[SOLVED] Ubuntu 22.04 CTs login per SSH-Key nicht möglich

[djdonnerwolke]

Hallo zusammen,

aktuell nutze ich überwiegend Ubuntu 20.04 CTs auf meinem Proxmox Virtual Environment 7.2-7.
Gestern Abend habe ich meine erste Ubuntu 22.04 CT installiert. Ich gebe bei der Installation immer ein Root Passwort, aber auch immer einen öffentlichen SSH Key an. Dieser wird bisher von allen meinen CTs/VMs akzeptiert und ich kann mich damit an allen Systemen anmelden.

Jedoch akzeptiert die CT meinen Key nicht.



Ich habe die Konfiguration geprüft, jedoch hat mir dies nichts gebracht.

Jetzt habe ich gestern Abend meine erste CT mit Ubuntu 20.04 auf die 22.04 geupgradet und nun kann ich mich nach dem Neustart auch nicht mehr mit meinem SSH Key anmelden.
Ich habe das jetzt mehrfach durchgespielt und weiss nun nicht mehr weiter.

Hat jemand sonst schon mal das gleiche Problem gehabt und ist zu einer Lösung gekommen?
Es wäre schade, wenn ich die neuen CTs nicht mehr mit Ubuntu 22.04 nutzen kann, weil mein SSH Key nicht akzeptiert wird.
Ich habe den Login mit einem Passwort per SSH bei mir in aller Regel komplett deaktiviert. Dafür habe ich ja die Schlüssel.

Vielen Dank für euern Support!
vlg

 

[Hannes Laimer]

Hey,

ist PermitRootLogin in /etc/ssh/sshd_config gesetzt? Und wenn ja, auf was? Kannst du dich bei einer anderen Nutzer per SSH anmelden?

 

[Neobin]

Eventuell hat es damit zu tun?:

ssh-rsa is now disabled by default in OpenSSH 400. See bug 1961833 237 to learn how to selectively re-enable it if necessary. If you are upgrading a system remotely over SSH, you should check that you are not relying on this to ensure that you will retain access after the upgrade.

https://discourse.ubuntu.com/t/jammy-jellyfish-release-notes/24668

 

[djdonnerwolke]

Eventuell hat es damit zu tun?:

https://discourse.ubuntu.com/t/jammy-jellyfish-release-notes/24668

Vielen Dank dafür.

Ich habe den CT über die Konsole aktualisiert gehabt, damit es keine Probleme bei der SSH Verbindung gibt, weil mir klar ist, dass diese Verbindung beim dist-upgrade auch verloren geht.

 

[djdonnerwolke]

Hey,

ist PermitRootLogin in /etc/ssh/sshd_config gesetzt? Und wenn ja, auf was? Kannst du dich bei einer anderen Nutzer per SSH anmelden?

Ich hatte PermitRootLogin auf yes gesetzt gehabt, aber das aktiviert ja nur den Login mit Passwort per SSH. Das möchte ich aber gerne vermeiden.

 

[Neobin]

Hat das Reaktivieren von ssh-rsa [1] geholfen oder nicht?
Mir gerade nicht ganz klar.

[1] https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/1961833/comments/1

 

[djdonnerwolke]

Hat das Reaktivieren von ssh-rsa [1] geholfen oder nicht?
Mir gerade nicht ganz klar.

[1] https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/1961833/comments/1

Tut mir leid, ich gehe davon aus, dass ich das nicht richtig verstanden habe.
Ich habe mir die config in ~/.ssh angelegt und diese gefüllt, aber scheinbar hab ichs wohl nicht richtig gemacht?

 

[Neobin]

Tut mir leid, ich gehe davon aus, dass ich das nicht richtig verstanden habe.
Ich habe mir die config in ~/.ssh angelegt und diese gefüllt, aber scheinbar hab ichs wohl nicht richtig gemacht?

Ich bin mir nicht sicher, vielleicht kann/mag @Hannes Laimer hier nochmal helfen.

Soweit ich es verstehe ist die Änderung in der ~/.ssh/config für Clients um wieder zu SSH-Servern mit RSA/SHA1 verbinden zu können. Du brauchst es ja aber andersrum. (Da war meine Verlinkung irreführend, sorry.)

Was ich bei mir, allerdings nur mit Passwort-Authentifizierung, gemacht habe, ist HostkeyAlgorithms +ssh-rsa in die /etc/ssh/sshd_config einzufügen. (Ich nehme an, du brauchst zusätzlich noch PubkeyAcceptedAlgorithms +ssh-rsa.) Danach den SSH-Dienst neu starten!

Allerdings kann es auch sein, dass du das alles gar nicht brauchst, sondern einfach nur ein neues Key-Paar, welches nicht RSA/SHA1-basierend ist, erstellen und hinterlegen musst.

Wie gesagt, müsste jemand anderes hier nochmal helfen.

 

[djdonnerwolke]

Allerdings kann es auch sein, dass du das alles gar nicht brauchst, sondern einfach nur ein neues Key-Paar, welches nicht RSA/SHA1-basierend ist, erstellen und hinterlegen musst.

Wie gesagt, müsste jemand anderes hier nochmal helfen.

Würde dann bedeuten, dass ich zumindest für meine Internen Server dann alles umstellen müsste. Ich gehe aktuell davon aus, dass die 20.04er auch mit einem Schlüsselpaar zurecht kommen, die nicht auf RSA/SHA1 basieren?
Das wäre halt sehr aufwendig. Wenn ich auf den Servern die "alten" Schlüssel noch ne weile verwenden könnte, wäre das halt schon klasse um ehrlich zu sein.

 

[coldenburg]

Moin,
Ich würde im Vorfeld einen neuen ssh Key im ed25519 Format erstellen und auf alle Server ausrollen.
Bei größeren Umgebungen hilft da ein Provisioning Tool wie Ansible oder Chef, bei einer Hand voll Server sollte das auch noch von Hand gehen.

 

[Stoiko Ivanov]

Soweit ich das verstehe heißt die Änderung nicht, dass ssh-rsa hostkeys nicht mehr verwendet werden, sonder nur, dass nicht sha1 mit einem rsa key verwendet wird:

For most users, this change should be invisible and there is
no need to replace ssh-rsa keys. OpenSSH has supported RFC8332
RSA/SHA-256/512 signatures since release 7.2 and existing ssh-rsa keys
will automatically use the stronger algorithm where possible.

(von: https://www.openssh.com/txt/release-8.8)


sprich das Problem wird wahrscheinlich woanders liegen - ein output von `ssh -vvv root@10.0.1.116` sollte hier mehr Aufschluss geben.

 

[djdonnerwolke]

Moin,
Ich würde im Vorfeld einen neuen ssh Key im ed25519 Format erstellen und auf alle Server ausrollen.
Bei größeren Umgebungen hilft da ein Provisioning Tool wie Ansible oder Chef, bei einer Hand voll Server sollte das auch noch von Hand gehen.

Ich habe nun einen solchen Schlüssel generiert und was soll ich sagen?
Die alten waren halt nocvh RSA 4096er und der neue ist nun der im ed25519 Format. Was mich bissl komisch gucken lässt ist die Tatsache, dass der neue Schlüssel viel kürzer ist, aber der soll wohl genau so sicher sein.



Bisher habe ich fürs Management mein Bastillion genutzt, aber der scheint momentan noch nicht mit den neuen Schlüsseln zurecht zu kommen. Ich bin mit dem Tool nicht so ganz zu frieden und würde mir deshalb mal Ansible angucken. Vll komm ich damit eher zurecht. Danke euch auf jedenfall vielmals!

Edit: Wer sich aus Gründen keine neuen Schlüssel im ed25519 Format generieren möchte, kann auch erst mal mit folgendem Workaround die 22.04 so einstellen, dass sie die RSA Keys akzeptiert:

cat <<EOF >>/etc/ssh/sshd_config
# zusaetzlich hinzugefuegte Optionen
PubkeyAcceptedKeyTypes +ssh-rsa
EOF
systemctl restart ssh.service

Anschließend ist ein Login auf diese Maschine per SSH und dem RSA Key wieder möglich.