Server administrieren - wo fange ich an?

CodeHat · December 1, 2024 at 11:35 AM

Quote from Exception

So musst du dir kein Passwort merken

Außer du verschlüsselst den SSH Key mit einem Passwort.

Dennoch bin ich auch der Meinung, dass ein SSH Key weiterhin sinnvoll ist. Vielleicht dann aber ohne die vorher angemerkte Verschlüsselung.

aRaphael · December 1, 2024 at 11:44 AM

Für manche Sever nutze ich keine keys. Und zwar für die, auf die von allen möglichen verschiedenen Rechnern aus zugegriffen werden muss und das auch noch von mehr als einem Admin. Langes, aber leicht zu merkendes Passwort und gut ist.

Loxley · December 1, 2024 at 12:30 PM

Quote from Bud

Wenn ich einen Zugriff auf all meine Server via SSH nur für eine IP erlaube (VPN Server), bringt mir ein SSH-Key dann noch irgendeinen Vorteil, oder kann ich mir das sorgenfrei sparen?

IMHO ist Sicherheit etwas, dass aus vielen verschiedenen großen und kleinen Dingen zusammengesetzt ist, die alle zum Ziel haben, verschiedene Risiken zu minimieren. Wenn man jetzt anfängt, einzelne Dinge wegzulassen, weil andere „bessere“ Dinge sie vermeintlich überflüssig machen, verschenkt man Securitypotential. Ich tippe lieber einmal das Passwort für mein Keyfile.

Olivetti · December 1, 2024 at 8:58 PM

durch den unverschlüsselten key gewinne ich ja bequemlichkeit.

soetwas würde ich niemals weglassen und auf meinen ssh-servern ist eh' nur key-login erlaubt.

gem · December 1, 2024 at 9:38 PM

Ist meiner Meinung nach immer eine Abwägung zwischen Bequemlichkeit und Sicherheit.

Ich verwende grundsätzlich nur Keys mit Passwort, dann muss ich mir weniger Gedanken machen, ob ein Server nur via Hop oder evtl. doch direkt erreichbar ist.

Passworte sind eher die Ausnahme, z.b. bei Test-Systemen oder für unprivilegierte User (ohne sudo etc.)

Allerdings muss ich zugeben, dass ich mit passwortgeschützten Keys gerade bei automatisierten Aufgaben (Ansible, cron, ...) so meine Probleme habe.

Exception · December 1, 2024 at 11:33 PM

Quote from gem

Allerdings muss ich zugeben, dass ich mit passwortgeschützten Keys gerade bei automatisierten Aufgaben (Ansible, cron, ...) so meine Probleme habe.

Ich würde dir raten, nicht den Key selbst zu verschlüsseln sondern lieber den Private Key in einem Passwort Manager zu hinterlegen. Viele Passwort Manager z.B. 1password haben einen SSH-Agent mit an Board. So hat man jederzeit den Private Key an einem sicheren Ort, gleichzeitig kann man sich ganz bequem zu den Servern verbinden. Auch bieten viele Passwort Manager CLI Tools an, um eben Automatisierungen zu ermöglichen.

Mordor · December 1, 2024 at 11:54 PM

Meine SSH-Server sind nur über ein VPN erreichbar. Zusätzlich habe ich noch einen Jump-Host.

Ich verwende ausschließlich SSH-Keys mit Passwort. Die speichere ich in meinem User-Keyring.

Ansible nutzt den Keyring, so dass ich problemlos automatisieren kann, trotz Password.

Borgqueen · December 10, 2024 at 2:28 PM

Hallo zusammen,

ich habe bei einem meiner Server angefangen bei Neuinstallationen nicht mehr den Apache2 zu verwenden, sondern nginx.

Des Weiteren zeigt es mir die eine Apache2 Startseite ein und nicht die von nginx.

Dabei ist apache2 gar nicht installiert.

Installiert ist certbot letsencrypt php8.3 sury

Borgqueen · December 10, 2024 at 2:51 PM

Quote from Borgqueen

Hallo zusammen,

ich habe bei einem meiner Server angefangen bei Neuinstallationen nicht mehr den Apache2 zu verwenden, sondern nginx.

Des Weiteren zeigt es mir die eine Apache2 Startseite ein und nicht die von nginx.

Dabei ist apache2 gar nicht installiert.

Installiert ist certbot letsencrypt php8.3 sury

Hat sich erledigt.

Das Problem saß vor dem Computer.

Bud · December 25, 2024 at 3:33 PM

Ich spiele gerade mit dem Gedanken, ein paar meiner Server innerhalb „meines Verbunds“ einzuschließen, also jeglichen Zugriff zu verbieten, mit Ausnahme von den „eigenen“ IPs. Das macht für mich vor allem für das Monitoring sowie meinen Docker Sinn.

Spricht da etwas dagegen? Wie stelle ich sicher, dass z. B. unattended-upgrades oder natürlich auch ein manuelles apt update etc. nach wie vor funktioniert? Wie kann ich den Servern erlauben, weiterhin Nachrichten via TelegramBot zu versenden?

-Manu- · December 25, 2024 at 4:29 PM

Das kommt darauf an wie scharf du das Ganze betreiben willst, zumal (zumindest ich) deine Systeme und deren Kommunikationsbeziehungen nicht kenne^^

Also zunächst rein generisch:

Ein Anfang wäre es, der/die Firewall(s) auf "DENY incoming" zu setzen (keine eingehenden Verbindungen erlaubt). Per Whistelisting dann die eigenen IPs + nötige Ports,etc. erlauben.

Im Ergebnis lässt dein Server nun keine eingehenden Kommunikationsbezeihungen außer von den erlaubten IPs und zu den konfigurierten Ports zu.

Ausgehend kann man das Ganze natürlich auch beliebig komplex konfigurieren, aber ein "ALLOW outgoing" (ausgehende Verbindungen vom Server sind erlaubt) sollte ahS erstmal absolut OK sein.

Im Gesamtergebnis können nur noch deine eigenen IPs über von dir definierte Ports mit dem Server sprechen. Ausgehend würden hier zunächst keine Einschränkungen herrschen, womit auch ein "apt update",etc. weiterhin as usual funktioniert.

Wenn dein "apt update" eine Verbindung zu bspw. den Debian-Repo-Servern aufbaut, ist die anschließende und zugehörige eingehende Verbindung zulässig. Hier muss also nichts zusätzlich bei eingehenden Verbindungen konfiguriert werden.

Das ist jetzt aber (wie genannt) absolut generisch ohne Round-About...würde aber so funktionieren.

-----------------------

Ich betreibe bspw. diverse Services in einem "Backend". D.h. hier befinden sich mehrere Services innerhalb eines privaten IPv4-Netzes und einem zusätzlichen IPv6-Subnetz (ich nutze Proxmox, daher das zusätzliche Subnetz...sonst ist das bei Netcup mit IPv6 leider nur ein rumgesch*sse)

Als "Gatekeeper" terminieren alle eingehenden Verbindungen immer auf einem vorgeschalteten Reverse-Proxy (nginx), der das Ganze dann in mein "Backend" zum entsprechenden Service weiterschubst. Meine Services selber lassen Ausnahmslos nur eingehenden IP-Verkehr aus diesem genannten, privaten IPv4-Netz sowie nur meinem eigenem zusätzlichen IPv6-Subnetz zu. D.h. von "außen" kommt keiner an die Services.

Auch alle meine DNS-Records terminieren alle auf dem Reverse-Proxy.

Bildlich gesehen eine "Bubble" mit allen meinen Services und einem Reverse-Proxy obendrauf. Intern können die miteinander sprechen wie sie wollen...von außen geht`s nur über den Revers-Proxy rein.

Das Ganze könnte man eingehend am Reverse-Proxy jetzt natürlich (wie in deiner Idee) noch auf bestimmte IPs festnageln..

Da gibt es auch andere Lösungen, aber in meinem Fall war das für mich die zweckmäßigste.

H6G · December 25, 2024 at 9:20 PM

Quote from Bud

Spricht da etwas dagegen? Wie stelle ich sicher, dass z. B. unattended-upgrades oder natürlich auch ein manuelles apt update etc. nach wie vor funktioniert? Wie kann ich den Servern erlauben, weiterhin Nachrichten via TelegramBot zu versenden?

Port 80 und 443 TCP und 53 UDP ausgehend erlauben. Damit funktionieren APT, Telegram Bot und DNS noch sauber.

Bash

#!/bin/sh

#IPv4 Firewall
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p 41 -j DROP
iptables -A FORWARD -p 41 -j DROP

#Updateserver
iptables -A OUTPUT -p tcp -m tcp --dport 80  -m state --state NEW  -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT

#DNS
iptables -N CH-DNS
iptables -A OUTPUT -p tcp -m tcp --dport 53  -m state --state NEW  -j CH-DNS
iptables -A OUTPUT -p udp -m udp --dport 53  -m state --state NEW  -j CH-DNS
iptables -A CH-DNS  -d 8.8.4.4   -j ACCEPT
iptables -A CH-DNS  -d 8.8.8.8   -j ACCEPT

#ICMP
iptables -A INPUT -p icmp  -m icmp --icmp-type any  -m state --state NEW  -j ACCEPT
iptables -A OUTPUT -p icmp  -m icmp -o eth0 --icmp-type any  -m state --state NEW  -j ACCEPT

#Global Policy Reject
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
iptables -A OUTPUT -j REJECT

#IPv6 Firewall
ip6tables -F
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

#DNS
ip6tables -N CH-DNS
ip6tables -A OUTPUT -p tcp -m tcp  -o eth0   --dport 53  -m state --state NEW  -j CH-DNS
ip6tables -A OUTPUT -p udp -m udp  -o eth0   --dport 53  -m state --state NEW  -j CH-DNS
ip6tables -A CH-DNS  -d 2001:4860:4860::8888   -j ACCEPT
ip6tables -A CH-DNS  -d 2001:4860:4860::8844   -j ACCEPT

#ICMP
ip6tables -N CH-ICMP-IN
ip6tables -N CH-ICMP-FW

ip6tables -A INPUT -p icmpv6 -j CH-ICMP-IN
ip6tables -A INPUT -p icmpv6 -j CH-ICMP-FW
ip6tables -A FORWARD -p icmpv6 -j CH-ICMP-FW
ip6tables -A OUTPUT -p icmpv6 -j CH-ICMP-IN
ip6tables -A OUTPUT -p icmpv6 -j CH-ICMP-FW

#ICMP Neighbor Discovery
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 130 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 131 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 132 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 133 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 134 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 135 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 136 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 141 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 142 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 143 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 148 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 149 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 151 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 152 -j ACCEPT
ip6tables -A CH-ICMP-IN -p icmpv6 --icmpv6-type 153 -j ACCEPT

ip6tables -A CH-ICMP-FW -m state --state INVALID -j DROP
ip6tables -A CH-ICMP-FW -m state --state ESTABLISHED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 1 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6  --icmpv6-type 2 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 3 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 4 -m state --state RELATED -j ACCEPT
ip6tables -A CH-ICMP-FW -p icmpv6 --icmpv6-type 128 -m state --state NEW -j ACCEPT

#Global Policy Reject
ip6tables -A INPUT -j REJECT
ip6tables -A FORWARD -j REJECT
ip6tables -A OUTPUT -j REJECT

Display More

Bud · January 28, 2025 at 6:12 PM

Ich habe nun endlich mal wieder Zeit mich mit Servern zu befassen, und verzweifle gerade dabei, mich via Linux auf einen Server einzuloggen. Vorher habe ich das auf Windows immer via PUTTY gemacht, das ging problemlos, jetzt bin ich aber auf Linux als OS am Laptop umgestiegen. Ich bin eindeutig KlickBunti-Verseucht. Ich bin wie folgt vorgegangen:

Schlüsselpaar generieren: ssh-keygen -o -a 100 -t ed25519

pub habe ich im SCP hinterlegt und bei der Installation des Images wie gewohnt ausgewählt.

Wenn ich aber versuche mich zu verbinden, bekomme ich folgende Fehlermeldung:

Code

bud@thinkpad:~$ ssh bud@192.0.2.211
bud@192.0.2.211: Permission denied (publickey).
bud@thinkpad:~$

ssh -vvv bud@192.0.2.211 liefert mir Folgendes, woraus ich nicht wirklich schlau werde: (Aufgeteilt in 2 Beiträge, da über 10k Zeichen)

Code

bud@thinkpad:~$ ssh -vvv bud@192.0.2.211
OpenSSH_9.6p1 Ubuntu-3ubuntu13.5, OpenSSL 3.0.13 30 Jan 2024
debug1: Reading configuration data /home/bud/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug2: resolve_canonicalize: hostname 192.0.2.211 is address
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/home/bud/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/home/bud/.ssh/known_hosts2'
debug3: channel_clear_timeouts: clearing
debug3: ssh_connect_direct: entering
debug1: Connecting to 192.0.2.211 [192.0.2.211] port 22.
debug3: set_sock_tos: set socket 3 IP_TOS 0x10
debug1: Connection established.
debug1: identity file /home/bud/.ssh/id_rsa type -1
debug1: identity file /home/bud/.ssh/id_rsa-cert type -1
debug1: identity file /home/bud/.ssh/id_ecdsa type -1
debug1: identity file /home/bud/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/bud/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/bud/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/bud/.ssh/id_ed25519 type -1
debug1: identity file /home/bud/.ssh/id_ed25519-cert type -1
debug1: identity file /home/bud/.ssh/id_ed25519_sk type -1
debug1: identity file /home/bud/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/bud/.ssh/id_xmss type -1
debug1: identity file /home/bud/.ssh/id_xmss-cert type -1
debug1: identity file /home/bud/.ssh/id_dsa type -1
debug1: identity file /home/bud/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.5
debug1: Remote protocol version 2.0, remote software version OpenSSH_9.6p1 Ubuntu-3ubuntu13.5
debug1: compat_banner: match: OpenSSH_9.6p1 Ubuntu-3ubuntu13.5 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 192.0.2.211:22 as 'bud'
debug3: record_hostkey: found key type ED25519 in file /home/bud/.ssh/known_hosts:11
debug3: load_hostkeys_file: loaded 1 keys from 192.0.2.211
debug1: load_hostkeys: fopen /home/bud/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug3: order_hostkeyalgs: have matching best-preference key type ssh-ed25519-cert-v01@openssh.com, using HostkeyAlgorithms verbatim
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-c,kex-strict-c-v00@openssh.com
debug2: host key algorithms: ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos:

Display More

Bud · January 28, 2025 at 6:13 PM

Code

debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-s,kex-strict-s-v00@openssh.com
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com
debug2: compression stoc: none,zlib@openssh.com
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug3: kex_choose_conf: will use strict KEX ordering
debug1: kex: algorithm: sntrup761x25519-sha512@openssh.com
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug3: send packet: type 30
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug3: receive packet: type 31
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:5feKN9VSv5li6kP8Ou4op1Zdh7U0hLSzylwrEwHSPJ8
debug3: record_hostkey: found key type ED25519 in file /home/bud/.ssh/known_hosts:11
debug3: load_hostkeys_file: loaded 1 keys from 192.0.2.211
debug1: load_hostkeys: fopen /home/bud/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: Host '192.0.2.211' is known and matches the ED25519 host key.
debug1: Found key in /home/bud/.ssh/known_hosts:11
debug3: send packet: type 21
debug1: ssh_packet_send2_wrapped: resetting send seqnr 3
debug2: ssh_set_newkeys: mode 1
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: Sending SSH2_MSG_EXT_INFO
debug3: send packet: type 7
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: ssh_packet_read_poll2: resetting read seqnr 3
debug1: SSH2_MSG_NEWKEYS received
debug2: ssh_set_newkeys: mode 0
debug1: rekey in after 134217728 blocks
debug3: send packet: type 5
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug3: kex_input_ext_info: extension server-sig-algs
debug1: kex_ext_info_client_parse: server-sig-algs=<ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256>
debug3: kex_input_ext_info: extension publickey-hostbound@openssh.com
debug1: kex_ext_info_check_ver: publickey-hostbound@openssh.com=<0>
debug3: kex_input_ext_info: extension ping@openssh.com
debug1: kex_ext_info_check_ver: ping@openssh.com=<0>
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug3: kex_input_ext_info: extension server-sig-algs
debug1: kex_ext_info_client_parse: server-sig-algs=<ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256>
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug3: ssh_get_authentication_socket_path: path '/run/user/1000/keyring/ssh'
debug1: get_agent_identities: bound agent to hostkey
debug1: get_agent_identities: ssh_fetch_identitylist: agent contains no identities
debug1: Will attempt key: /home/bud/.ssh/id_rsa 
debug1: Will attempt key: /home/bud/.ssh/id_ecdsa 
debug1: Will attempt key: /home/bud/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /home/bud/.ssh/id_ed25519 
debug1: Will attempt key: /home/bud/.ssh/id_ed25519_sk 
debug1: Will attempt key: /home/bud/.ssh/id_xmss 
debug1: Will attempt key: /home/bud/.ssh/id_dsa 
debug2: pubkey_prepare: done
debug1: Trying private key: /home/bud/.ssh/id_rsa
debug3: no such identity: /home/bud/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ecdsa
debug3: no such identity: /home/bud/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ecdsa_sk
debug3: no such identity: /home/bud/.ssh/id_ecdsa_sk: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ed25519
debug3: no such identity: /home/bud/.ssh/id_ed25519: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ed25519_sk
debug3: no such identity: /home/bud/.ssh/id_ed25519_sk: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_xmss
debug3: no such identity: /home/bud/.ssh/id_xmss: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_dsa
debug3: no such identity: /home/bud/.ssh/id_dsa: No such file or directory
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
bud@192.0.2.211: Permission denied (publickey).
bud@thinkpad:~$

Display More

aRaphael · January 28, 2025 at 6:24 PM

Hast du denn mal versucht dich mit einem deiner anderen Server zu verbinden, bei denen su weißt, dass es geht, statt bei diesem neu installierten?

Nur um zu testen, ob es nicht etwa am neuen Client liegt, sondern am neuen Server.

Bud · January 28, 2025 at 6:26 PM

Nein, ist auch momentan nicht wirklich spontan möglich die Schlüssel auf den Linux Laptop zu bekommen.

GTAzoccer · January 28, 2025 at 6:27 PM

Quote from Bud

Code

debug1: Will attempt key: /home/bud/.ssh/id_rsa 
debug1: Will attempt key: /home/bud/.ssh/id_ecdsa 
debug1: Will attempt key: /home/bud/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /home/bud/.ssh/id_ed25519 
debug1: Will attempt key: /home/bud/.ssh/id_ed25519_sk 
debug1: Will attempt key: /home/bud/.ssh/id_xmss 
debug1: Will attempt key: /home/bud/.ssh/id_dsa 
debug1: Trying private key: /home/bud/.ssh/id_rsa
debug3: no such identity: /home/bud/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ecdsa
debug3: no such identity: /home/bud/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ecdsa_sk
debug3: no such identity: /home/bud/.ssh/id_ecdsa_sk: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ed25519
debug3: no such identity: /home/bud/.ssh/id_ed25519: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_ed25519_sk
debug3: no such identity: /home/bud/.ssh/id_ed25519_sk: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_xmss
debug3: no such identity: /home/bud/.ssh/id_xmss: No such file or directory
debug1: Trying private key: /home/bud/.ssh/id_dsa
debug3: no such identity: /home/bud/.ssh/id_dsa: No such file or directory

Display More

Wo liegt denn die Key-Datei und wie heißt sie? Gib sie mal mit -i explizit an.

aRaphael · January 28, 2025 at 6:28 PM

....

NaN · January 28, 2025 at 6:35 PM

Hast du den Key als anderer user / root erzeugt oder dem einen anderen Namen gegeben? Das ist der, der nach deinem ssh-keygen funktionieren müsste:

Code

no such identity: /home/bud/.ssh/id_ed25519: No such file or directory

Gibt's den?

Bud · January 28, 2025 at 6:45 PM

Quote from GTAzoccer

Wo liegt denn die Key-Datei und wie heißt sie? Gib sie mal mit -i explizit an.

Danke, ich hatte ganz vergessen die config mitzuposten:

Code

Host bud.example.com
    HostName 192.0.2.211
    User bud
    PubKeyAuthentication yes
    IdentityFile key/private.txt

Wenn ich den Schlüssel, wie von dir vorgeschlagen, direkt mit angebe, funktioniert es: ssh -i /home/bud/.ssh/key/private.txt bud@192.0.2.211

Daraufhin dachte ich, dass ich vielleicht den gesamten Pfad in der config mit angeben muss, was aber die gleiche Fehlermeldung erzeugt.

Quote from aRaphael

Und keinen Nutzer, der sich mit Passwort einloggen kann?

Auf meinen Servern? Nein.

Server administrieren - wo fange ich an?

Similar Threads

vServer - Webserver absichern gegen Bad IPs

OS Reinstall "stuck"

Netcup Vps Problem

Windows Server als Terminal Server

Windows Server 2019 & Wireguard

WindowsServer19: nach Juni 22 Patchday kein NAT + RDP über VPN möglich

Users Viewing This Thread