macOS Sierra und SSH mit Key-File geht nicht mehr

MacBook Tastatur, SSH Key fFile

Na toll, gester Abend aktualisierte ich mein MacBook auf da neue macOS Sierra und hatte nun ein SSH-Problem. Eigentlich klappte alles ziemlich prima. Skype spackte erst ein bisschen rum, was sich dann aber mit einer CleanMyMac-Bereinigung beheben lies. Was auch immer…

Passworteingabe statt Keyfile!?

Alle Server mit denen ich mich so regelmäßig mal verbinde habe ich in meiner ~/.ssh/config hinterlegt, um dann einfach nur über “ssh servername” eine Verbindung herstellen kann und ich mich um den Rest nicht mehr kümmern muss.
Nun wollte ich das eben tun und es funktionierte einfach nicht mehr. Es sollte zwar noch zum richtigen Server verbunden werden, allerdings hätte ich dann ein Passwort eingeben müssen. Da ich nicht von sämtlichen Servern die Passwörter ständig eintippen will und das ja auch nicht der Sinn von Keyfiles ist, einfach nicht zu funktionieren, googelte ich.

Fehlersuche

Was kann das nur sein? Die ersten Artikel die ich fand bezogen sich auf irgendwelche Beta-Probleme oder die Keychain. Das war ja nicht mein Problem. Dann stand dort irgendwo etwas vom SSH-Verbose-Modus, also mal versucht daraus schlauer zu werden.
ssh -v ExampleServer
Ziemlich am Ende stand dann etwas von
id_dsa - not in PubkeyAcceptedKeyTypes
AHA! Mein dsa-Key passt ihm also nicht. Jetzt war des Rätsels Lösung also nicht mehr weit.

OpenSSH 7

Mit macOS Sierra liefert Apple nun OpenSSH 7 aus. Und in OpenSSH 7 ist per default der Support von dsa-Key deaktiviert. Das kann man zwar wieder aktivieren, in dem man in der ~/.ssh/config für die jeweiligen Verbindungen
PubkeyAcceptedKeyTypes=+ssh-dss hinterlegt, muss man aber erstmal herausfinden.

Mein SSH-Key funktioniert wieder

dsa-Keys für die jeweiligen Verbindungen wieder angeschaltet, die Kiste einmal neu gestartet und schon funktioniert es wieder. Toll! Jetzt kann ich wieder weiterarbeiten.
Noch eine kleine Ergänzung zum Schluss: Es wird empfohlen das ganze auf rsa-Keys umzustellen. Aber als “Hotfix” kann man das ganze auf jeden Fall erstmal so machen und dann demnächst (aber auch wirklich 😉) umzustellen.

Autor: Patrick

Aus Hannover, Webentwickler, interessiert sich für ziemlich viel Zeug.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.