connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
Bonjour a tous, 

J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
privée/publique pour m'y connecter à partir de mon poste. Après
l'installation d'un nouveau serveur, ce dernier serveur peut se
connecter en SSH au ancien serveur SANS demande de mot de passe ni
installation de clé. Est-ce que c'est un pb de configuration ? voici mon
fichier de config :

- /etc/ssh/sshd_config 

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
RhostsRSAAuthentication

PermitEmptyPasswords no

ChallengeResponseAuthentication no

#PasswordAuthentication yes

PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

 FIN /etc/ssh/sshd_config 

Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
eu d'échange de clé entre ces machines !

sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2

Merci d'avance,
Julien



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Comptes hotmail

2009-10-06 Par sujet Cornichon

Saluté,
Pour les utilisateurs d'hotmail, veillez à changer votre password.
Voir ci-dessous :

http://isc.sans.org/diary.html?nstoryid=7276
http://www.theregister.co.uk/2009/10/05/hotmail_passwords_leaked/

Cordialement.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Benjamin MENUET
Bonjour,

Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou est-ce
qu'il remplace un ancien serveur ?

S'il remplace un ancien serveur, qu'il as le même nom et que tu as copié ta
conf ssh c'est possible.

Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu
utilise (# cat /root/.ssh/id_rsa.pub).
Si ta clé est présente sur ton serveur dans le fichier
/root/.ssh/authorized_keys alors c'est normal que l'autentification soit
automatique.

Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta connexion
fonctionne toujours.

Ben

Le 6 octobre 2009 09:55, Julien jul...@nura.eu a écrit :

 Bonjour a tous,

 J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
 privée/publique pour m'y connecter à partir de mon poste. Après
 l'installation d'un nouveau serveur, ce dernier serveur peut se
 connecter en SSH au ancien serveur SANS demande de mot de passe ni
 installation de clé. Est-ce que c'est un pb de configuration ? voici mon
 fichier de config :

 - /etc/ssh/sshd_config 

 Port 22
 Protocol 2
 HostKey /etc/ssh/ssh_host_rsa_key
 HostKey /etc/ssh/ssh_host_dsa_key
 UsePrivilegeSeparation yes
 KeyRegenerationInterval 3600
 ServerKeyBits 768
 SyslogFacility AUTH
 LogLevel INFO

 # Authentication:
 LoginGraceTime 120
 PermitRootLogin yes
 StrictModes yes

 RSAAuthentication yes
 PubkeyAuthentication yes
 #AuthorizedKeysFile %h/.ssh/authorized_keys

 IgnoreRhosts yes
 RhostsRSAAuthentication no
 HostbasedAuthentication no
 RhostsRSAAuthentication

 PermitEmptyPasswords no

 ChallengeResponseAuthentication no

 #PasswordAuthentication yes

 PrintMotd no
 PrintLastLog yes
 TCPKeepAlive yes
 #UseLogin no

 #MaxStartups 10:30:60
 #Banner /etc/issue.net

 # Allow client to pass locale environment variables
 AcceptEnv LANG LC_*

 Subsystem sftp /usr/lib/openssh/sftp-server

 UsePAM yes

  FIN /etc/ssh/sshd_config 

 Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
 eu d'échange de clé entre ces machines !

 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2

 Merci d'avance,
 Julien



 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
 ``spam'' dans vos champs From et Reply-To:

 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org




Re: connexion SSH sans cl é ni mot de passe

2009-10-06 Par sujet Yves Rutschle
On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
 ce dernier serveur peut se
 connecter en SSH au ancien serveur

Un serveur qui se connecte à un serveur? Il y a un problème
dans l'énoncé du sujet.

 Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
 eu d'échange de clé entre ces machines !
 
 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2

C'est le message normal qui montre qu'il y a eu échange de
clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?

Y.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
Le mardi 06 octobre 2009 à 11:53 +0200, Benjamin MENUET a écrit :
 Bonjour,
 
 Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou
 est-ce qu'il remplace un ancien serveur ?

 S'il remplace un ancien serveur, qu'il as le même nom et que tu as
 copié ta conf ssh c'est possible.

Je n'ai pas copié la conf ssh, à l'installation du serveur copie une
seule clé publique dans authorized_keys. Mais d'autres serveur arrive à
se connecter quand même.


 Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu
 utilise (# cat /root/.ssh/id_rsa.pub).
 Si ta clé est présente sur ton serveur dans le
 fichier /root/.ssh/authorized_keys alors c'est normal que
 l'autentification soit automatique.
 
 Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta
 connexion fonctionne toujours.

Depuis le serveur A :

# ssh B
-- connexion automatique 

Sur le serveur A :

# cd ~/.ssh
# rm -f id*
# ssh B
-- connexion automatique

Toujours sur A 
# ssh-keygen -t rsa
The key fingerprint is:
eb:0c:2a:d7:08:09:4b:19:3f..
# ssh B 
-- connexion automatique

Il y a un pb là non ?

Julien


 
 Ben
 
 Le 6 octobre 2009 09:55, Julien jul...@nura.eu a écrit :
 Bonjour a tous,
 
 J'ai quelques serveurs qui sont accessibles en SSH, j'utilise
 des clés
 privée/publique pour m'y connecter à partir de mon poste.
 Après
 l'installation d'un nouveau serveur, ce dernier serveur peut
 se
 connecter en SSH au ancien serveur SANS demande de mot de
 passe ni
 installation de clé. Est-ce que c'est un pb de configuration ?
 voici mon
 fichier de config :
 
 - /etc/ssh/sshd_config
 
 
 Port 22
 Protocol 2
 HostKey /etc/ssh/ssh_host_rsa_key
 HostKey /etc/ssh/ssh_host_dsa_key
 UsePrivilegeSeparation yes
 KeyRegenerationInterval 3600
 ServerKeyBits 768
 SyslogFacility AUTH
 LogLevel INFO
 
 # Authentication:
 LoginGraceTime 120
 PermitRootLogin yes
 StrictModes yes
 
 RSAAuthentication yes
 PubkeyAuthentication yes
 #AuthorizedKeysFile %h/.ssh/authorized_keys
 
 IgnoreRhosts yes
 RhostsRSAAuthentication no
 HostbasedAuthentication no
 RhostsRSAAuthentication
 
 PermitEmptyPasswords no
 
 ChallengeResponseAuthentication no
 
 #PasswordAuthentication yes
 
 PrintMotd no
 PrintLastLog yes
 TCPKeepAlive yes
 #UseLogin no
 
 #MaxStartups 10:30:60
 #Banner /etc/issue.net
 
 # Allow client to pass locale environment variables
 AcceptEnv LANG LC_*
 
 Subsystem sftp /usr/lib/openssh/sftp-server
 
 UsePAM yes
 
  FIN /etc/ssh/sshd_config
 
 
 Dans les log j'ai bien une connexion par clé publique mais il
 n'y a pas
 eu d'échange de clé entre ces machines !
 
 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port
 x ssh2
 
 Merci d'avance,
 Julien
 
 
 
 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi
 ajouter le mot
 ``spam'' dans vos champs From et Reply-To:
 
 Pour vous DESABONNER, envoyez un message avec comme objet
 unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS
 listmas...@lists.debian.org
 
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
 On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
  ce dernier serveur peut se
  connecter en SSH au ancien serveur
 
 Un serveur qui se connecte à un serveur? Il y a un problème
 dans l'énoncé du sujet.

Une de mes machines accepte tous les clients SSH sans vérification de
clés !

 
  Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
  eu d'échange de clé entre ces machines !
  
  sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2
 
 C'est le message normal qui montre qu'il y a eu échange de
 clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?

Ce qui me gène c'est que tout le monde peut s'y connecter même sans
fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !

Julien 



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Alain Vaugham
Le mardi 6 octobre 2009 09:55, Julien a écrit :

 PermitRootLogin yes
Ce ne serait pas à éviter?


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de p asse

2009-10-06 Par sujet ~TraydenT~
Le 06/10/2009 09:55, Julien a écrit :
 Bonjour a tous, 
   
Bonjour,
 J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
 privée/publique pour m'y connecter à partir de mon poste. Après
 l'installation d'un nouveau serveur, ce dernier serveur peut se
 connecter en SSH au ancien serveur SANS demande de mot de passe ni
 installation de clé. Est-ce que c'est un pb de configuration ?
As-tu essayé de regarder ce que te sort un «ssh -v» ? Tu devrais voir
dans les messages ce qui te permets de te connecter, et te permettra
peut-être d'élucider ce mystère.
 [snip]

 Merci d'avance,
 Julien
   
-- 
~TraydenT~

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Jean-Yves F. Barbier
Alain Vaugham a écrit :
 Le mardi 6 octobre 2009 09:55, Julien a écrit :
 
 PermitRootLogin yes
 Ce ne serait pas à éviter?

Pourquoi? 
Si l'attaquant arrive à compromettre un compte std, il-y-a des chances
pour qu'il ait les connaissances nécessaires pour obtenir les droits
de root: la protection est la même.

-- 
  Of course I can keep secrets. It's the people I tell them to that
  can't keep them. -Anthony Haden-Guest

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Jean-Yves F. Barbier
Julien a écrit :
 Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
 On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
 ce dernier serveur peut se
 connecter en SSH au ancien serveur
 Un serveur qui se connecte à un serveur? Il y a un problème
 dans l'énoncé du sujet.
 
 Une de mes machines accepte tous les clients SSH sans vérification de
 clés !

Très bizarre, et  quasiment impossible
 
 Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
 eu d'échange de clé entre ces machines !

 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2

 C'est le message normal qui montre qu'il y a eu échange de
 clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?

wai, il a raison, ça veut juste dire que la clé client est dans le 
fichier .ssh/authorized_keys

 Ce qui me gène c'est que tout le monde peut s'y connecter même sans
 fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !

Ok, mais les clients n'auraient-ils pas des clés id_rsa... ?

Es-tu absolument sûr de ce que tu avances (ça paraît impossible); 
pour ça tu peux éplucher les logs de /var/log/auth.log, en remplaçant
temporairement la ligne LogLevel INFO dans /etc/ssh/sshd_config par
LogLevel DEBUG2  (+ un restart de ssh) sur la machine réceptrice.

-- 
Test-tube babies shouldn't throw stones.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Alain Vaugham
Le mardi 6 octobre 2009 12:37, Jean-Yves F. Barbier a écrit :
 Alain Vaugham a écrit :
  Le mardi 6 octobre 2009 09:55, Julien a écrit :
  PermitRootLogin yes
 
  Ce ne serait pas à éviter?

 Pourquoi?

Parceque Julien  se connecte en root :
Il a écrit :

Depuis le serveur A :

# ssh B
-- connexion automatique

Donc ça me paraît normal puisque le serveur accepte le login root.
Julien devrait se connecter avec un login user sur le serveur distant puis 
passer root ensuite.
Non?


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Nicolas KOWALSKI
Bonjour,

Julien jul...@nura.eu writes:

 Ce qui me gène c'est que tout le monde peut s'y connecter même sans
 fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !

C'est peut-être juste le RhostsRSAAuthentication qui est en
fonctionnement ? A désactiver dans /etc/ssh/sshd_config.

-- 
Nicolas

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Jean-Yves F. Barbier
Alain Vaugham a écrit :
 Le mardi 6 octobre 2009 12:37, Jean-Yves F. Barbier a écrit :
 Alain Vaugham a écrit :
 Le mardi 6 octobre 2009 09:55, Julien a écrit :
 PermitRootLogin yes
 Ce ne serait pas à éviter?
 Pourquoi?
 
 Parceque Julien  se connecte en root :
 Il a écrit :
 
 Depuis le serveur A :

 # ssh B
 -- connexion automatique
 
 Donc ça me paraît normal puisque le serveur accepte le login root.
 Julien devrait se connecter avec un login user sur le serveur distant puis 
 passer root ensuite.
 Non?

Non, ça fait déjà un packet de temps que la connexion root directe par SSH
a été déclarée secured (excepté l'épisode récent des clés faiblardes).

Et comme je l'ai dit plus haut, si l'attaquant a les connaissances et facilités
requises pour compromettre un compte user, il arrivera sûrement par finir à
obtenir les prérogatives de root.

-- 
If I were to walk on water, the press would say I'm only doing it
because I can't swim.
-- Bob Stanfield

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Alain Vaugham
Le mardi 6 octobre 2009 13:34, Julien a écrit :
 Le mardi 06 octobre 2009 à 12:13 +0200, Alain Vaugham a écrit :
  Le mardi 6 octobre 2009 09:55, Julien a écrit :
   PermitRootLogin yes
 
  Ce ne serait pas à éviter?

 oui mais les utilisateurs veulent ce connecter en root donc ...

... donc il faut leur faire confiance et croiser les doigts lorsqu'ils 
tripatouilleront dans le système ;-)


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
J'ai changé le loglevel vers DEBUG2, redémarrer sshd (sur le serveur)
Sur le client j'ai supprimé les clé dans .ssh (rm -f ~/.ssh/id*)

voilà un extrait des log auth.log sur le serveur : 

debug2: user_key_allowed: check options: 'ssh-dss B3...
debug2: key_type_from_name: unknown key type 'B3N...
debug2: user_key_allowed: advance: 'B3N...
debug1: matching key found: file /root/.ssh/authorized_keys, line 2
sshd[17108]: Found matching RSA key: 80:...

sauf que la clé ligne 2 de /root/.ssh/authorized_keys du serveur ne
correspond pas du tout au client qui se connecte (en plus il n'y plus de
fichier de clé dans .ssh/id_rsa ou .ssh/id_dsa

Julien 
Le mardi 06 octobre 2009 à 12:46 +0200, Jean-Yves F. Barbier a écrit :
 Julien a écrit :
  Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
  On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
  ce dernier serveur peut se
  connecter en SSH au ancien serveur
  Un serveur qui se connecte à un serveur? Il y a un problème
  dans l'énoncé du sujet.
  
  Une de mes machines accepte tous les clients SSH sans vérification de
  clés !
 
 Très bizarre, et  quasiment impossible
  
  Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
  eu d'échange de clé entre ces machines !
 
  sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2
 
  C'est le message normal qui montre qu'il y a eu échange de
  clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?
 
 wai, il a raison, ça veut juste dire que la clé client est dans le 
 fichier .ssh/authorized_keys
 
  Ce qui me gène c'est que tout le monde peut s'y connecter même sans
  fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !
 
 Ok, mais les clients n'auraient-ils pas des clés id_rsa... ?
 
 Es-tu absolument sûr de ce que tu avances (ça paraît impossible); 
 pour ça tu peux éplucher les logs de /var/log/auth.log, en remplaçant
 temporairement la ligne LogLevel INFO dans /etc/ssh/sshd_config par
 LogLevel DEBUG2  (+ un restart de ssh) sur la machine réceptrice.
 
 -- 
 Test-tube babies shouldn't throw stones.
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
Voilà la sortie de ssh -v à partie du client :

OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to  [xx.xxx.xx.x] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version
OpenSSH_4.3p2 Debian-9etch3
debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server-client aes128-cbc hmac-md5 none
debug1: kex: client-server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '' is known and matches the RSA host key.
debug1: Found key in /root/.ssh/known_hosts:11
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key: 
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = en_US.ISO-8859-15

Sur le client il n'y a aucune clé :

client:/usr/local# ll ~/.ssh/
total 8
-rw-r--r-- 1 root root 1010 2009-09-23 13:48 authorized_keys
-rw-r--r-- 1 root root 3854 2009-10-06 09:30 known_hosts

Ce qui m'étonne : 

debug1: Offering public key: -- rien du tout !!
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: Authentication succeeded (publickey). -- et c'est accepté ?

Julien



Le mardi 06 octobre 2009 à 12:31 +0200, ~TraydenT~ a écrit :
 Le 06/10/2009 09:55, Julien a écrit :
  Bonjour a tous, 

 Bonjour,
  J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
  privée/publique pour m'y connecter à partir de mon poste. Après
  l'installation d'un nouveau serveur, ce dernier serveur peut se
  connecter en SSH au ancien serveur SANS demande de mot de passe ni
  installation de clé. Est-ce que c'est un pb de configuration ?
 As-tu essayé de regarder ce que te sort un «ssh -v» ? Tu devrais voir
 dans les messages ce qui te permets de te connecter, et te permettra
 peut-être d'élucider ce mystère.
  [snip]
 
  Merci d'avance,
  Julien

 -- 
 ~TraydenT~
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
Le mardi 06 octobre 2009 à 12:53 +0200, Nicolas KOWALSKI a écrit :
 Bonjour,
 
 Julien jul...@nura.eu writes:
 
  Ce qui me gène c'est que tout le monde peut s'y connecter même sans
  fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !
 
 C'est peut-être juste le RhostsRSAAuthentication qui est en
 fonctionnement ? A désactiver dans /etc/ssh/sshd_config.

j'ai :

RhostsRSAAuthentication no

dans mon fichier de config sur le serveur, c'est donc désactivé ?

Julien 

 
 -- 
 Nicolas
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de p asse

2009-10-06 Par sujet giggzounet
Julien a écrit :
 Voilà la sortie de ssh -v à partie du client :
 
 OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
 debug1: Reading configuration data /etc/ssh/ssh_config
 debug1: Applying options for *
 debug1: Connecting to  [xx.xxx.xx.x] port 22.
 debug1: Connection established.
 debug1: permanently_set_uid: 0/0
 debug1: identity file /root/.ssh/identity type -1
 debug1: identity file /root/.ssh/id_rsa type -1
 debug1: identity file /root/.ssh/id_dsa type -1
 debug1: Remote protocol version 2.0, remote software version
 OpenSSH_4.3p2 Debian-9etch3
 debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
 debug1: Enabling compatibility mode for protocol 2.0
 debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
 debug1: SSH2_MSG_KEXINIT sent
 debug1: SSH2_MSG_KEXINIT received
 debug1: kex: server-client aes128-cbc hmac-md5 none
 debug1: kex: client-server aes128-cbc hmac-md5 none
 debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
 debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
 debug1: Host '' is known and matches the RSA host key.
 debug1: Found key in /root/.ssh/known_hosts:11
 debug1: ssh_rsa_verify: signature correct

ben vire le known_hosts...

Bye

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Benjamin MENUET
Tu peux aussi faire un test en virant le authorized_keys et regarde dans les
logs pour voir comment ça régit.

Le 6 octobre 2009 13:57, giggzounet giggzou...@gmail.com a écrit :

 Julien a écrit :
  Voilà la sortie de ssh -v à partie du client :
 
  OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
  debug1: Reading configuration data /etc/ssh/ssh_config
  debug1: Applying options for *
  debug1: Connecting to  [xx.xxx.xx.x] port 22.
  debug1: Connection established.
  debug1: permanently_set_uid: 0/0
  debug1: identity file /root/.ssh/identity type -1
  debug1: identity file /root/.ssh/id_rsa type -1
  debug1: identity file /root/.ssh/id_dsa type -1
  debug1: Remote protocol version 2.0, remote software version
  OpenSSH_4.3p2 Debian-9etch3
  debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
  debug1: Enabling compatibility mode for protocol 2.0
  debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
  debug1: SSH2_MSG_KEXINIT sent
  debug1: SSH2_MSG_KEXINIT received
  debug1: kex: server-client aes128-cbc hmac-md5 none
  debug1: kex: client-server aes128-cbc hmac-md5 none
  debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
  debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
  debug1: Host '' is known and matches the RSA host key.
  debug1: Found key in /root/.ssh/known_hosts:11
  debug1: ssh_rsa_verify: signature correct

 ben vire le known_hosts...

 Bye

 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
 ``spam'' dans vos champs From et Reply-To:

 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org




Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
Le mardi 06 octobre 2009 à 13:57 +0200, giggzounet a écrit :
 Julien a écrit :
  Voilà la sortie de ssh -v à partie du client :
  
  debug1: Host '' is known and matches the RSA host key.
  debug1: Found key in /root/.ssh/known_hosts:11
  debug1: ssh_rsa_verify: signature correct
 
 ben vire le known_hosts...

Pareil, il me demande d'ajouter la clé dans known_hosts :

The authenticity of host ...
RSA key fingerprint is ...
Are you sure you want to continue connecting (yes/no)? yesWarning:
Permanently added 'xxx' (RSA) to the list of known hosts.

Julien 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Julien
Le mardi 06 octobre 2009 à 14:02 +0200, Benjamin MENUET a écrit :
 Tu peux aussi faire un test en virant le authorized_keys et regarde
 dans les logs pour voir comment ça régit.

En virant authorized_keys (sur le serveur) plus de connextion
automatique. 
Avec un fichier authorized_keys vide : pas de connection automatique 

Dès que je rajoute la clé publique d'une autre machine, j'ai de nouveau
la connexion automatique :

echo ssh-rsa   authorized_keys

Si je change un caractère de cette clé, plus de connexion automatique !!

Le client n'a toujours pas de fichier id_rsa* ou id_dsa* 

Si je met la clé publique d'un autre client :

echo ssh-dss ...  authorized_keys

Plus de connexion automatique !!

Donc : 
- avec une clé publique de type ssh-rsa -- tout le monde peut se
connecter 

- si je change un caractère de authorized_keys -- plus de connexion
auto

- avec une autre clé de type ssh-dss -- c'est normal, demande de mot de
passe, pas de connexion auto


Julien 


 
 Le 6 octobre 2009 13:57, giggzounet giggzou...@gmail.com a écrit :
 Julien a écrit :
 
  Voilà la sortie de ssh -v à partie du client :
 
  OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
  debug1: Reading configuration data /etc/ssh/ssh_config
  debug1: Applying options for *
  debug1: Connecting to  [xx.xxx.xx.x] port 22.
  debug1: Connection established.
  debug1: permanently_set_uid: 0/0
  debug1: identity file /root/.ssh/identity type -1
  debug1: identity file /root/.ssh/id_rsa type -1
  debug1: identity file /root/.ssh/id_dsa type -1
  debug1: Remote protocol version 2.0, remote software version
  OpenSSH_4.3p2 Debian-9etch3
  debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
  debug1: Enabling compatibility mode for protocol 2.0
  debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
  debug1: SSH2_MSG_KEXINIT sent
  debug1: SSH2_MSG_KEXINIT received
  debug1: kex: server-client aes128-cbc hmac-md5 none
  debug1: kex: client-server aes128-cbc hmac-md5 none
  debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
  debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
  debug1: Host '' is known and matches the RSA host key.
  debug1: Found key in /root/.ssh/known_hosts:11
  debug1: ssh_rsa_verify: signature correct
 
 
 ben vire le known_hosts...
 
 Bye
 
 
 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi
 ajouter le mot
 ``spam'' dans vos champs From et Reply-To:
 
 Pour vous DESABONNER, envoyez un message avec comme objet
 unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS
 listmas...@lists.debian.org
 
 
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet François TOURDE
Le 14523ième jour après Epoch,
jul...@nura.eu écrivait:

 Donc : 
 - avec une clé publique de type ssh-rsa -- tout le monde peut se
 connecter 

Tout le monde, ou juste ton client?

Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui
tourne, et qui serait l'émetteur de l'accréditation?

man ssh-agent

 - si je change un caractère de authorized_keys -- plus de connexion
 auto

Donc, ton serveur est bon, et il reçoit la bonne clef.

 - avec une autre clé de type ssh-dss -- c'est normal, demande de mot de
 passe, pas de connexion auto

Demande de mot de passe avec une clef ? Bizarre, ça, non?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org



[ Résolu ] Re: connexion SSH sans clé ni mot de passe -- ssh-agent !

2009-10-06 Par sujet Julien
Le mardi 06 octobre 2009 à 14:30 +0200, François TOURDE a écrit :
 Le 14523ième jour après Epoch,
 jul...@nura.eu écrivait:
 
  Donc : 
  - avec une clé publique de type ssh-rsa -- tout le monde peut se
  connecter 
 
 Tout le monde, ou juste ton client?

Plusieurs clients (6) que je gère plus une autre machine qui n'a pas du
tout été installé de la même façon !

Par contre, je fait toutes ces connexions à partir de la même machine
(mon poste de travail).

Dès que la clé publique de mon poste de travail est dans
l'authorized_keys du serveur je peux me connecter à ce serveur quelque
soit le chemin utilisé ssh A puis de A ssh B ...

C'est le principe du ssh-agent ? propager la clé d'authentification de
serveur en serveur ? 

J'ai bien un ssh-agent qui tourne sur mon poste de travail :
/usr/bin/ssh-agent /usr/bin/dbus-launch
--exit-with-session /usr/bin/seahorse-agent
--execute /usr/bin/gnome-session

Si un serveur (client pardon!) A ne peut pas se connecter
automatiquement à un serveur B. Mais que mon poste de travail peut se
connecter sur ces deux serveurs A et B. Alors grâce au ssh-agent, une
fois connecter (automatiquement sur A) je peux me connecter
automatiquement sur B ! 

Effectivement, après avoir tester, une fois connecter sur A si je vire
la variable d'environement SSH_AUTH_SOCK (qui n'était pas vide) :

echo $SSH_AUTH_SOCK
/tmp/ssh-x/agent.30158
SSH_AUTH_SOCK=

La connexion automatique est déactivée

Pour déactiver l'agent, sur la machine de départ (poste de travail)
dans /etc/ssh/ssh_config   ForwardAgent yes --   ForwardAgent no ou le
commenté (config par défaut)

Merci François, merci a tous,
Julien


 
 Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui
 tourne, et qui serait l'émetteur de l'accréditation?
 
 man ssh-agent
 
  - si je change un caractère de authorized_keys -- plus de connexion
  auto
 
 Donc, ton serveur est bon, et il reçoit la bonne clef.
 
  - avec une autre clé de type ssh-dss -- c'est normal, demande de mot de
  passe, pas de connexion auto
 
 Demande de mot de passe avec une clef ? Bizarre, ça, non?
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org