DSM 6.2-23739 i problem z kluczami ssh

ODPOWIEDZ
Era73
Początkujący
Posty: 4
Rejestracja: śr cze 06, 2018 11:20 am

DSM 6.2-23739 i problem z kluczami ssh

Post autor: Era73 »

Właśnie znalazłem oficjalne forum, więc pytam też tu :)

Kilka dni po aktualizacji RS3412xs DSM do 6.2-23739 pojawiły mi się problemy z kluczami SSH.

Synchronizuje zdalny folder za pomocą skryptu odpalanego w cronie.
"Mięskiem" skryptu jest polecenie:

Kod: Zaznacz cały

rsync -av -z -e SSH --progress ftp@domena.pl:/home/ftp/* /volume1/katalog/
Wczoraj przestał działać automatycznie. Odpalony z ręki, prosi o hasło do ftp@domena.pl, mimo iż klucze posiada.
Wygenerowałem ponownie parę kluczy, wysłałem na zdalny serwer, wszystko zgodnie ze sztuką.
I dalej prosi o hasło.
po odpaleniu SSH ftp@domena.pl -vvv otrzymuję log (końcówkę wklejam)

Kod: Zaznacz cały

debug2: reserved 0
debug1: kex: algorithm: curve25519-sha256@libssh.org
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug3: send packet: type 30
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug3: receive packet: type 31
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:nR68LU+KdS4Zz2lN0Y5uVjfgkZibimqweHo1XXXXX
debug3: hostkeys_foreach: reading file "/var/services/homes/admin/.SSH/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /var/services/homes/admin/.SSH/known_hosts:1
debug3: load_hostkeys: loaded 1 keys from domena.pl
debug3: hostkeys_foreach: reading file "/var/services/homes/admin/.SSH/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /var/services/homes/admin/.SSH/known_hosts:1
debug3: load_hostkeys: loaded 1 keys from 158.x.x.x
debug1: Host 'domena.pl' is known and matches the ECDSA host key.
debug1: Found key in /var/services/homes/admin/.SSH/known_hosts:1
debug3: send packet: type 21
debug2: set_newkeys: mode 1
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: SSH2_MSG_NEWKEYS received
debug2: set_newkeys: mode 0
debug1: rekey after 134217728 blocks
debug2: key: /var/services/homes/admin/.SSH/id_rsa (0x7f9268545440)
debug2: key: /var/services/homes/admin/.SSH/id_dsa ((nil))
debug2: key: /var/services/homes/admin/.SSH/id_ecdsa (0x7f9268545720)
debug2: key: /var/services/homes/admin/.SSH/id_ed25519 ((nil))
debug3: send packet: type 5
debug3: receive packet: type 6
debug2: service_accept: SSH-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: password
debug3: start over, passed a different list password
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup password
debug3: remaining preferred: ,keyboard-interactive,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
ftp@domena.pl password:
próbowałem z kluczami rsa, ecdsa i nie mam pomysłu.
Do innych maszyn zewnętrznych mam to samo.

Może Wy macie jakieś pomysły które by mnie naprowadziły?
Era73
Początkujący
Posty: 4
Rejestracja: śr cze 06, 2018 11:20 am

Re: DSM 6.2-23739 i problem z kluczami ssh

Post autor: Era73 »

Moment moment.
generuje klucz prywatny i publiczny:

Kod: Zaznacz cały

ssh-keygen -t rsa
mam pliki:

Kod: Zaznacz cały

ls -la /var/services/homes/admin/.ssh/*
-rw------- 1 admin users 1675 Jun  4 11:26 /var/services/homes/admin/.ssh/id_rsa
-rw-r--r-- 1 admin users  391 Jun  4 11:26 /var/services/homes/admin/.ssh/id_rsa.pub
-rw-r--r-- 1 admin users  189 Jun  4 11:16 /var/services/homes/admin/.ssh/known_hosts
wysyłam ( > jest bo nadpisuje stary klucz a nie dodaje nowy)

Kod: Zaznacz cały

cat ~/.ssh/id_rsa.pub | ssh ftp@domena.pl "cat > ~/.ssh/authorized_keys"
sprawdzam po drugiej stronie, klucz się zgadza.

próbowałem wysyłać z opcją -i sciezka/do/klucza/id_rsa (jakby z jakiegos powodu to był problem)

i po stronie domena.pl mam w logu:

Kod: Zaznacz cały

Jun  4 11:56:03 ftp sshd[3510]: Connection closed by 89.x.x.x [preauth]
Więc gdzie tu generowanie klucza dla konkretnej domeny?
Era73
Początkujący
Posty: 4
Rejestracja: śr cze 06, 2018 11:20 am

Re: DSM 6.2-23739 i problem z kluczami ssh

Post autor: Era73 »

heh, problem znaleziony.
Mianowicie:
Pomiędzy Nasem a domena.pl jest UTM filtrujący ruch.
Na tym UTM'ie powstała reguła rozszywająca ssl'a do celu analizy (Deep Layer-7 inspection).
Co za tym idzie, podmieniany był w locie certyfikat ssl - co było powodem problemów.
Nigdzie nie było informacji o problemie, ani z jednej ani z drugiej strony, debug milczał...
Era73
Początkujący
Posty: 4
Rejestracja: śr cze 06, 2018 11:20 am

Re: DSM 6.2-23739 i problem z kluczami ssh

Post autor: Era73 »

Też się tego nie spodziewałem.
Przypadek, bo akurat potrzebowałem zmienić ustawienia fw i zastanawiałem się, że to nie może być nic z DSM, bo to wyszłoby od razu po aktualizacji, a nie nagle któregoś dnia. Dodałem regułę bez analizy ssl'a dla tego konkretnego ruchu i wywaliło mi komunikat o zmianie klucza. I już wiedziałem, ze raczej jestem w domu
A
ODPOWIEDZ