Dropbear auf Fritzbox 7270 mit key file - geht nicht - aber wieso

[immo_we]

Hi,

nach dem Upgrade auf FRITZ!OS 05.21 geht der dropbear nicht mehr. Also neu eingespielt von
http://radislav.bplaced.net/

Die Anleitung hat eigentlich funktioniert. Nur das mit den Authorized keys geht nicht.
egal ob unter /var/tmp oder /etc nirgendwo funktiniert das authorized_keys file. Der Key der vorher noch super funktionierte scheint defekt.

Was muss ich tun ?

Zusatzlich wird dropbear nahezu keine Loginfos ....
Kann man das ändern ?

 

[immo_we]

Hallo Experten.


Hat den keiner nen Vorschlag ?

 

[TomTomNavigator]

Hallo,

ein paar Infos mehr wären nicht schlecht.
Hat die authorized_keys - File die richtigen Rechte?
Wie sieht die Konfiguration von dropbear aus?
Wo ist der dropbear installiert? (Intern oder auf USB-Stick? Welches Dateisystem hat der USB-Stick? Ich hatte mit FAT Dateisystem so meine Probleme den Dropbear mit keyfile zum Laufen zu bekommen, da die Rechte immer wieder verstellt wurden.)

 

[immo_we]

Aber klar doch wenns hilft ...

ps -w wirft:
/var/tmp/dropbear -p 22 -r /var/tmp/dropbear_rsa_host_key -d /var/tmp/dropbear_dss_host_key

kommt also aus /var/tmp

dort liegt auch das auth file

-rw------- 1 root root 256 Aug 16 07:27 dropbear_authorized_keys
-rw------- 1 root root 458 Aug 16 07:27 dropbear_dss_host_key
-rw------- 1 root root 427 Aug 16 07:27 dropbear_rsa_host_key

dropbear config ? wie wo was ?

geladen wird das ganze vom usb stick
/dev/sda on /var/media/ftp/Verbatim-STORENGO-00 type vfat (rw,noatime,fmask=0000,dmask=0000,allow_utime=0022,codepage=cp437,iocharset=iso8859-1,shortname=winnt,errors=remount-ro)

aus der debug.cfg heraus
cp $HDD_ABSOLUT/7270/dropbearmulti $TEMP
und später dann
$TEMP/dropbear -p 22 -r $TEMP/dropbear_rsa_host_key -d $TEMP/dropbear_dss_host_key

 

[TomTomNavigator]

Welche Rechte hat der Ordner /var/tmp ?
Setz ihn mal auf chmod 700.

Dann noch

# Damit dropbear mit dem public key funktioniert muss die authorized_keys Datei
# per symbolischem Link noch bekannt gegeben werden:
rm /etc/dropbear/authorized_keys
ln -s /var/tmp/authorized_keys /etc/dropbear/authorized_keys

Hab das jetz auch nur mal gegoogelt ...

 

[doc456]

Hallo,

wo kommt der key denn her, wird der jedes Mal neu erstellt oder kopierst du nur?

Lass dropdear den key doch jedes Mal erstellen:

/var/tmp/dropbearkey -t rsa -f /var/tmp/dropbear_rsa_host_key

 

[immo_we]

Jupp beides steht auch in der debug.cfg

ABER: Es gibt kein /etc/dropbear und ein erzeugen geht nicht
# mkdir /etc/dropbear
mkdir: can't create directory '/etc/dropbear': Read-only file system
#

die Rechte stimmen. Ist bei SSH ja pflicht.
# ls -la /var/tmp
drwx------ 4 root root 0 Sep 20 14:43 .

Der Hostkey wird auch aus der debug.cfg erstellt
$TEMP/dropbearkey -t rsa -f dropbear_rsa_host_key
$TEMP/dropbearkey -t dss -f dropbear_dss_host_key

die Fehlermeldung zeigt aber auf einen public/privat key fehler. der Hostkey ist schnuppe. Könnte höchstens den Client stören. Aber Putty interessiert das nicht.

 

[doc456]

Was willst du in /etc?

Verstehe ich nicht...

Und welche Fehlermeldung, wie lautet die?

 

[immo_we]

zum thema etc:

in der dropbear docu steht dieser Eintrag für debug.cfg

# Damit dropbear mit dem public key funktioniert muss die authorized_keys Datei
# per symbolischem Link noch bekannt gegeben werden:
rm /etc/dropbear/authorized_keys
ln -s /var/tmp/authorized_keys /etc/dropbear/authorized_keys

und dafür muss ich nach /etc/ .....

Zum Thema Fehlermeldung..
Putty meldet beim Login zur Firtzbox:

Using username "root".
Server refused our key

Und im Putty Log steht

2012-09-20 14:43:36	Looking up host "********.dyndns.org"
2012-09-20 14:43:36	Connecting to ********* port 443
2012-09-20 14:43:36	Server version: SSH-2.0-dropbear_0.52
2012-09-20 14:43:36	We claim version: SSH-2.0-PuTTY_Release_0.60
2012-09-20 14:43:36	Using SSH protocol version 2
2012-09-20 14:43:36	Using Diffie-Hellman with standard group "group1"
2012-09-20 14:43:36	Doing Diffie-Hellman key exchange with hash SHA-1
2012-09-20 14:43:37	Host key fingerprint is:
2012-09-20 14:43:37	ssh-rsa 1040 80:37:b4:c8:4a:43:45:61:9f:58:a4:7b:60:bc:85:06
2012-09-20 14:43:37	Initialised AES-256 SDCTR client->server encryption
2012-09-20 14:43:37	Initialised HMAC-SHA1 client->server MAC algorithm
2012-09-20 14:43:37	Initialised zlib (RFC1950) compression
2012-09-20 14:43:37	Initialised AES-256 SDCTR server->client encryption
2012-09-20 14:43:37	Initialised HMAC-SHA1 server->client MAC algorithm
2012-09-20 14:43:37	Initialised zlib (RFC1950) decompression
2012-09-20 14:43:37	Reading private key file "********\PuTTY\priv_key_ssh2.PPK"
2012-09-20 14:43:37	Offered public key
2012-09-20 14:43:37	Server refused public key

 

[doc456]

Nee, nee, du kannst die man-page nicht auf die FritzBox übertragen, das ist closed Source und kein offenes Linux!

Bei der Fehlermeldung hast du anscheinend in Putty den public key nicht aktualisiert oder die Einstellungen in Putty sind falsch...

 

[immo_we]

Also putty hat natürlich nur den privat key. Sonst macht das ja keinen Sinn.
und der zugehörige public key liegt auf der Fritzbox. Den hab ich eben nochmal kontrolliert und der Ausgabe von puttygen verglichen. Also das was in /var/tmp/dropbear_authorized_keys steht

# cat dropbear_authorized_keys
ssh-rsa ......

Aber die eigentliche Frage bleibt.... wie bring ich dropbear ein wenig gesprächigkeit bei ?

 

[doc456]

Mit dem Parameter -E, siehe dropbear -help

 

[immo_we]

Das -E ding hilft gar nicht.....

da steht dann nur:
[25579] Sep 20 17:17:47 Running in background
[25594] Sep 20 17:20:34 Child connection from 193.158.105.118:48513

Linux ist da weit aus gesprächiger und sowas brauch ich... sonst findet man den Fehler nie.... denke ich. Da kann ich das volle Logging anschalten und schwups ist der Fehler meist gefunden.
sowas wie -vvvv oder so

 

[eisbaerin]

Also bei mir heißt die Datei anders und liegt auch wo anders:
/var/tmp/.ssh/authorized_keys

 

[immo_we]

und siehe da es geht.

Danke eisbaerin

Kann radizlav das vielleicht in sein howto aufnehmen ?

 

[radislav]

Radislav kann das natürlich gerne in die homepage aufnehmen, wenn er mal zeit hat ))