SFTP/SSH-Zugang zu externen Endgeräten funktioniert nicht mehr

[Rolf-G2]

Hallo,

ich nutze seit vielen Jahren SFTP und SSH-Zugänge um mit dem Handy auf NAS zuzugreifen. Ich verwende dabei Key-Authentifizierung mit einem Schlüsselpaar, dass auf anderen Geräten tadellos funktioniert und auch auf dem Handy bereits erfolgreich genutzt wurde. Plötzlich funktioniert diese Authentifizierung nicht mehr. Mit reiner Passwort-Authentifizierung klappt der Zugang, das möchte ich aber nicht dauerhaft zulassen. Mit Key-Authentifizierung erhalte ich auf dem OpenSSH-Server folgende Fehlermeldung:

sshd[27949]: error: Received disconnect from 93.209.202.8 port 43896:3: com.jcraft.jsch.JSchException: Auth fail [preauth]
sshd[27949]: Disconnected from authenticating user rolf 93.209.202.8 port 43896 [preauth]

Habe auf dem Handy "Cx Datei-Explorer", Termius und ConnectBot versucht. Die Fehlermeldung dort ist

"Kann nicht auf [Server]:[Port] verbinden" (CX Datei-Explorer)
"Disconneted with the message: Authentication failed (keyboard interactive)" (Termius)

Der Schlüssel ist ein 4096bit RSA-Schlüssel

Hat jemand eine Idee wie ich das wieder zum Laufen bringe?

 

[Raz3r]

Hallo @Rolf-G2,

verstehe ich das richtig, dass der Zugriff plötzlich und ausschließlich auf Deinem Xiaomi Smartphone nicht mehr funktioniert, auf anderen Geräten, bei unveränderten Bedingungen, aber nach wie vor möglich ist?

Außerdem:

• Um welches Smartphone geht es genau?
• Was für einen Fehler meldet ConnectBot?
• Hast Du den Schlüssel mal vollständig gelöscht und auf dem Smartphone neu importiert?
• Hast Du mal ein neues Schlüsselpaar generiert und dieses getestet?

Grüße
Raz3r

 

[Rolf-G2]

Prinzipiell ja. Wie sich noch herausgestellt hat, betrifft das aber nicht nur mein Xiaomi. Offensichtlich funktionieren auch andere Keys auf anderen Android-Geräten nicht mehr. Gleiche Keys funktionieren aber auf anderen Endgeräten (PCs, Notebooks...)
Auf dem Server wurde debugging aktiviert. Der Pub-Key wird in authorized_keys nicht gefunden obwohl vorhanden. Habe mit dem Xiaomi einen neuen Key erstellt (RSA 2048) und nach authorized_keys geschrieben. Damit klappt der Zugang wieder. Weshalb plötzlich die alten, immer gut funktionierenden Keys auf Android (allgemein) nicht mehr laufen, entzieht sich meiner Kenntnis. Bin aber wenig motiviert auf allen Androids neue Keys zu erstellen und zu verwalten.

 

[Raz3r]

@Rolf-G2
Du hast immer noch nicht geschrieben, um was für ein Gerät es geht. Gab es auf diesem kürzlich ein System-Update? Hast Du außerdem mal versucht, Deinen alten Schlüssel zu löschen und genau diesen neu zu importieren und nach authorized_keys schreiben zu lassen?

 

[Rolf-G2]

Sorry.

- Xiaomi MI 9 SE'
- Versuche Publickkey Authentisierung mit allen öffentlichen Schlüsseln im Speicher
Authentifizierungs Methode 'publickey' mit Schlüssel [Pfad] fehlgeschlagen
Versuche zu authentisieren
Versuche 'keyboard-interactive' Authentisierung
- Ja, alter Schlüssel wurde neu vom Server gezogen
- Ja, ein mit dem Xiaomi erstellter Schlüssel funktioniert. Aber alle Keys neu erstellen und austauschen...?

 

[Raz3r]

@Rolf-G2
Wie ich vermutet habe, geht es darum, dass der Speicherort des Schlüssels (warum auch immer) nicht mehr zugänglich ist bzw. er dort nicht mehr vorhanden war. Gehe ich Recht in der Annahme, dass ein händisches Schreiben nach authorized_keys nach dem neu Erstellen nicht mehr notwendig (möglich) war?

 

[Rolf-G2]

Nein. Bereits vor Erstellung der Anfrage hatte ich den vom Server geholten Key an eine andere Stelle des Dateisystems kopiert und neu nach ConnectBot importiert. Damit hatte ich Fehlermeldung. Den mit ConnectBot erstellten Key hatte ich als Datei in das gleiche Verzeichnis gelegt, key.pub (problemlos) nach authorized_keys gebracht, damit konnte ich errfolgreich connecten.

 

[Raz3r]

Okay, in dem Fall gehen meine Ideen dahin. Dann ist meine Lösung für Dich

alle Keys neu erstellen und austauschen...? !

 

[Rolf-G2]

 

[kgott]

Mit reiner Passwort-Authentifizierung klappt der Zugang, das möchte ich aber nicht dauerhaft zulassen.

Da spricht aber im Grunde nichts gegen.

 

[Rolf-G2]

Auf dem Server gibt es regelmäßig Brute-Force-Attacken. Ich halte das für essentiell für einen gesicherten Betrieb. Mit reiner Key-Authetisierung habe ich ein ähnliches Schutzniveau wie mit einer VPN-Verbindung.

 

[Raz3r]

@Rolf-G2
Was Du wie und warum machst, ist Deine Sache und das musst Du wissen. Rein interessehalber trotzdem die Frage, warum Du kein VPN nutzt?

Hast Du eine Regelmäßigkeit bzgl. der Attacken feststellen können? Kommen diese uU aus einem bestimmten GEO-IP-Bereich (Asien, Russland...), den Du vielleicht sogar sperren könntest?

 

[Rolf-G2]

Was Du wie und warum machst, ist Deine Sache und das musst Du wissen. Rein interessehalber trotzdem die Frage, warum Du kein VPN nutzt?

a) weil es umständlicher ist und b) weil über VPN gleich alle Dienste geöffnet werden

Hast Du eine Regelmäßigkeit bzgl. der Attacken feststellen können? Kommen diese uU aus einem bestimmten GEO-IP-Bereich (Asien, Russland...), den Du vielleicht sogar sperren könntest?

alles "ja". Schutzmaßnahmen laufen bereits.

 

[kgott]

Auf dem Server gibt es regelmäßig Brute-Force-Attacken.

Die habe ich auf meinem Heim-Server(!) auch. Von außen. China, Rußland, wo auch immer her. Seit ca. 20 Jahren. Ist mir völlig schnuppe.

Ich halte das für essentiell für einen gesicherten Betrieb. Mit reiner Key-Authetisierung habe ich ein ähnliches Schutzniveau wie mit einer VPN-Verbindung.

Ist ja ok, aber wirklich "sicherer" ist das nicht.