id_rsa debug3: send_pubkey_test debug2: we sent a publickey packet, wait for reply debug1: Authentications that can continue: publickey,password debug1: Trying private key: /root/.ssh/id_dsa debug3: no such identity: /root/.ssh/id_dsa debug2: we did not send a packet, disable method debug3: authmethod_lookup password debug3: remaining preferred: ,password debug3: authmethod_is_enabled password debug1: Next authentication method: password

EDIT4：別の興味深い開発。（OpenSSHを実行する）box1でキーを生成し、（dropbearを実行する）box2にキーをコピーする代わりに、逆にそれを行いました：

[root@box2:.ssh/$] dropbearkey -t rsa -f id_rsa [root@box2:.ssh/$] dropbearkey -y -f id_rsa | grep "^ssh-rsa" >> authorized_keys [root@box2:.ssh/$] scp authorized_keys root@box1:.ssh/

これにより、IDファイルを指定した場合にのみ、box2からbox1にパスワードなしでコマンドを正常に発行できます。[root@box2:.ssh/$] ssh -i id_rsa root@box1 ls

それでも、box1（OpenSSH）からbox2（dropbear）にコマンドを発行できません。

linsek · Accepted Answer

問題の原因を見つけました。 /var/log/messagesには、奇妙な所有権について漠然としたメッセージがあり、私をひっくり返しました。そこで確認したところ、/root、/root/.ssh、/root/.ssh/*の権限はすべて正しい（700）でしたが、所有権はdefault.defaultでした。それがどのように起こったのかわかりません...しかし私は走りました：

[root@box1:.ssh/$] chown root.root /root
[root@box1:.ssh/$] chown root.root /root/.ssh
[root@box1:.ssh/$] chown root.root /root/.ssh/*

所有権をrootに変更し、パスワードなしのログインは両方向で機能します。

[root@box1:.ssh/$] chown root.root /root [root@box1:.ssh/$] chown root.root /root/.ssh [root@box1:.ssh/$] chown root.root /root/.ssh/*

所有権をrootに変更し、パスワードなしのログインは両方向で機能します。

roknir · Answer

これは非常に単純な記事の1つで、SSHキーの設定をどうするかを正確に覚えていない場合によく訪れます。簡潔ですが、完全で簡潔です。

http://linuxproblem.org/art_9.html

bagavadhar · Answer

Sshでのrootログインが許可されているかどうかを確認できますか？ keygenは通常、パスワードの入力を求めます。 keygenの間にパスフレーズを作成しましたか？はいの場合、そのパスワードの入力を求められます。ヘッドレスアカウントにパスワードなしのアクセスが必要な場合は、パスワードなしの秘密鍵を作成します。