chiavi RSA con SSH

[Lord TIGER]

Ultimamente ho acquistato anche un Mac mini da utilizzare come file server e media center (e varie ed eventuali) per non tenere perennemente acceso il portatile, e da qualche giorno sto provando a gestire completamente il piccolo dal mio portatile.

Ora, seguendo diverse guide (IKEE), so connettermi via web ad eMule, via VNC con indirizzo locale (della forma COMPUTER.local o 192.168.1.x) e tramite DynDNS (COMPUTER.dyndns.org/info), ed anche tramite un tunnel SSH, del tipo

Codice:

ssh -p 22 -L 5911:localhost:5900 -f -N SERVER_USER@SERVER_ADDRESS
vnc://localhost:5911

Da qualche giorno ho scoperto che, nel collegamento via SSH al server, è possibile autenticarsi senza dover ogni volta inviare a questi la password, ma facendosi riconoscere inviando solo la prima volta la propria chiave identificativa, ovvero una RSA KEY.

Ho seguito diversi tutorial su internet (1, 2, 3, 4, 5) che, sebbene con parole o metodi leggermente differenti l'uno dall'altro, dicono la stessa cosa: creare una chiave sul client e passarla sul server (opportunamente aggiungendola a ~/.ssh/authorized_keys o ~/.ssh/authorized_keys2, a seconda della versione di SSH usata).

Il punto è che alla prima connessione dal client il server viene aggiunto correttamente al file ~/.ssh/known_hosts (e la chiave del client sul server) ma, anche dopo la prima connessione, il server continua a chiedere la password dell'utente (del server) e sembra ignorare la chiave identificativa del client.

Ho provato ad aggiungere (sul server) la chiave sia con un

Codice:

cat id_rsa.pub >> authorized_keys
cat id_rsa.pub >> authorized_keys2

sia con

Codice:

scp ~/.ssh/id_rsa.pub SERVER_USER@SERVER_ADDRESS:~/.ssh/authorized_keys
scp ~/.ssh/id_rsa.pub SERVER_USER@SERVER_ADDRESS:~/.ssh/authorized_keys2

Ho provato inoltre a modificare i permessi dei file authorized_keys, authorized_keys2, id_rsa, id_rsa.pub... ma nulla è servito!
Infatti una normale connessione, in queste differenti forme

Codice:

ssh SERVER_USER@SERVER_ADDRESS
ssh -l SERVER_USER SERVER_ADDRESS
ssh -i ~/.ssh/id_rsa.pub SERVER_USER@SERVER_ADDRESS
ssh -i ~/.ssh/id_rsa.pub -l SERVER_USER SERVER_ADDRESS

richiede sempre e comunque la password (ho provato a mettere id_rsa, id.rsa.pub, id_dsa, id_dsa.pub, ma non cambia nulla).

Avviando la connessione con l'opzione "-v"

Codice:

ssh -v SERVER_USER@SERVER_ADDRESS

pare ke il client provi ad inviare la propria chiave identificativa, che viene ignorata, quindi appare il prompt per la password dell'utente del server cui ci si connette:

Codice:

OpenSSH_4.7p1, OpenSSL 0.9.7l 28 Sep 2006
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to SERVER_ADDRESS [192.168.1.x] port xx.
debug1: Connection established.
debug1: identity file /Users/Angel/.ssh/identity type -1
debug1: identity file /Users/Angel/.ssh/id_rsa type 1
debug1: identity file /Users/Angel/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.7
debug1: match: OpenSSH_4.7 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.7
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'SERVER_ADDRESS' is known and matches the RSA host key.
debug1: Found key in /Users/Angel/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey 
debug1: Offering public key: /Users/Angel/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /Users/Angel/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /Users/Angel/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Trying private key: /Users/Angel/.ssh/identity
debug1: Offering public key: /Users/Angel/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Offering public key: /Users/Angel/.ssh/id_dsa
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
Password:

Ah, ovviamente ho provato (e sono 2 o 3 giorni ormai) tutti i modi possibili descritti nei tutorial che ho elencato, sempre cancellando completamente la directory .ssh sia dal client che dal server (con un rm -fR ~/.ssh, quindi...) e ricominciato sempre da capo, provando anche la procedura invertendo il client e il server!
Infine oggi ho seguito passo passo anche la procedura fornita da Federico Corazza qui su Tevac con l'ausilio di SSH Helper, ma con gli stessi pessimi risultati...

È un problema mio di configurazione interna, del server OPENSSH, di permessi? Faccio qualche errore nell'immettere i parametri?
Qualcuno saprebbe aiutarmi?

Chiedo immensamente venia per la prolissità del mio post e ringrazio anticipatamente chiunque voglia darmi una mano...

[Lord TIGER]

ERRATA CORRIGE

Infine oggi ho seguito passo passo anche la procedura fornita da Federico Corazza qui su Tevac con l'ausilio di SSH Helper, ma con gli stessi pessimi risultati...

La procedura cui mi riferisco è qui.

[Lord TIGER]

Trovata la soluzione, sperando possa servire a qualcuno nel caso dovesse verificarsi lo stesso problema mio.

Ho creato un secondo account (non amministratore, ma ciò non influisce sul risultato finale), creato la directory .ssh nella home e copiatovi il file id_rsa.pub, generato sulla macchina client, come authorized_keys2.
Chiedendo la connessione con ssh, quindi, viene bypassata la richiesta della password in quanto il client è riconosciuto come fidato grazie alla propria chiave pubblica RSA.

Pensavo il problema fosse del fatto che l'account usato (quello del server) fosse amministratore, o che facesse conflitto perché avente lo stesso nome di quello del client, ma non c'entrava nulla.
Infatti, ho eliminato l'account del server, salvando prima tutto, creatone uno nuovo con lo stesso nome e stessa cartella Inizio del vecchio, ritrasferito i file (immagini, video, etc.) e copiato la chiave RSA del client.
Ebbene, funziona tutto...

Sembra strano, eh?!

[fr4nk]

Sapresti dirmi come generare un coppia di chiave pubblica+privata su Mac?

[Lord TIGER]

Mi spiace, no, tra l'altro è pure un po che non ci metto mano!

[fr4nk]

Mi pare di possa fare da terminale... ieri ci sono riuscito! Appena riesco posto...

p.s. anche io Calabbbrese! :P