ssh авторизация по ключу - странный БАГ

0

1

Нашел странный баг, когда запускаю ssh клиент с авторизацией по ключу, и при этом в папке .ssh есть одноименный публичный ключ, но с другим отпечатком, то авторизация не проходит .

Решение, чтоб НЕ БЫЛО одноименного публичного ключа с другим отпечатком.

Вот как воспроизвести

- генерим пару fwd, fwd.pub
- генерим пару fwd2, fwd2.pub
- устанавливаем fwd.pub на удаленную сторону в authorized_keys
- rm fwd2
- mv fwd2.pub fwd.pub
- Теперь fwd и fwd.pub с разным отпечатком, иии...
- ssh -i fwd u@h => облом
- РЕШЕНИЕ: rm fwd.pub
- ssh -i fwd u@h => успех

Как объяснить? Просто интересно.

Ссылка

←	USER_CMD логи в auditd

Не пробрасывается порт через WAN2 на PFSENSE

→

Какой же это баг? Клиент предлагает удаленной системе публичный ключ, который должен быть подписан в сертификате, либо добавлен в удаленный authorized_keys. Сервер должен одобрить этот ключ.

~~Oleg_Iu~~ ★
(28.04.21 21:47:59 MSK)

Ссылка

зачем ssh выковыривать открытый ключ из приватного ключа, если есть стандартный файл с открытым ключом ??

pfg ★★★★★
(28.04.21 21:55:41 MSK)
Последнее исправление: pfg 28.04.21 21:56:30 MSK (всего исправлений: 1)

Видимо, клиент на этапе аутентификации предполагает, что одноименный публичный ключ соответствует приватному, и не генерирует публичный ключ из приватного, а берет готовый.

anonymous
(28.04.21 21:58:30 MSK)

Ссылка

Ответ на: комментарий от pfg 28.04.21 21:55:41 MSK

ssh берет ключ из соответствующего *.pub. зачем ему выковыривать его из приватного ключа ??

А как он будет шифровать соединение? :)

Вы не забывайте, что приватный ключ не обязательно должен лежать рядом. Клиент берет pub, предъявляет удаленному серверу, тот его одобряет, и после этого, клиент начинает искать приватный ключ. Он может лежать рядом в файле без расширения .pub, он может лежать в в ssh-агенте, в конце концов, он может лежать в моем смартфоне.

В вашем варианте он находит его в файле рядом - а там другой ключ. Вот и приехали…

~~Oleg_Iu~~ ★
(28.04.21 21:59:01 MSK)

Ответ на: комментарий от Oleg_Iu 28.04.21 21:59:01 MSK

Немножко не так, клиент берет готовый пуб и шлет его отпечаток серверу, и получает немедленный отлуп.

Автор, я за тебя логи читать не буду.

anonymous
(28.04.21 22:12:20 MSK)

Ответ на: комментарий от anonymous 28.04.21 22:12:20 MSK

Немножко не так, клиент берет готовый пуб и шлет его отпечаток серверу, и получает немедленный отлуп.

В случае подписанного публичного ключа, на сервере нет вообще никакого ключа. Хотя там запрос немного по другому формируется.

PS Ну да, я не обратил внимание, что ТС подменил публичный ключ.

~~Oleg_Iu~~ ★
(28.04.21 22:34:35 MSK)
Последнее исправление: Oleg_Iu 28.04.21 22:39:48 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от pfg 28.04.21 21:55:41 MSK

Ну как зачем.. хотелось бы чтоб проверял. То есть у меня произвольная фигня в пуб, и хоть я его не указываю, он мне руинит коннекшон!

Bers666 ★★★★★
(29.04.21 00:12:52 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 28.04.21 22:12:20 MSK

Да, игнорит приватный ключ , де факто.

Bers666 ★★★★★
(29.04.21 00:13:47 MSK) автор топика

Ответ на: комментарий от Bers666 29.04.21 00:13:47 MSK

Не игнорит приватный, а юзает публичный, не проверяя соответствие приватному. Логика в этом есть, ведь раз лежит - значит не просто так положен.

anonymous
(29.04.21 06:14:40 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	USER_CMD логи в auditd

Admin

Не пробрасывается порт через WAN2 на PFSENSE

→

Похожие темы