[Barracuda]

SystemZ
Сегодня шибко занят, но завтра отпишусь, как это делается. У меня всё прекрасно работает. Единственный хинт: посмотри, какой формат ключа в authorized_keys. Если он ASCII armored, то воспользуйся ssh-keygen -i -f ASCII_ARMORED_key_file > binary_key_file. Да и пермишн нужен соответствующий. Какой - не помню, завтра скину.

[Ge0rge]

Лучше скажи каким его надо генерить? По докам всё должно работать если сделать ключ ssh-keygen -t rsa1.  Разъясни пожалуйста для старого ламера как настроить, у меня такое ощущение что sshd вообще игнорирует каталоги ~/.ssh и ключи в них!

[Barracuda]

Вобщем, вот каталог .ssh с пермишнами:
[pre]drwxr-xr-x  2 porky  porky   512 Feb 24 22:17 .
drwxr-xr-x  5 user  group   512 Jun  3 23:17 ..
-rw-r--r--  1 user  group  2243 Feb  3 10:56 authorized_keys
-rw-r--r--  1 user  group   603 Feb 24 22:17 known_hosts[/pre]
Во первых, у тебя должен быть запущен какой-нить агент (во Фре у меня это просто ssh-agent, в Винде - SSH Accession Lite), который хранит и парсит запчасти от приватного ключа, на стороне клиента (с которого подключаешься). На стороне сервера (к которому подключаешься), в файле authorized_keys (хотя ты могешь поменять его имя в файле конфига sshd) в каждой отдельной строчке должны храниться публичные ключи каждой клиентской машины, с которой ты подключаешься. Кстати, вот мой конфиг:
[pre]# Port 22
Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
ListenAddress <host_IP>:<host_port>

# HostKey for protocol version 1
HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 2048

# Logging
#obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel DEBUG

# Authentication:

LoginGraceTime 120
PermitRootLogin no
StrictModes yes

# RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

# rhosts authentication should not be used
RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no

# Change to no to disable PAM authentication
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

#AFSTokenPassing no

# Kerberos TGT Passing only works with the AFS kaserver
#KerberosTgtPassing no

#X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
PrintLastLog yes
KeepAlive yes
#UseLogin no
UsePrivilegeSeparation yes
Compression yes

#MaxStartups 10
# no default banner path
#Banner /some/path
#VerifyReverseMapping no

# override default of no subsystems
Subsystem       sftp    /usr/libexec/sftp-server[/pre]


Добавлено:

У меня идёт работа по ssh2 (DSA-ключи, генерятся по ssh-keygen -t dsa -b 2048 - число бит можно и меньше сделать).

[Ge0rge]

Ну и что? Я взял твой конфиг, сгенерил dsa ключ, скопировал /root/.ssh/id_dsa.pub в /root/.ssh/authorized_keys. ТО ЖЕ САМОЕ! Просит ввести пароль для root@localhost (в конфиге я разрешил логиниться рутом, мне это необходимо.). Пермишены я поставил как у тебя. Если в конфиге поменять PasswordAuthentication yes чтобы идентификация шла по ключам а не паролю, то при логине получаю: Permission denied (publickey).
После генерации ключей делал ssh-add, ssh-agent показал что экспортированы две переменные окружения. Что ему ещё надо!!??

[Barracuda]

SystemZ
Правильно. Один раз он спросит пароль, но потом спрашивать не будет. Этот пароль(passphrase) нужен для авторизации ключа.

Цитата:

я разрешил логиниться рутом

Ну, батенька, эт вы здря.
Лучше завести юзера, логиниться под ним, а потом "su -" делать. Причём запретить этому юзеру авторизоваться по паролю.

Цитата:

Если в конфиге поменять PasswordAuthentication yes чтобы идентификация шла по ключам а не паролю, то при логине получаю: Permission denied (publickey).

Наоборот, если "no", то по паролю авторизации нет.

Цитата:

-agent показал что экспортированы две переменные окружения

Ничего он не экспортирует, на самом деле (посмотри по env или set - не помню). Его надо встраивать в .login конкретного юзера, из под которого идёт поключение к серверу(где ssh-agent запускается). Почитай мань по ssh-agent - там пара тонких моментов есть. Это он даёт строчки для импорта, т.е. ты их сам должен прикрутить.

[Ge0rge]

Рассказываю ещё раз как я пытаюсь настроить:
(Конфиг твой, законнектиться надо на localhost, все дела под рутом - плохо, но так действительно надо!, при логине рута

автоматически экспортируются SSH_AUTH_SOCK и SSH_AGENT_PID)
1) делаю ключи ssh-keygen -t dsa -b 2048
2) копирую ~/.ssh/id_dsa.pub в authorized_keys
3) запускаю ssh-add, просит passphrase для сгенеренного личного ключа - добавляю.
4) пробую ssh localhost - но тут он просит root@localhost''s passWORD, а не passPHRASE!!!! Так что ввод фразы тут не прокатит, а

только пароль рута в системе!

Добавлено:

P.S.:

Цитата:

Если в конфиге поменять PasswordAuthentication yes чтобы идентификация шла по ключам а не паролю, то при логине получаю: Permission denied (publickey).

я и имел в виду что если "no", то по паролю авторизации нет, т.е. PasswordAuthentication yes  сменить на PasswordAuthentication no

[Barracuda]

SystemZ

Цитата:

2) копирую ~/.ssh/id_dsa.pub в authorized_keys

Где генерим ключ и в какой каталог (и на какую машину) прописываем пуличный ключ?

[Ge0rge]

Всё делаю на одной машине (localhost), все ключи в /root/.ssh/, соответственно, и логинюсь по ssh на эту же машину под рутом

[Barracuda]

SystemZ
Из под рута в рут грузишься? Хм, странно. Попробуй запустить демон sshd с логлевелом DEBUG2 или DEBUG3 и посмотреть  влогах, на что жалобы идут.