+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

dsa зашифрованный SSH

dsa зашифрованный SSH, RouterOS

Freman

Guest

16.03.2006 00:04:00

Привет всем! Прежде всего, хочу сказать спасибо за добавление этой функции… Теперь небольшое предложение (не придираюсь, честно). Было бы круто (то есть здорово), если бы можно было получать публичный ключ с Radius-сервера? Тогда мне не пришлось бы вручную настраивать свой DSA-ключ на 50 роутерах (с: Просто подумал. Удачи, Шеннон.

mag Guest	#2 0 18.03.2006 10:07:00 Как использовать SSH DSA ключи? Не могу найти никакой документации. Под "/user ssh-keys" ничего нет, и нет папки .ssh в файловой системе. Так что как это вообще должно использоваться?

eflanery

Guest

18.03.2006 17:49:00

Сгенерируйте пару ключей DSA где-нибудь ещё (я использую ssh-keygen из OpenSSH), затем скопируйте файл с открытым ключом на свои MT(s). Импортируйте файл с открытым ключом и привяжите его к имени пользователя (часть команды импорта). С этого момента, когда вы подключаетесь к роутеру по SSH/SCP/SFTP, используя это имя пользователя, вы можете использовать аутентификацию DSA с приватным ключом, который вы сгенерировали, вместо аутентификации по паролю. –Eric

eflanery Guest	#4 0 18.03.2006 17:52:00 И кстати, по поводу вопроса от OP, было бы здорово получить публичный ключ от Radius, и я не думаю, что это будет сложно добавить. Что скажете, ребята из MT? –Эрик

changeip Guest	#5 0 18.03.2006 17:54:00 Потратил пару минут и выложил вики по DSA-вопросам. http://wiki.mikrotik.com/wiki/Use_SSH_to_execute_commands_(DSA_key_login)

mag

Guest

18.03.2006 18:08:00

Это действительно здорово. Спасибо changeip! Просто комментарий: с Mac OS X 10.4 становится ещё проще, потому что параметр -i по умолчанию указывает на нужный файл. Я предпочитаю ssh-нотацию с ‘@’, можно, например, просто ввести: ssh admin@192.168.1.1 "/interface print" и получить: Flags: X - disabled, D - dynamic, R - running NAME TYPE RX-RATE TX-RATE MTU 0 R ether1 ether 0 0 1500 1 R ether2 ether 0 0 1500 2 R wlan1 wlan 0 0 1500 3 R lan bridge 0 0 1500 круто!

cmit

Guest

20.03.2006 12:34:00

Окей, попробовал эту функцию несколько недель назад, когда впервые наткнулся на нее. Просто не импортирует мои DSA-ключи, сгенерированные PuTTYgen. Кто-нибудь добился успеха с этим? Пример ключа:
---- BEGIN SSH2 PUBLIC KEY ----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---- END SSH2 PUBLIC KEY ----

С уважением,
Christian Meis

changeip Guest	#8 0 20.03.2006 16:44:00 Попробуешь экспортировать его как OpenSSH ключ через их меню? Я попробую через пару минут и посмотрю, смогу ли я сделать так же. Спасибо, Сэм.

ldvaden

Guest

25.09.2006 00:04:00

Спасибо за статью по адресу < http://wiki.mikrotik.com/wiki/Use_SSH_to_execute_commands_(DSA_key_login) >. Однако, у меня возникли проблемы с этими ошибками (моими) в Cockpit: 'ssh-keygen -t dsa' в FC5 не генерирует ключ, который можно импортировать в RouterOS 2.9.30. Если ты посмотришь 'man ssh-keygen' в FC5, там сказано, что ключи DSA должны быть длиной 1024 бита, но установка -b 1024 не генерирует ключ, который импортируется в ROS 2.9.30. Аналогично, 'ssh-keygen -t dsa' в FreeBSD 4.8-RELEASE-p23 также не генерирует импортируемый ключ. Какая команда и какая операционная система генерируют ключ, который принимается ROS 2.9.30? Заранее спасибо за ответ(ы). rgds/ldv

changeip Guest	#10 0 25.09.2006 02:11:00 Какие имена файлов у тебя получаются при генерации ключей? .dsa и .pub? Какой из них ты импортируешь в MT? Сэм.

ldvaden

Guest

#11

25.09.2006 02:27:00

ftp> put id_dsa_mikrotik.pub
Ниже — выхлоп. Это FC5. Подставь меня на посмешище!
rgds/ldv
[vaden@skopje .ssh2]$ ssh-keygen -t dsa -b 1024
Generating 1024-bit dsa key pair
27 o.oOo..oOo.o
Key generated. 1024-bit dsa, vaden@skopje.texoma.net , Sun Sep 24 2006 21:24:11 -0500
Passphrase : Again
: Key is stored with NULL passphrase. (You can ignore the following warning if you are generating hostkeys.)
This is not recommended. Don’t do this unless you know what you’re doing. If file system protections fail (someone can access the keyfile), or if the super-user is malicious, your key can be used without the deciphering effort.
Private key saved to /home/vaden/.ssh2/id_dsa_1024_a
Public key saved to /home/vaden/.ssh2/id_dsa_1024_a.pub
[vaden@skopje .ssh2]$ ls -al
total 64
drwx------ 3 vaden vaden 4096 Sep 24 21:24 .
drwx------ 34 vaden vaden 4096 Sep 24 18:45 ..
drwx------ 2 vaden vaden 4096 Aug 11 20:23 hostkeys
-rw------- 1 vaden vaden 880 Sep 24 21:24 id_dsa_1024_a
-rw-r–r-- 1 vaden vaden 749 Sep 24 21:24 id_dsa_1024_a.pub
-rw------- 1 vaden vaden 1550 Aug 9 05:44 id_rsa_2048_a
-rw-r–r-- 1 vaden vaden 538 Aug 9 05:44 id_rsa_2048_a.pub
-rw------- 1 vaden vaden 512 Sep 24 21:24 random_seed
[vaden@skopje .ssh2]$ ftp mosel.texoma.net
Connected to mosel.texoma.net .
220 mosel FTP server (MikroTik 2.9.30) ready
500 ‘AUTH’: command not understood
500 ‘AUTH’: command not understood
KERBEROS_V4 rejected as an authentication type
Name ( mosel.texoma.net :vaden): vaden
331 Password required for vaden
Password:
230 User vaden logged in
Remote system type is UNIX.
ftp> put id_dsa_1024_a.pub
local: id_dsa_1024_a.pub
remote: id_dsa_1024_a.pub
227 Entering Passive Mode (209,151,96,139,128,51).
150 Opening ASCII mode data connection for ‘/id_dsa_1024_a.pub’
226 ASCII transfer complete
763 bytes sent in 9.3e-05 seconds (8e+03 Kbytes/s)
ftp> quit
221 Closing
[vaden@skopje .ssh2]$

changeip Guest	#12 0 25.09.2006 02:52:00 Появляется ошибка при импорте, или просто не отображается в списке импорта? Сэм

ldvaden Guest	#13 0 25.09.2006 04:37:00 Сэм, “Не удалось выполнить действие – импорт не удался (поддерживаются только публичные ключи DSA)(6)” rgds/ldv

changeip

Guest

#14

25.09.2006 05:48:00

Странно… я только что прогонял это снова, и вот вывод работающей версии (2.9.30): %ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/snorris/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/snorris/.ssh/id_dsa.
Your public key has been saved in /home/snorris/.ssh/id_dsa.pub.
The key fingerprint is:
a1:43:7c:91:eb:26:11:1a:8b:85:a6:57:a6:xx:xx:xx snorris@vpxx6.changeip.com

%cat id_dsa.pub
ssh-dss AAAAB3NzaC1kc3MAAACBAIQ85I9Fzy9Gxz6Xls3WwUfHEiNoV4F76bwozxYXa9GljYZloh78
HlHDcS7MFA0hnHBEe9xhrt98eEmRS/JDY32i9MXDb/oDg9a+okjX4NL3wkCwunV6/q361qbuVQSK7+E+
mmLZoAExlPwoWxao4h3dw2QEql+fL1KhUNOkt6NNAAAAFQC7NYPP1apr0y8Eo3eDN1ZzKHyATQAAAIBN
V0lYkDav/EG5zY5KEqJA2RH8gnyacDOXocj5oqV/1JDjyjHZHc6c+zNPJZvTn8xF9E2PrVkFEhRZIfWZ
7JvXf68yM/NTEYfMkPil2WMucw45s9vKJUIqMpj7ZRw0oOGdzhHKsa1s31Z4CR08ENLILENJ/uih9l+5
mw/nZQl2eAAAAIAhJg68yR6gyuTrvbDV7XXyGbgpSTHm4DVbCW1V+c4KJRKrKjfFWKUZAeHkdftLoTfR
vIbdmPRLfLJrXNmvf6uytBa5iF6402Prnq0EqbkcdotUxJMY413aSI13B2ZhKdik2H/XjVG8askkh5Hm
dzEYzB12O7qLZ0Ja3NORiurbQA== snorris@vpxxx6.changeip.com

%ftp xx.xx.x.1
Connected to xx.xx.x.1.
220 cip FTP server (MikroTik 2.9.30) ready
Name (xx.xx.x.1:xxxxx): xxxx
331 Password required for xxxx
Password:
230 User xxxx logged in
Remote system type is UNIX.
ftp> binary
200 Type set to I
ftp> put id_dsa.pub
local: id_dsa.pub remote: id_dsa.pub
227 Entering Passive Mode (xx,xx,x,1,128,24).
150 Opening BINARY mode data connection for '/id_dsa.pub'
100% |**************************************************| 614 00:00 ETA
226 BINARY transfer complete
614 bytes sent in 0.00 seconds (488.68 KB/s)
ftp> quit
221 Closing

%ssh xxxx@xx.xx.x.1
xxxx@xx.xx.x.1's password:

MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 2.9.30 © 1999-2006 http://www.mikrotik.com/

Hello, and welcome to MikroHome!
Terminal xterm detected, using multiline input mode
[xxxx@cip-office] > /user
[xxxx@cip-office] user> ssh-keys import file=id_dsa.pub
user: xxxx-ssh
[xxxx@cip-office] user> Это работает отлично. Ваш публичный ключ имеет похожий формат? Если да, пришлите снимок экрана и отправьте публичный ключ в заявку на поддержку. Сэм

Beccara Guest	#15 0 25.09.2006 06:14:00 Совет: Не вставляйте полные SSH-ключи сюда.

changeip

Guest

#16

25.09.2006 06:26:00

Это был тестовый ключ, сгенерированный для этого примера. Это же публичный ключ, ну что, может быть публичным, верно? Приватный ключ (id_dsa) находится на клиенте, инициирующем разговор, и его всегда нужно хранить в секрете. Сэм.

ldvaden

Guest

#17

26.09.2006 03:07:00

Если бы я верил в добрую фею поддержки, наверное, да :slight_smile: Но `ssh-keygen -t dsa` и импорт с ROS 2.9.30 не заработали при использовании упомянутых версий FreeBSD и Fedora, в то время как ключ, сгенерированный точно так, как вы предлагаете, на Centos 4.3, импортируется в WinBox. Возможно, ROS 2.9.30 просто не поддерживает ключи, сгенерированные FC5 (openssh.i386 4.3p2-4 installed). Может быть, я что-то пропустил – какой-то параметр или что-то в этом роде. FC5 также требует, чтобы права доступа к ключам были установлены на 600, в то время как Centos 4.3 работает с ключами, сгенерированными с правами доступа 640 на id_dsa.pub. Результаты могут отличаться. В любом случае, спасибо за отличную статью в вики и за вклад в сообщество MikroTIk. rgds/ldv what did work: [vaden@catch22 .ssh]$ cat /etc/redhat-release CentOS release 4.3 (Final) [vaden@catch22 .ssh]$ sudo yum whatprovides ssh-keygen openssh.x86_64 3.9p1-8.RHEL4.12 installed

Eugene Guest	#18 0 26.09.2006 09:04:00 Работает на Debian unstable и Ubuntu Dapper.

ldvaden Guest	#19 0 26.09.2006 12:49:00 Какие версии OpenSSH установлены на этих системах? Спасибо/с уважением/LDV

Eugene Guest	#20 0 26.09.2006 13:23:00 OpenSSH_4.2p1 Debian-7ubuntu3

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры