+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

v5.5 ошибка: после входа по паролю ssh-ключей доступ по ssh заблокирован

v5.5 ошибка: после входа по паролю ssh-ключей доступ по ssh заблокирован, RouterOS

MartinT

Guest

19.07.2011 00:29:00

После добавления ssh-ключей для пользователя этот пользователь больше не может входить через ssh с помощью пароля. Проверено с другого RouterOS (просто снова запрашивает пароль) и с Linux-машины (“Permission denied, please try again.”). Подтверждено и в версии 5.4. Другие типы входа выглядят работающими (консоль и mac-telnet протестированы). Не думаю, что это плохое поведение, но если это "новая фишка", пользователи должны быть об этом уведомлены (в руководстве?) и иметь возможность контролировать это.

szuwar

Guest

08.08.2011 08:43:00

А что именно делает эта «функция»? Усложняет вход по ssh больше, чем в любой другой системе openssh? Пользователь должен иметь возможность настраивать то, что он хочет — только ключи или вход с ключом/паролем. По умолчанию должно быть «правильное управление» — то есть поведение по умолчанию, реализованное в любой другой системе openssh и рассматриваемое пользователями как корректное.

jp1

Guest

11.08.2011 20:35:00

Я использую версию 5.6 и заметил подобные проблемы с SSH. Настраивая rb750GL, который приходит с версией около 5.2, я не могу использовать SCP для обновления прошивки. Приходится использовать FTP. Это не зависит от того, есть ли у администратора назначенный пароль. Обновился до 5.6 и увидел проблемы с SSH, обсуждаемые здесь. Я не использую старую версию, поэтому не могу сказать про 5.5 или 5.2. Я также установил это на 433ah и вижу похожее. SSH с ключами работает и отключает доступ по SSH с этого хоста. Это не функция. Он должен отключать доступ только для пользователя на этом хосте, если бы это была функция. Все пользователи на удаленном хосте не могут войти с паролем после настройки ключа на MT. Ключи предназначены для отдельных учетных записей на хосте, а не для всего хоста и не для других хостов, подключающихся к администратору. Вот пример, когда я настроил ключ на MT, чтобы принимать подключение админа без пароля с моего аккаунта jp@huehuetenango. После этой настройки я не могу войти как администратор из любого места, кроме того имени пользователя на этом хосте. Другие учетные записи на той же машине также не могут подключиться. Telnet, winbox, ftp не затронуты. ptyler@huehuetenango:~> ssh admin@69.39.112.241
Пароль admin@69.39.112.241:
Доступ запрещен, попробуйте еще раз.
Пароль admin@69.39.112.241:
Доступ запрещен, попробуйте еще раз.
Пароль admin@69.39.112.241:
Доступ запрещен (пароль).
ptyler@huehuetenango:~> выход
выход
huehuetenango:~ # выход
выход
jp@huehuetenango:~> ssh admin@69.39.112.241

MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 5.6 © 1999-2011 http://www.mikrotik.com/

Собственность Midcoast Internet Solutions 2075948277 или www.midcoast.com
Несанкционированный доступ будет преследоваться по закону.
Весь доступ записывается.

[admin@squirrelap] > выход
прерван
Соединение с 69.39.112.241 закрыто.
jp@huehuetenango:~> выход
выход
Соединение с 10.0.0.7 закрыто.
jp@travelmug:~> ssh admin@69.39.112.241
Пароль admin@69.39.112.241:
Доступ запрещен, попробуйте еще раз.
Пароль admin@69.39.112.241:
Доступ запрещен, попробуйте еще раз.
Пароль admin@69.39.112.241:
Доступ запрещен (пароль).
jp@travelmug:~> Также стоит упомянуть, как и другие, что использование ключей не должно препятствовать доступу по паролю; так работали старые версии 4.x и 3.x RouterOS. Я использую ключи для автоматизированного доступа (резервные копии, блокировка и разблокировка клиентов, вещи, которые нельзя сделать с помощью snmp и т.д.) и доступ по паролю SSH используется для интерактивной работы персонала. Также существует ошибка, связанная с тем, что не фиксируются эти неудачные попытки доступа по SSH. Эта последняя проблема заставляет меня думать, что это не функция.

rotten777 Guest	#4 0 15.08.2011 14:23:00 Можно ли отключить эту функцию?

fewi Guest	#5 0 15.08.2011 14:26:00 Не могу перевести текст "Nope."

janisk

Guest

16.08.2011 07:11:00

Изменения были внесены в 5.0rc2. В сообщении примечаний к изменениям объясняется: если установлен ssh-ключ, вход с помощью пароля отключен. Есть функция, что если вам кажется, что ключи для входа в роутер менее безопасный вариант, то это не используется. Это мера безопасности. Мы рассматриваем разные варианты, но в настоящее время всё останется как есть.

MartinT

Guest

16.08.2011 07:54:00

Спасибо, что указали на CHANGELOG, я нашел его в изменениях 5.0beta5 (упоминание 5.0rc2 вообще не касается ssh). На мой взгляд, это стоит представить пользователям как функцию, лучше всего в руководстве. Было бы здорово дать пользователям возможность контролировать это => запрос на добавление функции.

mrz Guest	#8 0 16.08.2011 08:59:00 Это уже добавлено в руководство как предупреждение http://wiki.mikrotik.com/wiki/Manual:Router_AAA#SSH_Keys

rotten777 Guest	#9 0 16.08.2011 12:08:00 Я поддерживаю это как запрос на функционал.

janisk

Guest

#10

16.08.2011 12:56:00

Да, мы это рассматриваем и оцениваем последствия. На данный момент вы можете добавить несколько сертификатов для каждой учетной записи, а также возможно добавить закрытый ключ для доступа через SSH с одного роутера на другой с использованием ключа. ИМХО - аутентификация по паролю сама по себе - это плохая идея, лучше использовать ключи с авторизацией.

jp1

Guest

#11

16.08.2011 16:34:00

Немного глупо блокировать вход по ssh с паролем (когда используются ключи), но при этом оставлять доступ по telnet и ftp по умолчанию, если цель действительно состоит в том, чтобы добиться безопасности лучше, чем при использовании пароля. Поскольку я не могу передать файл по scp, я воспользуюсь ftp. Это вполне приемлемый вариант, но он не должен заменять прежние методы. Я использую фаервол, чтобы заблокировать ssh, telnet и ftp отовсюду, кроме моих собственных сетей. Настройка занимает всего пару строк.

rotten777

Guest

#12

16.08.2011 20:06:00

Я согласен, но у меня более 30 точек с роутерами Mikrotik, и если я вдруг окажусь без ноутбука или рабочего стола, у меня не будет под рукой моего DSA-ключа, чтобы подключиться по ssh и решить проблемы. Это ограничивает мои поездки.

virtman

Guest

#13

28.12.2016 07:09:00

Привет, я не понимаю, почему это ограничение включено. Я согласен на возможность "отключить пароли при использовании ssh-ключей", но только как опцию. Поэтому, пожалуйста, добавьте возможность включения/выключения этой функции?

teamer Guest	#14 0 28.12.2016 07:24:00 Какую версию RouterOS вы используете? В современных версиях /ip ssh set always-allow-password-login=yes

virtman Guest	#15 0 04.01.2017 08:14:00 Привет, команда! Большое спасибо! Это именно то, что мне нужно... и указано на http://wiki.mikrotik.com/wiki/Manual:IP/SSH. Проблема в том, что этого нет в Winbox, и описание оставляет желать лучшего. С уважением.

asmpro

Guest

#16

20.11.2017 08:04:00

Я нахожу такое поведение крайне странным. У вас должен быть какой-то переключатель для этой функции, которую вы называете, или хотя бы соответствовать протоколу SSH и не предлагать аутентификацию по паролю в этом случае. Вот вывод отладочной сессии клиента openssh: debug1: Authentications that can continue: publickey,password С уважением.

LaKing Guest	#17 0 29.10.2019 03:54:00 Эта «функция» на самом деле не имеет смысла. По крайней мере, webfig работает с паролем. Обходной путь — создать пользователя ssh с установленными ключами и другого пользователя ssh с паролем и без ключей для использования с ssh. Странно...

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры