---

hej,

jeg skal give en/flere personer rettighed til at checkout fra min computer
uden at oprette dem som bruger på systemet. Jeg har læst inde på
cvshome.org at man kan oprette en fil 'passwd' under stiTilCvs/CVSROOT/
hvori man kunne specificere brugernavn og kodeord til personer som ikke er
oprettet. Det kan jeg selvfølgelig ikke få til at virke.. Hvordan skal
formatet af kodeordet være i password filen? skal kodeordet være
krypteret? jeg har prøvet både kryp og plain text uden for meget held.. er
der nogen som har nogle erfaringer med dette?

vh
Kim

---

"Kim" <kim@ls-la.ll> skrev i en meddelelse
news:pan.2002.04.24.18.46.41.817848.4857@ls-la.ll...

> jeg skal give en/flere personer rettighed til at checkout fra min computer
> uden at oprette dem som bruger på systemet. Jeg har læst inde på
> cvshome.org at man kan oprette en fil 'passwd' under stiTilCvs/CVSROOT/
> hvori man kunne specificere brugernavn og kodeord til personer som ikke er
> oprettet. Det kan jeg selvfølgelig ikke få til at virke.. Hvordan skal
> formatet af kodeordet være i password filen? skal kodeordet være
> krypteret? jeg har prøvet både kryp og plain text uden for meget held.. er
> der nogen som har nogle erfaringer med dette?

Hep, du får lige to link til generel opsætning af cvs:

http://www.daemonnews.org/199903/websites.html
http://www.loria.fr/~molli/cvs/doc/cvs_toc.html

Mht. rettigheder er der en tråd om emnet: "rettigheder i cvs repository" d.
24-04-2002 kl. 00:23 - prøv at kigge i den...


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

> http://www.daemonnews.org/199903/websites.html
> http://www.loria.fr/~molli/cvs/doc/cvs_toc.html
tak for linksene.. men jeg syntes nu ikke at det berøre det problem jeg
har. jeg kan ikke tilgå det nederste link.. ?

>
> Mht. rettigheder er der en tråd om emnet: "rettigheder i cvs repository"
ja, men jeg vil ikke have nogen oprettet som bruger i mit system. Der skal kun
oprettes folk i cvs's passwd fil. Eller har jeg misforstået tråden?
Jeg ved godt man kunne add'e en person og sætte hans bash til /dev/null
e.lign, men det vil jeg _meget_ gerne undgå..

vh
Kim

---

"Kim" <kim@ls-la.ll> skrev i en meddelelse
news:pan.2002.04.24.20.16.31.999309.4857@ls-la.ll...

> > Mht. rettigheder er der en tråd om emnet: "rettigheder i cvs repository"
> ja, men jeg vil ikke have nogen oprettet som bruger i mit system. Der skal
kun
> oprettes folk i cvs's passwd fil. Eller har jeg misforstået tråden?
> Jeg ved godt man kunne add'e en person og sætte hans bash til /dev/null
> e.lign, men det vil jeg _meget_ gerne undgå..

Prøv at læs tråden '"låse" til et bestemt dir' 16-04-2002 kl. 22.01...
Hvis dine brugere skal lukkes ind via netværk og (forhåbentlig) ssh bliver
du nødt til at give dem en shell, men du kan begrænse hvilke kommandoer de
må fyre af

---

> Prøv at læs tråden '"låse" til et bestemt dir' 16-04-2002 kl. 22.01...
> Hvis dine brugere skal lukkes ind via netværk og (forhåbentlig) ssh
> bliver du nødt til at give dem en shell, men du kan begrænse hvilke
> kommandoer de må fyre af
Den tråd havde jeg ikke set.. men jeg kan se at problemstillingen var den
samme. Fik du Tonni det til at fungerer ved det som blev foreslået?

Altså (kort)
Tilføj bruger user
edit hans ssh-authorized fil så der automatisk eksekveres 'cvs server' når han
logger ind. Han har ikke noget kodeord til hans konto? = det hele bygger
på hans pub RSA nøgle?


+ et klap på skulderen til Alex for hans side med ssh forklaring!

---

"Kim" <kim@ls-la.ll> skrev i en meddelelse
news:pan.2002.04.24.22.09.10.22830.4857@ls-la.ll...

> Den tråd havde jeg ikke set.. men jeg kan se at problemstillingen var den
> samme. Fik du Tonni det til at fungerer ved det som blev foreslået?

Jeps, det fungerer glimrende.

> + et klap på skulderen til Alex for hans side med ssh forklaring!

To klap


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

On Thu, 25 Apr 2002 00:09:10 +0200, Kim wrote:

>> Prøv at læs tråden '"låse" til et bestemt dir' 16-04-2002 kl. 22.01...
>> Hvis dine brugere skal lukkes ind via netværk og (forhåbentlig) ssh
>> bliver du nødt til at give dem en shell, men du kan begrænse hvilke
>> kommandoer de må fyre af
> Den tråd havde jeg ikke set.. men jeg kan se at problemstillingen var
> den samme. Fik du Tonni det til at fungerer ved det som blev foreslået?
>
> Altså (kort)
> Tilføj bruger user
> edit hans ssh-authorized fil så der automatisk eksekveres 'cvs server'
> når han logger ind. Han har ikke noget kodeord til hans konto? = det
> hele bygger på hans pub RSA nøgle?

hvilket jeg ikke kan få til at virker.. :/ Men
Forsøg: jeg vil først bare kunne ssh fra user til user@mydomain.dk uden
at indtaste kodeord...
nedestående er hvad jeg gør:

ssh-keygen -t rsa
emacs .ssh/authorized_keys (hvor jeg flytter nøglen fra .ssh/id_rsa til
denne fil)
ssh user@mydomain.dk

gør jeg noget forkert?

ydermere kan jeg oplyse at jeg har disse linier i min sshd_config
**
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile   .ssh/authorized_keys
ChallengeResponseAuthentication yes
**
og i ssh_config
**
RSAAuthentication yes
IdentityFile ~/.ssh/id_rsa
IdentityFile ~/.ssh/id_dsa
**
er der andet som skal sættes op?

---

Kim <kim@ls-la.ll> wrote:
> ssh-keygen -t rsa
> emacs .ssh/authorized_keys (hvor jeg flytter nøglen fra .ssh/id_rsa til
> denne fil)
> ssh user@mydomain.dk
>
> gør jeg noget forkert?

Ja, id_rsa er din *secret* key. Den maa kun findes paa maskiner du
stoler 100% paa (f.eks. arbejdstationer der ikke koerer nogle
netvaerksservices). Du skal koere ssh-keygen paa din workstation,
kopiere id_rsa.pub til serveren, i ~/.ssh/authorized_keys). Proev saa at
logge ind.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 26 Apr 2002 06:27:10 +0200, Alex Holst wrote:

> Kim <kim@ls-la.ll> wrote:
>> ssh-keygen -t rsa
>> emacs .ssh/authorized_keys (hvor jeg flytter nøglen fra .ssh/id_rsa til
>> denne fil)
>> ssh user@mydomain.dk
>>
>> gør jeg noget forkert?
>
> Ja, id_rsa er din *secret* key. Den maa kun findes paa maskiner du
> stoler 100% paa (f.eks. arbejdstationer der ikke koerer nogle
> netvaerksservices). Du skal koere ssh-keygen paa din workstation,
> kopiere id_rsa.pub til serveren, i ~/.ssh/authorized_keys). Proev saa at
> logge ind.
jeg skrev forkert.. det var også id_rsa.pub jeg flyttede over i
authorized_keys.. jeg skal vel kun flytte nøglen - altså ikke det første
ssh-rsa eller det sidste kim@host ?

---

Kim <kim@ls-la.ll> wrote:
> jeg skrev forkert.. det var også id_rsa.pub jeg flyttede over i
> authorized_keys..

Ok. Vaer sikker paa, at du benytter protokol 2. Koer evt. ssh -v ... og
post det her.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 26 Apr 2002 13:23:07 +0200, Alex Holst wrote:

> Kim <kim@ls-la.ll> wrote:
>> jeg skrev forkert.. det var også id_rsa.pub jeg flyttede over i
>> authorized_keys..
>
> Ok. Vaer sikker paa, at du benytter protokol 2. Koer evt. ssh -v ... og
> post det her.

ssh -v user@mydomain (* i ip = go away script-kiddies.. )

OpenSSH_3.1p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f debug1: Reading
configuration data /etc/ssh/ssh_config debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be
trusted. debug1: restore_uid
debug1: ssh_connect: getuid 504 geteuid 0 anon 1 debug1: Connecting to
212.10.*.* [212.10.*.*] port 22. debug1: temporarily_use_uid: 504/504
(e=0) debug1: restore_uid
debug1: temporarily_use_uid: 504/504 (e=0) debug1: restore_uid
debug1: Connection established.
debug1: read PEM private key done: type DSA debug1: read PEM private key
done: type RSA debug1: identity file /home/holst/.ssh/id_rsa type 1
debug1: identity file /home/holst/.ssh/id_dsa type 2 debug1: Remote
protocol version 1.99, remote software version OpenSSH_3.1p1 debug1:
match: OpenSSH_3.1p1 pat OpenSSH* Enabling compatibility mode for protocol
2.0 debug1: Local version string SSH-2.0-OpenSSH_3.1p1 debug1:
SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none debug1: kex:
client->server aes128-cbc hmac-md5 none debug1:
SSH2_MSG_KEX_DH_GEX_REQUEST sent debug1: expecting
SSH2_MSG_KEX_DH_GEX_GROUP debug1: dh_gen_key: priv key bits set: 127/256
debug1: bits set: 1608/3191
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting
SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host '212.10.*.*' is known and matches
the RSA host key. debug1: Found key in /home/holst/.ssh/known_hosts:1
debug1: bits set: 1574/3191
debug1: ssh_rsa_verify: signature correct debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue:
publickey,password,keyboard-interactive debug1: next auth method to try is
publickey debug1: try pubkey: /home/holst/.ssh/id_rsa debug1:
authentications that can continue: publickey,password,keyboard-interactive
debug1: try pubkey: /home/holst/.ssh/id_dsa debug1: authentications that
can continue: publickey,password,keyboard-interactive debug1: next auth
method to try is keyboard-interactive debug1: authentications that can
continue: publickey,password,keyboard-interactive debug1: next auth method
to try is password holst@212.10.*.*'s password:
debug1: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64) debug1:
authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
holst@212.10.*.*'s password:
debug1: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64) debug1:
authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
holst@212.10.*.*'s password:
debug1: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64) debug1:
authentications that can continue: publickey,password,keyboard-interactive
debug1: no more auth methods to try
Permission denied (publickey,password,keyboard-interactive). debug1:
Calling cleanup 0x8063550(0x0)

---

Kim <kim@ls-la.ll> wrote:
> On Fri, 26 Apr 2002 13:23:07 +0200, Alex Holst wrote:
>> Ok. Vaer sikker paa, at du benytter protokol 2. Koer evt. ssh -v ... og
>> post det her.
>
> ssh -v user@mydomain (* i ip = go away script-kiddies.. )
[..]

Som Adam sagde, er skal du kopiere hele *filen* id_rsa.pub, ikke
halvdelen af indholdet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrnacifbg.bql.a@C-Tower.Area51.DK...

> Som Adam sagde, er skal du kopiere hele *filen* id_rsa.pub, ikke
> halvdelen af indholdet.

Hvis en key krypteret med 4096 bits kryptering, skal der så ændres noget i
sshd_config? Jeg kan kun få det til at virke med standard krypteringslevel.


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

Tonni Aagesen <use.my@signature.com> wrote:
>> Som Adam sagde, er skal du kopiere hele *filen* id_rsa.pub, ikke
>> halvdelen af indholdet.
>
> Hvis en key krypteret med 4096 bits kryptering, skal der så ændres
> noget i sshd_config? Jeg kan kun få det til at virke med standard
> krypteringslevel.

Nej, det skal der vist ikke, men jeg bruger standard laengden.

Det ville vaere langt billigere for en angriber at flyve en lejemorder
rundt i verden og myrde de mennesker jeg holder af indtil jeg giver dem
hvad de vil have, end at bygge en maskine der kan bryde mine keys paa
overskuelig tid.

Indtil jeg siger noget meget ondt om USA's praesident indeholder min
threat model ikke nogen der har raad til at bryde krypteringen af mine
SSH keys saa jeg har ikke taenkt mig at spilde CPU tid paa bedre
kryptering.

Laes (meget) lidt om sikkerhedsrisiko i OSS'en til dk.edb.sikkerhed:

http://a.area51.dk/sikkerhed/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:
>
> Indtil jeg siger noget meget ondt om USA's praesident indeholder min
> threat model ikke nogen der har raad til at bryde krypteringen af mine
> SSH keys saa jeg har ikke taenkt mig at spilde CPU tid paa bedre
> kryptering.

Saa den dag du pludselig begynder at anvende 4096 bits noegler, ved vi
(og NSA) at der virkelig er noget at komme efter. Det er foerst da at de
vil saette alt ind paa at bryde dem.

Maaske vil du blive opfattet som skyldig uanset at de ikke kan bryde
dine noegler, da du jo *maa* have gjort noget meget slemt, siden du med
eet begynder at anvende meget lange noegler.

Samme aarsag til at *al* email, ikke kun den der omhanlder terrorangreb
(planlagte), boerneporno, opskriften paa Vacuum-bomben (howto destroy
the universe in 5 easy steps), og information om hvem der i
virkeligheden draebte JFK (en af Dillingers tvillingebroedre...), boer
krypteres med PGP.



>
> Laes (meget) lidt om sikkerhedsrisiko i OSS'en til dk.edb.sikkerhed:
>
> http://a.area51.dk/sikkerhed/
>

Jep.


--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

---

Alex Holst <a@area51.dk> writes:

> Det ville vaere langt billigere for en angriber at flyve en lejemorder
> rundt i verden og myrde de mennesker jeg holder af indtil jeg giver dem
> hvad de vil have, end at bygge en maskine der kan bryde mine keys paa
> overskuelig tid.

Det er egentlig ret interessant i denne sammenhæng...

Har du selv personligt valideret den kode du stoler på, eller kan der
sagtens være en bagdør alligevel?

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjørn Ravn Andersen <thunderbear@bigfoot.com> wrote:
> Har du selv personligt valideret den kode du stoler på, eller kan der
> sagtens være en bagdør alligevel?

Hvilken kode taenker du paa? OpenSSH?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> > Har du selv personligt valideret den kode du stoler på, eller kan der
> > sagtens være en bagdør alligevel?
>
> Hvilken kode taenker du paa? OpenSSH?

Oplagt eksempel. Der er jo meget man skal stole paa, herunder den
installation man bruger.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjørn Ravn Andersen <thunderbear@bigfoot.com> wrote:
> Oplagt eksempel. Der er jo meget man skal stole paa, herunder den
> installation man bruger.

I slutningen af 2000 lagde jeg og mit hold en del arbejde i OpenSSH, men
desvaerre ikke saa meget som jeg gerne ville have lyst til, og heller
ikke saa meget arbejde i andre vigtige applikationer.

Jeg har personligt ikke bedoemt kryptoen i OpenSSH da jeg finder krypto
ufatteligt kedeligt og kryptoanalyse er et af de emner jeg har mindst
kompetence inden for. Vi lavede aendringer i vores interne OpenSSH kode,
men pga. tidspres var der ting vi ikke fangede, som senere blev til
OpenSSH advisories.

I forbindelse med et andet projekt under BSD licens som jeg og en af
mine tidligere ansatte begyndte fornyligt, vil vi analysere programmer
*vi* har brug for at kunne stole paa, og poste vores resultater. Lidt i
stil med Sardonix audit projetet, blot uden egotrip delen. Det ligger
ca. et aar ude i fremtiden.

Hm, svarede jeg egenligt paa dit spoergsmaal?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 26 Apr 2002 13:43:45 +0200, Alex Holst wrote:

> Kim <kim@ls-la.ll> wrote:
>> On Fri, 26 Apr 2002 13:23:07 +0200, Alex Holst wrote:
>>> Ok. Vaer sikker paa, at du benytter protokol 2. Koer evt. ssh -v ...
>>> og post det her.
>>
>>
> Som Adam sagde, er skal du kopiere hele *filen* id_rsa.pub, ikke
> halvdelen af indholdet.
fair nok.. nu er det hele indholdet af id_rsa.pub som ligger i authorized
filen

ssh -v ..

OpenSSH_3.1p1, SSH protocols 1.5/2.0, OpenSSL 0x0090602f debug1: Reading
configuration data /etc/ssh/ssh_config debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be
trusted. debug1: restore_uid
debug1: ssh_connect: getuid 504 geteuid 0 anon 1 debug1: Connecting to
212.10.*.* [212.10.*.*] port 22. debug1: temporarily_use_uid: 504/504
(e=0) debug1: restore_uid
debug1: temporarily_use_uid: 504/504 (e=0) debug1: restore_uid
debug1: Connection established.
debug1: read PEM private key done: type DSA debug1: read PEM private key
done: type RSA debug1: identity file /home/holst/.ssh/id_rsa type 1
debug1: identity file /home/holst/.ssh/id_dsa type 2 debug1: Remote
protocol version 1.99, remote software version OpenSSH_3.1p1 debug1:
match: OpenSSH_3.1p1 pat OpenSSH* Enabling compatibility mode for protocol
2.0 debug1: Local version string SSH-2.0-OpenSSH_3.1p1 debug1:
SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none debug1: kex:
client->server aes128-cbc hmac-md5 none debug1:
SSH2_MSG_KEX_DH_GEX_REQUEST sent debug1: expecting
SSH2_MSG_KEX_DH_GEX_GROUP debug1: dh_gen_key: priv key bits set: 135/256
debug1: bits set: 1594/3191
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting
SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host '212.10.*.*' is known and matches
the RSA host key. debug1: Found key in /home/holst/.ssh/known_hosts:1
debug1: bits set: 1594/3191
debug1: ssh_rsa_verify: signature correct debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue:
publickey,password,keyboard-interactive debug1: next auth method to try is
publickey debug1: try pubkey: /home/holst/.ssh/id_rsa debug1:
authentications that can continue: publickey,password,keyboard-interactive
debug1: try pubkey: /home/holst/.ssh/id_dsa debug1: authentications that
can continue: publickey,password,keyboard-interactive debug1: next auth
method to try is keyboard-interactive debug1: authentications that can
continue: publickey,password,keyboard-interactive debug1: next auth method
to try is password holst@212.10.*.*'s password:
debug1: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64) debug1:
authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
holst@212.10.*.*'s password:
debug1: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64) debug1:
authentications that can continue: publickey,password,keyboard-interactive
Permission denied, please try again.
holst@212.10.*.*'s password:
debug1: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64) debug1:
authentications that can continue: publickey,password,keyboard-interactive
debug1: no more auth methods to try
Permission denied (publickey,password,keyboard-interactive). debug1:
Calling cleanup 0x8063550(0x0)

---

Kim <kim@ls-la.ll> wrote:

>(* i ip = go away script-kiddies.. )

Har du læst dine egne usenet-headere?


--
Allan

---

On Fri, 26 Apr 2002 19:13:01 +0200, Allan Olesen wrote:

> Kim <kim@ls-la.ll> wrote:
>
>>(* i ip = go away script-kiddies.. )
>
> Har du læst dine egne usenet-headere?

nu har jeg - og det står søreme højt og larmende deri, men det ved
script-kiddies ikke... :)
vh
Kim

---

Kim <kim@ls-la.ll> wrote:
> On Fri, 26 Apr 2002 19:13:01 +0200, Allan Olesen wrote:
>> Har du læst dine egne usenet-headere?
>
> nu har jeg - og det står søreme højt og larmende deri, men det ved
> script-kiddies ikke... :)

Hvis det er et problem at andre kender din IP adresse goer du noget
*meget*, *meget* forkert.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 26 Apr 2002 20:28:40 +0200, Alex Holst wrote:

> Kim <kim@ls-la.ll> wrote:
>> On Fri, 26 Apr 2002 19:13:01 +0200, Allan Olesen wrote:
>>> Har du læst dine egne usenet-headere?
>>
>> nu har jeg - og det står søreme højt og larmende deri, men det ved
>> script-kiddies ikke... :)
>
> Hvis det er et problem at andre kender din IP adresse goer du noget
> *meget*, *meget* forkert.
det er det heller ikke.
vh
Kim

---

On Fri, 26 Apr 2002 12:43:39 +0200, kim wrote:

> jeg skrev forkert.. det var også id_rsa.pub jeg flyttede over i
> authorized_keys.. jeg skal vel kun flytte nøglen - altså ikke det
> første ssh-rsa eller det sidste kim@host ?

Nej, du skal tage hele den lange linie fra id_rsa.pub og sætter over i
authorized_keys. Rub og stub.


Mvh.

--
"Hör du mig, hör du mig, kan du höra du mig? Adam Sjøgren
Allt det här är för dig" asjo@koldfront.dk

---

On Fri, 26 Apr 2002 12:43:39 +0200, kim wrote:

> jeg skrev forkert.. det var også id_rsa.pub jeg flyttede over i
> authorized_keys.. jeg skal vel kun flytte nøglen - altså ikke det
> første ssh-rsa eller det sidste kim@host ?

Nej, du skal tage hele den lange linie fra id_rsa.pub og sætte over i
authorized_keys. Rub og stub.


Mvh.

--
"Hör du mig, hör du mig, kan du höra du mig? Adam Sjøgren
Allt det här är för dig" asjo@koldfront.dk

---

spamtrap@koldfront.dk (Adam Sjøgren) writes:

> On Fri, 26 Apr 2002 12:43:39 +0200, kim wrote:
>
> > jeg skrev forkert.. det var også id_rsa.pub jeg flyttede over i
> > authorized_keys.. jeg skal vel kun flytte nøglen - altså ikke det
> > første ssh-rsa eller det sidste kim@host ?
>
> Nej, du skal tage hele den lange linie fra id_rsa.pub og sætte over i
> authorized_keys. Rub og stub.

Og pas på at du ikke får delt den i flere linjer undervejs. Cut+paste
laver det nummer indimellem.
--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

---

"Peter Dalgaard BSA" <p.dalgaard@biostat.ku.dk> skrev:

> Og pas på at du ikke får delt den i flere linjer undervejs. Cut+paste
> laver det nummer indimellem.

cat id_rsa.pub > authorized_keys


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

"Tonni Aagesen" <use.my@signature.com> writes:

> "Peter Dalgaard BSA" <p.dalgaard@biostat.ku.dk> skrev:
>
> > Og pas på at du ikke får delt den i flere linjer undervejs. Cut+paste
> > laver det nummer indimellem.
>
> cat id_rsa.pub > authorized_keys

">>" eller du risikerer en slem overraskelse....

Problemet er hvis de to filer er på forskellige maskiner (nåja, hvis
man kan logge ind kan man i reglen også overføre filen med scp, man
skal bare passe på ikke at overskrive en evt. id_rsa.pub i den anden
ende), eller du sender nøglen til en sysadm pr. mail.

Er det forresten ikke DSA, der anbefales fremfor RSA nutildags.

--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

---

> Og pas på at du ikke får delt den i flere linjer undervejs. Cut+paste
> laver det nummer indimellem.

cat -n .ssh/authorized_keys
1   ssh-rsa AAAAB3Nza4+manget_mere+FB+5K2FtPD9YaFtfe0m2P22E= holst@domain

---

Kim <kim@ls-la.ll> wrote:
>> Og pas på at du ikke får delt den i flere linjer undervejs. Cut+paste
>> laver det nummer indimellem.
>
> cat -n .ssh/authorized_keys
> 1   ssh-rsa AAAAB3Nza4+manget_mere+FBtPD9Y.... holst@domain
^^^^^
Interessant efternavn.

Jeg vil vaedde en chokoladeis paa, at du har gjort et eller andet
forkert da du lagde din public key paa serveren. Jeg ved ikke
umiddelbart hvad.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 26 Apr 2002 13:58:40 +0200, kim wrote:

> fair nok.. nu er det hele indholdet af id_rsa.pub som ligger i
> authorized filen

Har du checket permissions på dit .ssh-dir og kigget om sshd siger
noget i loggen?


Mvh.

--
"Hör du mig, hör du mig, kan du höra du mig? Adam Sjøgren
Allt det här är för dig" asjo@koldfront.dk

---

On Fri, 26 Apr 2002 14:50:23 +0200, Adam Sjøgren wrote:

> On Fri, 26 Apr 2002 13:58:40 +0200, kim wrote:
>
>> fair nok.. nu er det hele indholdet af id_rsa.pub som ligger i
>> authorized filen
>
> Har du checket permissions på dit .ssh-dir og kigget om sshd siger noget
> i loggen?
>
jeg tror måske det er permissions på diret..

Apr 26 15:57:11 host sshd[1424]: Authentication refused: bad ownership or
modes for file /home/holst/.ssh/authorized_keys kan det ikke tyde på
forkerte permissions? hvad skal permissions være på de forskellige dirs?



> Mvh.

---

Kim <kim@ls-la.ll> writes:

> On Fri, 26 Apr 2002 14:50:23 +0200, Adam Sjøgren wrote:
>
> > On Fri, 26 Apr 2002 13:58:40 +0200, kim wrote:
> >
> >> fair nok.. nu er det hele indholdet af id_rsa.pub som ligger i
> >> authorized filen
> >
> > Har du checket permissions på dit .ssh-dir og kigget om sshd siger noget
> > i loggen?
> >
> jeg tror måske det er permissions på diret..
>
> Apr 26 15:57:11 host sshd[1424]: Authentication refused: bad ownership or
> modes for file /home/holst/.ssh/authorized_keys kan det ikke tyde på
> forkerte permissions? hvad skal permissions være på de forskellige dirs?

[pd@butterfly]$ ls -ld ~/.ssh
drwxr-xr-x 2 pd users 4096 Aug 7 2001 /home/pd/.ssh
[pd@butterfly]$ ls -ld ~/.ssh/authorized_keys
-rw-r--r-- 1 pd users 660 Jun 12 2001
/home/pd/.ssh/authorized_keys

SVJH kan man få problemer hvis der er group-write på katalog eller
authorized keys.

--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

---

Nu virker det :)

det tog et stykke tid før det gik op for mig jeg havde glemt at export
CVS_RSH=ssh, men så kørte det også bare!

kort til andre..
ssh-keygen -t rsa
cat .ssh/id_rsa.pub > .ssh/authorized_keys
su
chmod 644 .ssh/authorized_keys
exit
Med Venlig Hilsen og tak for hjælpen!
Kim

---

Kim <kim@ls-la.ll> wrote:
> Nu virker det :)
>
> det tog et stykke tid før det gik op for mig jeg havde glemt at export
> CVS_RSH=ssh, men så kørte det også bare!

Say what? De logs du viste os var udelukkende ssh der fejlede i at
benytte keys. Hvad havde det med CVS_RSH at goere?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 26 Apr 2002 19:11:45 +0200, Alex Holst wrote:

> Kim <kim@ls-la.ll> wrote:
>> Nu virker det :)
>>
>> det tog et stykke tid før det gik op for mig jeg havde glemt at export
>> CVS_RSH=ssh, men så kørte det også bare!
>
> Say what? De logs du viste os var udelukkende ssh der fejlede i at
> benytte keys. Hvad havde det med CVS_RSH at goere?
det var måske det jeg skrev men ikke det jeg mente..
jeg ændrede permissions hvorefter jeg fik ssh login til at virke. Altså
login uden at skulle skrive sit pass.
herefter rodede jeg med at få lavet et cvs udtræk hvilket jeg bøvlede med
et stykke tid inden jeg opdagede at jeg havde glemt CVS_RSH. Så det var
måske blot en malplaceret kommentar i en glædens rus...

vh
Kim

---

On Fri, 26 Apr 2002 16:00:05 +0200, kim wrote:

>> Har du checket permissions på dit .ssh-dir og kigget om sshd siger
>> noget i loggen?

> jeg tror måske det er permissions på diret..

> Apr 26 15:57:11 host sshd[1424]: Authentication refused: bad
> ownership or modes for file /home/holst/.ssh/authorized_keys

> kan det ikke tyde på forkerte permissions?

Tyde på? Det står der jo!

> hvad skal permissions være på de forskellige dirs?

Hvis det kun er dig der har ret til noget som helst for ~/.ssh og
filerne deri er det ihvertfald ikke galt.

Læs gerne manualen hvori det står beskrevet (man ssh).


Mvh.

--
"Hör du mig, hör du mig, kan du höra du mig? Adam Sjøgren
Allt det här är för dig" asjo@koldfront.dk

---

On Fri, 26 Apr 2002 18:25:40 +0200, kim wrote:

> su
> chmod 644 .ssh/authorized_keys

Hvorfor su?


Mvh.

--
"Hör du mig, hör du mig, kan du höra du mig? Adam Sjøgren
Allt det här är för dig" asjo@koldfront.dk

---

On Fri, 26 Apr 2002 18:34:06 +0200, Adam Sjøgren wrote:

> On Fri, 26 Apr 2002 18:25:40 +0200, kim wrote:
>
>> su
>> chmod 644 .ssh/authorized_keys
>
> Hvorfor su?
tja.. men det gik hurtigt.. .
drop su'en så! og det er ikke Statens uddannelsesstøtte...
vh
Kim
>
>
> Mvh.

---

> krypteret? jeg har prøvet både kryp og plain text uden for meget held.. er
> der nogen som har nogle erfaringer med dette?


Hvad med

http://www.cooptel.qc.ca/~limitln/cvsadmin/

?

--
Kaare Rasmussen --Linux, spil,-- Tlf: 3816 2582
Kaki Data tshirts, merchandize Fax: 3816 2501
Howitzvej 75 Åben 12.00-18.00 Web: www.suse.dk
2000 Frederiksberg Lørdag 11.00-17.00 Email:kar@kakidata.dk