X11 connection rejected because of wrong authentication.

after some searching I found following fixed the issue:

/opt/ssh/etc/sshd_config:
X11UseLocalhost no
(must be set to no, default is yes)

S.

danes mi je bilo dovolj skakanja po serverjih, da dosežem server, ki je za tem serverjem. Po malo raziskovanja je tukaj način, kako “bouncnat” na strežnik preko drugega strežnika. spet ~/.ssh/config:

Host secret
ProxyCommand ssh bounce.server.net 'nc secret.siel.si 22'

in potem samo “ssh secret”. Seveda pa imate postavljenega ssh agent, tako da proces steče brez vpisovanja gesla.

Na bounce serverju mora biti instaliran netcat.

ControlMaster auto
Host *
ControlPath ~/.ssh/master-%r@%h:%p


in druga seja do istega strežnika se bo zgodila v trenutku !

Happy ssh !

tdolg:~ simon$ ssh root@10.254.254.100
root@10.254.254.100's password:
Last login: Fri Oct 5 10:53:02 2007 from 10.254.254.254
# ps aux
USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
root 49 0.7 0.0 274168 1072 p0 Ss 10:53AM 0:00.07 -sh
root 1 0.0 0.0 272956 432 ?? Ss 9:23AM 0:00.53 /sbin/launchd
root 12 0.0 0.0 285564 1488 ?? Ss 9:23AM 0:00.47 /usr/sbin/BTServer
root 13 0.0 0.0 277956 1392 ?? Ss 9:23AM 0:02.92 /System/Library/Frameworks/CoreTelephony.f
root 15 0.0 0.0 325192 21148 ?? Ss 9:23AM 0:51.93 /System/Library/CoreServices/SpringBoard.a
root 16 0.0 0.0 275084 1456 ?? Ss 9:23AM 0:36.49 /usr/sbin/configd
root 17 0.0 0.0 273396 568 ?? Ss 9:23AM 0:00.07 /usr/libexec/crashreporterd
root 18 0.0 0.0 272968 496 ?? Ss 9:23AM 0:00.04 /usr/sbin/cron
root 19 0.0 0.0 284136 1556 ?? Ss 9:23AM 0:01.01 /System/Library/Frameworks/IAP.framework/S
root 20 0.0 0.0 273696 784 ?? Ss 9:23AM 0:01.01 /usr/sbin/mDNSResponder -launchd
root 21 0.0 0.0 275144 1072 ?? Ss 9:23AM 0:01.17 /usr/libexec/lockdownd
root 22 0.0 0.0 274000 436 ?? Ss 9:23AM 0:03.34 /usr/sbin/syslogd
root 23 0.0 0.0 274168 788 ?? Ss 9:23AM 0:00.07 /bin/sh /etc/hackinit.sh
root 24 0.0 0.0 273576 780 ?? Ss 9:23AM 0:00.09 /usr/libexec/ptpd -t usb
root 25 0.0 0.0 289932 2304 ?? Ss 9:23AM 0:06.40 /usr/sbin/mediaserverd
root 26 0.0 0.0 273456 408 ?? Ss 9:23AM 0:00.33 /usr/sbin/notifyd
root 29 0.0 0.0 272904 364 ?? S 9:23AM 0:00.09 /usr/sbin/PXLdaemon
root 30 0.0 0.0 264644 276 ?? S 9:23AM 0:00.25 /usr/sbin/update
root 34 0.0 0.0 302268 5372 ?? S 9:23AM 0:05.06 /Applications/MobilePhone.app/MobilePhone
root 48 0.0 0.0 273276 760 ?? S 10:53AM 0:00.73 /usr/sbin/sshd -i
root 50 0.0 0.0 272872 332 p0 R+ 10:53AM 0:00.02 ps aux

# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/disk0s1 307200 195192 108936 65% /
devfs 18 18 0 100% /dev
/dev/disk0s2 3657400 2809748 847652 77% /private/var

Sistemci po x letih še vedno pišejo gesla, ko se prijavljajo na svoje strežnike. Takšen sistemc vpiše svoje geslo x-krat (where x > 50) na dan in je po možnosti enako za vseh svojih 120 strežnikov. Takšno eno za vse geslo uporablja že 5 let, ker se je nanj pač navadil.

Da ne govorim o izgubi časa, varnosti ki pade na vseh točkah, pa še kaj.

ssh je že zelo lep čas nazaj nudil rešitev. SSH ključi.

Sistem deluje na principu privatnega in javnega ključa. Javni ključ izpostavljaš po strežnikih do katerih želiš dostopati, privatnega držiš samo na svoji delovni postaji. Privatni ključ ima svoje geslo.

Tako lahko do strežnikov dostopaš samo, če imaš privatni ključ in seveda geslo zanj.

V tej fazi torej niste naredili veliko, uvedli ste nov nivo varnosti (poleg gesla še ključ, še vedno pa je potrebno pisati geslo, tokrat za ključ).

Rešitvi tudi tega se imenuje ssh-agent. Ideja ssh-agenta je, da si ob prijavi v delovno postajo, “registriraš” tudi ssh ključ (vpišeš geslo), za tem pa je prijava v sisteme brez spraševanja za geslo.

Še več, agent se “vleče” za vami, kar pomeni, da lahko ustvarite SSH povezavo do strežnika A, iz strežnika A pa naprej na strežnik B. Če imate na obeh strežnikih postavljen vaš javni ssh ključ, vas tudi pri povezavi iz A do B strežnika sistem ne bo vprašal za geslo, ker je sistem B preko sistema A dostopal do vašega ssh agenta in vas autenticiral.

Na kratko, ne potrebujete pisati več gesel sploh.

Jaz sem gesla po strežnikih celo odstranil, do mojih uporabniških računov se z geslom sploh ne da dostopati. Kolikokrat pa se vam zgodi, da potrebujete do konzole strežnika dostopati s svojim uporabniškim imenom in geslom. Meni nikoli.

Pa praksa:

Najprej si morate ustvariti ključ:
unix & unix like (tud OS X) sistemi:
# ssh-keygen

winblows: puttygen @ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Na *nix sistemih se bo ključ naredil v ~/.ssh/id_dsa <– privatni in ~/.ssh/id_dsa.pub <– javni

Zatem je potrebno postaviti ssh agenta:

OS X: recimo http://www.phil.uu.nl/~xges/ssh/
*nix: # ssh-agent
winblows: pageant @ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.htm

agentom pokažite pot do ključev in jih nastavite tako, da se bodo zagnali ob logiranju v delovno postajo.

Javni del ssh ključa skopirajte po strežnikih do katerih želite dostop. To storite tako da v mapi .ssh na strežniku ustvarite, če še ni datoteko authorized_keys in vanjo skopirate svoj javni del ključa.

PAZITE ! Javni del ključa je vedno samo ena vrstica, ogromnokrat se sistemcem zgodi da jo razbijejo na več.

Eto, če ste vse naredili prav, se poskusite povezati do svojega strežnika, tokrat brez gesla.

Ob uporabi tega sistema je potrebno pomisliti malo na varnost same delovne postaje oz. dostopa do nje, zatorej zaklepajte delovno postajo ko greste od mize, nastavite “screen saver” na malo časa in zaščitenega z geslom.

Toliko zaenkrat, nisem šel v detajle, ker bi se zgubili, upam da se že niste. Ideja je predstaviti, raziskujte pa sami !

Še par 100 tipk na dan manj !

s.

Tale bo verjetno tak…

po nadgradnji openssh-ja na HP-UX 11 v2 ia64 na verzijo 4.5p1 je sprva izgledalo, kot da je vse ok, ko pa je prijatelj želel nekaj skopirati iz strežnika na strežnik, pa se je kazalec hitrosti ustavil na 33 KB/s. Premalo za gigabitno mrežo…

Po iskanju problema v random generatorju in še kje, se je izkazalo, da z 32 bitno verzijo openssh-ja tega problema ni.

Zamenjava na 32bit je enostavna:
/opt/ssh/switchmode.sh

Mogoče pa se najde heroj ki ve zakaj 64bit verzija ne dela kot bi morala

S.

če se veliko ssh-jate po strežnikih in tipkate vedno dolga cela imena strežnikov, po možnosti še s portom, like

# ssh -p 32453 aleksandertrstenjakmlajsi@server13.cluster24.datacenter3.at.company.org

vam naj povem, da gre hitreje…

ustvarite, ce se nimate datoteke “~/.ssh/config” torej datoteka z imenom config, v podmapi .ssh v domači mapi.

Datoteka lahko služi kot ssh bookmarking orodje, zapisi v njej pa zgledajo takole:

Host s13
User aleksandertrstenjakmlajsi
Port 32453
HostName server13.cluster24.datacenter3.at.company.org

Host tivoli18
User root
Port 5563
HostName tivoli.server.at.some.company

itd.

do bookmarknjenga serverja dostopate tako z

# ssh s13

S.

P.S.: direktiva User v config fajlu sluzi kot default user, če tega ne specifirate, lahko ga pa overwritetate za en session, kot recimo # ssh simon@s13 pri čemer se bodo vsi parametri za s13 upoštevali iz configa, uporabljeno uporabniško ime pa bo simon.