标题基本上说明了一切。但请注意:主机密钥,而不是登录密钥。
如果它们开箱即用不兼容,有没有办法在它们之间进行转换 - 在这种情况下,步骤是什么?
基本原理:如果引导失败,能够在 initrd 的范围内启动一个 dropbear 实例会很好,但可以通过合并来自通常安装在主机上的 OpenSSH 的主机密钥(通过 initramfs-tools 挂钩)来实现.
我有一个 OpenWrt 路由器,我想在 SSH 上禁用密码身份验证,以便只能使用密钥进行身份验证。这可以通过遵循文档中的指南轻松实现,但是,我只想在 WAN 接口上禁用密码身份验证,这可能吗?
我正在尝试通过 ssh 访问我的路由器。目前我只有 telnet 访问权限,我安装了 dropbear 并且正在运行(在连接到路由器的 USB 驱动器上使用 opkg)。
从一开始,我所做的是生成一个私钥并将其解密(因为 dropbear 尚不支持此功能)和公共密钥:
cd .ssh
openssl genrsa -des3 -out id_rsa
openssl rsa -in id_rsa -out id_rsa
ssh-keygen -y -f id_rsa > authorized_keys
我将公钥 ( authorized_keys)上传到/root/.ssh. 我将文件放在 Apache 服务器上(在我的本地计算机中)并使用 wget 将其下载到路由器上(因此下载的文件以所有者/组的身份获取),然后将权限更改为 0600(与客户端相同,但与我的用户)。
当我尝试访问时,它给了我一个“权限被拒绝(公钥)”错误:
$ ssh -v -i ~/.ssh/id_rsa root@192.168.1.1
OpenSSH_7.4p1, OpenSSL 1.0.2j 26 Sep 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 192.168.1.1 [192.168.1.1] port 22.
debug1: Connection established.
debug1: key_load_public: No such file or directory
debug1: …我有一个运行 DD-WRT 的家用无线路由器。即使在恢复默认设置并重新安装 DD-WRT 固件后,我也无法通过 SSH 连接到路由器 (Dropbear)。所以我尝试使用 -vvv SSH 到路由器,这就是我得到的:
OpenSSH_6.7p1 Ubuntu-5ubuntu1.3, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to ddwrt [172.16.77.1] port 22.
debug1: Connection established.
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity …我使用 Yocto 为嵌入式板构建了固件。ssh 服务器 Dropbear 似乎已启动并正在运行并且工作正常。我可以使用 root 用户登录,无需密码。尽管如此,我无法使用 sshfs 从 Ubuntu 桌面挂载文件系统。在桌面上我得到:
sudo sshfs -o allow_other root@10.42.0.68:/ /mountpoint
remote host has disconnected
在 Poky 中,我可以在 /var/log/messages 中看到:
May 7 00:25:37 raspberrypi3 authpriv.info dropbear[537]: Child connection from 10.42.0.1:48010
May 7 00:25:38 raspberrypi3 authpriv.notice dropbear[537]: Auth succeeded with blank password for 'root' from 10.42.0.1:48010
May 7 00:25:38 raspberrypi3 authpriv.info dropbear[537]: Exit (root): Disconnect received
是否有可能以某种方式增加冗长程度?我尝试在 /etc/default/dropbear 中添加“verbose = 1”,但这可能是错误的,因为服务器甚至不再启动。也许 dropbear 根本不支持 sshfs ?
我不知道为什么,但我无法在我的 debian 稳定版上按照这些说明进行操作。安装 dropbear 和 busybox 后,我尝试运行initramfs -u. 我在这里收到一个奇怪的警告:
# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-4.9.0-4-amd64
dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!
然后,我尝试查看文件/etc/initramfs-tools/root/.ssh/id_rsa,但rootinitramfs 文件夹中没有文件夹。我也试着跑
dropbearkey -t dss -f /etc/initramfs-tools/etc/dropbear/dropbear_dss_host_key
但是没有文件夹/etc/initramfs-tools/etc/,所以这个命令也失败了。当然,我可以创建这些文件夹,但恐怕这种奇怪的行为并非来自更深层次的错误。如果有帮助,这里是 initramfs 文件夹的内容:
me@server:/etc/initramfs-tools# ls
conf.d hooks initramfs.conf modules scripts update-initramfs.conf
谢谢!
当我第一次连接到 Dropbear SSH 服务器时,我收到以下消息:
me@laptop:~$ ssh me@server
The authenticity of host 'server' can't be established.
RSA key fingerprint is SHA256:NycCxoRiiSAGA7Rvlnuf1gU8pazIpXJKZ3ukdivyam8.
Are you sure you want to continue connecting (yes/no)?
为了确保这是正确的服务器,我想将该消息中指定的指纹与服务器的真实指纹进行比较。如何找到服务器的 RSA 主机密钥指纹?
我的Raspberry Pi(现在距离我10,000公里)的工作原理如下:
/bootcryptsetup)包含/dropbear。它要求输入 HDD 的密码,然后启动顺序将正常继续。有关我如何完成这一切的更多信息,请阅读http://blog.romainpellerin.eu/raspberry-pi-the-ultimate-guide.html。
TL;DR这是一个简化版本:
apt-get install busybox cryptsetup rsync
echo "initramfs initramfs.gz 0x00f00000" >> /boot/config.txt
sed -e "s|root=/dev/mmcblk0p2|root=/dev/mapper/hddcrypt cryptdevice=/dev/sda1:hddcrypt|" -i /boot/cmdline.txt
sed -e "s|/dev/mmcblk0p2|/dev/mapper/hddcrypt|" -i /etc/fstab
echo -e "hddcrypt\t/dev/sda1\tnone\tluks" >> /etc/crypttab
cryptsetup --verify-passphrase -c aes-xts-plain64 -s 512 -h sha256 luksFormat /dev/sda1
mkinitramfs -o /boot/initramfs.gz $(uname -r)
aptitude install dropbear
// Configuring the SSH access …