chiave pubblica che richiede sempre password e frase chiave

Sto provando a SSH da un NAS a un server web usando una chiave pubblica. L'utente NAS è "root" e l'utente del server web è "backup"

Ho tutte le autorizzazioni impostate correttamente e quando eseguo il debug della connessione SSH ottengo: (ultimo bit del debug)

debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: publickey
debug1: Offering DSA public key: /root/.ssh/id_dsa.pub
debug1: Server accepts key: pkalg ssh-dss blen 433
debug1: key_parse_private_pem: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key '/root/.ssh/id_dsa.pub':

Sto usando il comando:

ssh -v -i /root/.ssh/id_dsa.pub backup@webserver.com

Il fatto che richieda una passphrase è sicuramente un buon segno, ma non voglio che richieda questa o una password (che viene dopo se premo 'return' sulla passphrase)

Questo perché la tua chiave privata è crittografata ...

È possibile aggiungere la chiave a un agente ssh utilizzando ssh-addo rimuovere la passphrase (e con essa la crittografia) dalla chiave utilizzando il comando seguente:

ssh-keygen -p -f /root/.ssh/id_dsa -N ''

Oh, ho appena realizzato che si tenta di utilizzare la chiave pubblica per l'autenticazione ... Si desidera utilizzare la chiave privata lì:

ssh -v -i /root/.ssh/id_dsa backup@webserver.com

E solo per essere assolutamente sicuri, il contenuto del file id_dsa.pubva ~backup/.ssh/authorized_keyssul server web. È possibile utilizzare il seguente comando per farlo automaticamente

ssh-copy-id -i /root/.ssh/id_rsa.pub backup@webserver.com

Questo mi è successo quando la chiave privata che avevo non era in formato OpenSSH.

Inizialmente ho generato la mia chiave su Windows usando PuttyGen e mi veniva rimbalzato con questa stessa cosa.

Sono stato in grado di risolverlo caricando la chiave in PuttyGen e facendo clic su "Conversioni" per ottenerlo nel formato OpenSSH.

Ci sono alcune cose

In primo luogo, se KEY richiede una password, la chiave è stata generata con essa. In secondo luogo, se dopo il sistema richiede una password, la chiave non esegue l'autenticazione. Ciò significa che dovrai rigenerare la tua chiave SSH (o modificarla come suggerito da @rbtux) e correggere i file authorized_keys.

ssh-keygen -t {dsa | rsa} -b {1024 | 2048 | 4096} -C "commento opzionale" -f id_examplekey

Gli elementi tra parentesi graffe sono opzioni, tipo e dimensione dei bit (per indicare l'ovvio: dsa> rsa, 4096> 1024 - in termini di "sicurezza").

Quindi è necessario aggiungere la chiave pubblica (.pub) ai file authorized_keyse authorized_keys2(è un malinteso comune dire che .pub è per uso locale, tuttavia è destinato a essere confrontato con) nella .sshcartella del server .

$ cat id_examplekey.pub >> authorized_keys {, 2}

Quindi, da parte tua, dovresti assicurarti che i permessi chiave siano chmod 600 id_examplee per alleviare la digitazione di tutto ciò, puoi impostare il file di configurazione: ~/.ssh/configsulla tua casella locale (che è uno scheletro, puoi personalizzarlo un sacco):

Host example.com
    User WHATEVERNAME
    IdentityFile ~/.ssh/id_examplekey

Per me, poiché la chiave stessa era crittografata, ho seguito i seguenti passaggi:

• Avviare ssh-agent: $ ssh-agent bash
• Aggiungi chiave di identità standard al gestore chiavi: $ ssh-add
• Se vuoi aggiungere una chiave diversa, allora: $ ssh-add /location/of/key

Per controllare in qualsiasi momento, l'elenco delle chiavi attualmente caricate:

$ ssh-add -l

Maggiori dettagli possono essere ottenuti da questo link

prova https://wiki.gentoo.org/wiki/Keychain

È una specie di avvolgente su ssh-agentessh-add

Pro: Non è necessario inserire la password ripetutamente finché non si riavvia. Potrebbe essere utilizzato in crontab.

Potrebbe essere d'aiuto.

Potrebbe essere perché stai usando un pubkey DSA che è disabilitato di default in OpenSSH v7.

Se non è possibile modificare la coppia di chiavi, una possibile soluzione consiste nel dire al demone SSH su webserver.com di accettare quei tipi di chiave, aggiornando /etc/ssh/sshd_configo equivalendo aggiungendo la seguente riga

PubkeyAcceptedKeyTypes=+ssh-dss

E quindi riavviare il servizio

/etc/init.d/ssh restart                     # or equivalent

Su Mac OSX puoi aggiungere la tua chiave privata al portachiavi usando il comando:

ssh-add -K /path/to/private_key

Se la tua chiave privata è memorizzata in ~ / .ssh e si chiama id_rsa:

ssh-add -K ~/.ssh/id_rsa

Ti verrà quindi richiesta la password, che verrà memorizzata nel tuo portachiavi.