[ Résolu ] Re: connexion SSH sans clé ni mot de passe --> ssh-agent !
Le mardi 06 octobre 2009 à 14:30 +0200, François TOURDE a écrit : > Le 14523ième jour après Epoch, > jul...@nura.eu écrivait: > > > Donc : > > - avec une clé publique de type ssh-rsa --> tout le monde peut se > > connecter > > Tout le monde, ou juste ton client? Plusieurs clients (6) que je gère plus une autre machine qui n'a pas du tout été installé de la même façon ! Par contre, je fait toutes ces connexions à partir de la même machine (mon poste de travail). Dès que la clé publique de mon poste de travail est dans l'authorized_keys du serveur je peux me connecter à ce serveur quelque soit le chemin utilisé ssh A puis de A ssh B ... C'est le principe du ssh-agent ? propager la clé d'authentification de serveur en serveur ? J'ai bien un ssh-agent qui tourne sur mon poste de travail : /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session /usr/bin/seahorse-agent --execute /usr/bin/gnome-session Si un serveur (client pardon!) A ne peut pas se connecter automatiquement à un serveur B. Mais que mon poste de travail peut se connecter sur ces deux serveurs A et B. Alors grâce au ssh-agent, une fois connecter (automatiquement sur A) je peux me connecter automatiquement sur B ! Effectivement, après avoir tester, une fois connecter sur A si je vire la variable d'environement SSH_AUTH_SOCK (qui n'était pas vide) : echo $SSH_AUTH_SOCK /tmp/ssh-x/agent.30158 SSH_AUTH_SOCK= La connexion automatique est déactivée Pour déactiver l'agent, sur la machine de départ (poste de travail) dans /etc/ssh/ssh_config ForwardAgent yes --> ForwardAgent no ou le commenté (config par défaut) Merci François, merci a tous, Julien > > Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui > tourne, et qui serait l'émetteur de l'accréditation? > > man ssh-agent > > > - si je change un caractère de authorized_keys --> plus de connexion > > auto > > Donc, ton serveur est bon, et il reçoit la bonne clef. > > > - avec une autre clé de type ssh-dss --> c'est normal, demande de mot de > > passe, pas de connexion auto > > Demande de mot de passe avec une clef ? Bizarre, ça, non? > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le 14523ième jour après Epoch, jul...@nura.eu écrivait: > Donc : > - avec une clé publique de type ssh-rsa --> tout le monde peut se > connecter Tout le monde, ou juste ton client? Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui tourne, et qui serait l'émetteur de l'accréditation? man ssh-agent > - si je change un caractère de authorized_keys --> plus de connexion > auto Donc, ton serveur est bon, et il reçoit la bonne clef. > - avec une autre clé de type ssh-dss --> c'est normal, demande de mot de > passe, pas de connexion auto Demande de mot de passe avec une clef ? Bizarre, ça, non? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 06 octobre 2009 à 14:02 +0200, Benjamin MENUET a écrit : > Tu peux aussi faire un test en virant le authorized_keys et regarde > dans les logs pour voir comment ça régit. En virant authorized_keys (sur le serveur) plus de connextion automatique. Avec un fichier authorized_keys vide : pas de connection automatique Dès que je rajoute la clé publique d'une autre machine, j'ai de nouveau la connexion automatique : echo "ssh-rsa " > authorized_keys Si je change un caractère de cette clé, plus de connexion automatique !! Le client n'a toujours pas de fichier id_rsa* ou id_dsa* Si je met la clé publique d'un autre client : echo "ssh-dss ..." > authorized_keys Plus de connexion automatique !! Donc : - avec une clé publique de type ssh-rsa --> tout le monde peut se connecter - si je change un caractère de authorized_keys --> plus de connexion auto - avec une autre clé de type ssh-dss --> c'est normal, demande de mot de passe, pas de connexion auto Julien > > Le 6 octobre 2009 13:57, giggzounet a écrit : > Julien a écrit : > > > Voilà la sortie de ssh -v à partie du client : > > > > OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007 > > debug1: Reading configuration data /etc/ssh/ssh_config > > debug1: Applying options for * > > debug1: Connecting to [xx.xxx.xx.x] port 22. > > debug1: Connection established. > > debug1: permanently_set_uid: 0/0 > > debug1: identity file /root/.ssh/identity type -1 > > debug1: identity file /root/.ssh/id_rsa type -1 > > debug1: identity file /root/.ssh/id_dsa type -1 > > debug1: Remote protocol version 2.0, remote software version > > OpenSSH_4.3p2 Debian-9etch3 > > debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4* > > debug1: Enabling compatibility mode for protocol 2.0 > > debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5 > > debug1: SSH2_MSG_KEXINIT sent > > debug1: SSH2_MSG_KEXINIT received > > debug1: kex: server->client aes128-cbc hmac-md5 none > > debug1: kex: client->server aes128-cbc hmac-md5 none > > debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent > > debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP > > debug1: SSH2_MSG_KEX_DH_GEX_INIT sent > > debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY > > debug1: Host '' is known and matches the RSA host key. > > debug1: Found key in /root/.ssh/known_hosts:11 > > debug1: ssh_rsa_verify: signature correct > > > ben vire le known_hosts... > > Bye > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi > ajouter le mot > ``spam'' dans vos champs "From" et "Reply-To:" > > Pour vous DESABONNER, envoyez un message avec comme objet > "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS > listmas...@lists.debian.org > > > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 06 octobre 2009 à 13:57 +0200, giggzounet a écrit : > Julien a écrit : > > Voilà la sortie de ssh -v à partie du client : > > > > debug1: Host '' is known and matches the RSA host key. > > debug1: Found key in /root/.ssh/known_hosts:11 > > debug1: ssh_rsa_verify: signature correct > > ben vire le known_hosts... Pareil, il me demande d'ajouter la clé dans known_hosts : The authenticity of host ... RSA key fingerprint is ... Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added 'xxx' (RSA) to the list of known hosts. Julien -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Tu peux aussi faire un test en virant le authorized_keys et regarde dans les logs pour voir comment ça régit. Le 6 octobre 2009 13:57, giggzounet a écrit : > Julien a écrit : > > Voilà la sortie de ssh -v à partie du client : > > > > OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007 > > debug1: Reading configuration data /etc/ssh/ssh_config > > debug1: Applying options for * > > debug1: Connecting to [xx.xxx.xx.x] port 22. > > debug1: Connection established. > > debug1: permanently_set_uid: 0/0 > > debug1: identity file /root/.ssh/identity type -1 > > debug1: identity file /root/.ssh/id_rsa type -1 > > debug1: identity file /root/.ssh/id_dsa type -1 > > debug1: Remote protocol version 2.0, remote software version > > OpenSSH_4.3p2 Debian-9etch3 > > debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4* > > debug1: Enabling compatibility mode for protocol 2.0 > > debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5 > > debug1: SSH2_MSG_KEXINIT sent > > debug1: SSH2_MSG_KEXINIT received > > debug1: kex: server->client aes128-cbc hmac-md5 none > > debug1: kex: client->server aes128-cbc hmac-md5 none > > debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent > > debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP > > debug1: SSH2_MSG_KEX_DH_GEX_INIT sent > > debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY > > debug1: Host '' is known and matches the RSA host key. > > debug1: Found key in /root/.ssh/known_hosts:11 > > debug1: ssh_rsa_verify: signature correct > > ben vire le known_hosts... > > Bye > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot > ``spam'' dans vos champs "From" et "Reply-To:" > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > >
Re: connexion SSH sans clé ni mot de passe
Le mardi 06 octobre 2009 à 12:53 +0200, Nicolas KOWALSKI a écrit : > Bonjour, > > Julien writes: > > > Ce qui me gène c'est que tout le monde peut s'y connecter même sans > > fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client ! > > C'est peut-être juste le RhostsRSAAuthentication qui est en > fonctionnement ? A désactiver dans /etc/ssh/sshd_config. j'ai : RhostsRSAAuthentication no dans mon fichier de config sur le serveur, c'est donc désactivé ? Julien > > -- > Nicolas > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Voilà la sortie de ssh -v à partie du client : OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to [xx.xxx.xx.x] port 22. debug1: Connection established. debug1: permanently_set_uid: 0/0 debug1: identity file /root/.ssh/identity type -1 debug1: identity file /root/.ssh/id_rsa type -1 debug1: identity file /root/.ssh/id_dsa type -1 debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3p2 Debian-9etch3 debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5 debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes128-cbc hmac-md5 none debug1: kex: client->server aes128-cbc hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host '' is known and matches the RSA host key. debug1: Found key in /root/.ssh/known_hosts:11 debug1: ssh_rsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,password debug1: Next authentication method: publickey debug1: Offering public key: debug1: Server accepts key: pkalg ssh-rsa blen 277 debug1: Authentication succeeded (publickey). debug1: channel 0: new [client-session] debug1: Entering interactive session. debug1: Sending environment. debug1: Sending env LANG = en_US.ISO-8859-15 Sur le client il n'y a aucune clé : client:/usr/local# ll ~/.ssh/ total 8 -rw-r--r-- 1 root root 1010 2009-09-23 13:48 authorized_keys -rw-r--r-- 1 root root 3854 2009-10-06 09:30 known_hosts Ce qui m'étonne : debug1: Offering public key: <-- rien du tout !! debug1: Server accepts key: pkalg ssh-rsa blen 277 debug1: Authentication succeeded (publickey). <-- et c'est accepté ? Julien Le mardi 06 octobre 2009 à 12:31 +0200, ~TraydenT~ a écrit : > Le 06/10/2009 09:55, Julien a écrit : > > Bonjour a tous, > > > Bonjour, > > J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés > > privée/publique pour m'y connecter à partir de mon poste. Après > > l'installation d'un nouveau serveur, ce dernier serveur peut se > > connecter en SSH au ancien serveur SANS demande de mot de passe ni > > installation de clé. Est-ce que c'est un pb de configuration ? > As-tu essayé de regarder ce que te sort un «ssh -v» ? Tu devrais voir > dans les messages ce qui te permets de te connecter, et te permettra > peut-être d'élucider ce mystère. > > [snip] > > > > Merci d'avance, > > Julien > > > -- > ~TraydenT~ > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
J'ai changé le loglevel vers DEBUG2, redémarrer sshd (sur le serveur) Sur le client j'ai supprimé les clé dans .ssh (rm -f ~/.ssh/id*) voilà un extrait des log auth.log sur le serveur : debug2: user_key_allowed: check options: 'ssh-dss B3... debug2: key_type_from_name: unknown key type 'B3N... debug2: user_key_allowed: advance: 'B3N... debug1: matching key found: file /root/.ssh/authorized_keys, line 2 sshd[17108]: Found matching RSA key: 80:... sauf que la clé ligne 2 de /root/.ssh/authorized_keys du serveur ne correspond pas du tout au client qui se connecte (en plus il n'y plus de fichier de clé dans .ssh/id_rsa ou .ssh/id_dsa Julien Le mardi 06 octobre 2009 à 12:46 +0200, Jean-Yves F. Barbier a écrit : > Julien a écrit : > > Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit : > >> On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote: > >>> ce dernier serveur peut se > >>> connecter en SSH au ancien serveur > >> Un serveur qui se connecte à un serveur? Il y a un problème > >> dans l'énoncé du sujet. > > > > Une de mes machines accepte tous les clients SSH sans vérification de > > clés ! > > Très bizarre, et quasiment impossible > > >>> Dans les log j'ai bien une connexion par clé publique mais il n'y a pas > >>> eu d'échange de clé entre ces machines ! > >>> > >>> sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2 > > >> C'est le message normal qui montre qu'il y a eu échange de > >> clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu? > > wai, il a raison, ça veut juste dire que la clé client est dans le > fichier .ssh/authorized_keys > > > Ce qui me gène c'est que tout le monde peut s'y connecter même sans > > fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client ! > > Ok, mais les clients n'auraient-ils pas des clés id_rsa... ? > > Es-tu absolument sûr de ce que tu avances (ça paraît impossible); > pour ça tu peux éplucher les logs de /var/log/auth.log, en remplaçant > temporairement la ligne "LogLevel INFO" dans /etc/ssh/sshd_config par > "LogLevel DEBUG2" (+ un restart de ssh) sur la machine réceptrice. > > -- > Test-tube babies shouldn't throw stones. > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 6 octobre 2009 13:34, Julien a écrit : > Le mardi 06 octobre 2009 à 12:13 +0200, Alain Vaugham a écrit : > > Le mardi 6 octobre 2009 09:55, Julien a écrit : > > > PermitRootLogin yes > > > > Ce ne serait pas à éviter? > > oui mais les utilisateurs veulent ce connecter en root donc ... ... donc il faut leur faire confiance et croiser les doigts lorsqu'ils tripatouilleront dans le système ;-) -- Alain Vaugham Clef GPG : 0xD26D18BC -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 06 octobre 2009 à 12:13 +0200, Alain Vaugham a écrit : > Le mardi 6 octobre 2009 09:55, Julien a écrit : > > > PermitRootLogin yes > Ce ne serait pas à éviter? oui mais les utilisateurs veulent ce connecter en root donc ... > -- > Alain Vaugham > Clef GPG : 0xD26D18BC > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Alain Vaugham a écrit : > Le mardi 6 octobre 2009 12:37, Jean-Yves F. Barbier a écrit : >> Alain Vaugham a écrit : >>> Le mardi 6 octobre 2009 09:55, Julien a écrit : PermitRootLogin yes >>> Ce ne serait pas à éviter? >> Pourquoi? > > Parceque Julien se connecte en root : > Il a écrit : > >> Depuis le serveur A : >> >> # ssh B >> --> connexion automatique > > Donc ça me paraît normal puisque le serveur accepte le login root. > Julien devrait se connecter avec un login user sur le serveur distant puis > passer root ensuite. > Non? Non, ça fait déjà un packet de temps que la connexion root directe par SSH a été déclarée "secured" (excepté l'épisode récent des clés faiblardes). Et comme je l'ai dit plus haut, si l'attaquant a les connaissances et facilités requises pour compromettre un compte user, il arrivera sûrement par finir à obtenir les prérogatives de root. -- If I were to walk on water, the press would say I'm only doing it because I can't swim. -- Bob Stanfield -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Bonjour, Julien writes: > Ce qui me gène c'est que tout le monde peut s'y connecter même sans > fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client ! C'est peut-être juste le RhostsRSAAuthentication qui est en fonctionnement ? A désactiver dans /etc/ssh/sshd_config. -- Nicolas -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 6 octobre 2009 12:37, Jean-Yves F. Barbier a écrit : > Alain Vaugham a écrit : > > Le mardi 6 octobre 2009 09:55, Julien a écrit : > >> PermitRootLogin yes > > > > Ce ne serait pas à éviter? > > Pourquoi? Parceque Julien se connecte en root : Il a écrit : >Depuis le serveur A : > ># ssh B >--> connexion automatique Donc ça me paraît normal puisque le serveur accepte le login root. Julien devrait se connecter avec un login user sur le serveur distant puis passer root ensuite. Non? -- Alain Vaugham Clef GPG : 0xD26D18BC -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Julien a écrit : > Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit : >> On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote: >>> ce dernier serveur peut se >>> connecter en SSH au ancien serveur >> Un serveur qui se connecte à un serveur? Il y a un problème >> dans l'énoncé du sujet. > > Une de mes machines accepte tous les clients SSH sans vérification de > clés ! Très bizarre, et quasiment impossible >>> Dans les log j'ai bien une connexion par clé publique mais il n'y a pas >>> eu d'échange de clé entre ces machines ! >>> >>> sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2 >> C'est le message normal qui montre qu'il y a eu échange de >> clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu? wai, il a raison, ça veut juste dire que la clé client est dans le fichier .ssh/authorized_keys > Ce qui me gène c'est que tout le monde peut s'y connecter même sans > fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client ! Ok, mais les clients n'auraient-ils pas des clés id_rsa... ? Es-tu absolument sûr de ce que tu avances (ça paraît impossible); pour ça tu peux éplucher les logs de /var/log/auth.log, en remplaçant temporairement la ligne "LogLevel INFO" dans /etc/ssh/sshd_config par "LogLevel DEBUG2" (+ un restart de ssh) sur la machine réceptrice. -- Test-tube babies shouldn't throw stones. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Alain Vaugham a écrit : > Le mardi 6 octobre 2009 09:55, Julien a écrit : > >> PermitRootLogin yes > Ce ne serait pas à éviter? Pourquoi? Si l'attaquant arrive à compromettre un compte std, il-y-a des chances pour qu'il ait les connaissances nécessaires pour obtenir les droits de root: la protection est la même. -- Of course I can keep secrets. It's the people I tell them to that can't keep them. -Anthony Haden-Guest -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 6 octobre 2009 09:55, Julien a écrit : > PermitRootLogin yes Ce ne serait pas à éviter? -- Alain Vaugham Clef GPG : 0xD26D18BC -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit : > On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote: > > ce dernier serveur peut se > > connecter en SSH au ancien serveur > > Un serveur qui se connecte à un serveur? Il y a un problème > dans l'énoncé du sujet. Une de mes machines accepte tous les clients SSH sans vérification de clés ! > > > Dans les log j'ai bien une connexion par clé publique mais il n'y a pas > > eu d'échange de clé entre ces machines ! > > > > sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2 > > C'est le message normal qui montre qu'il y a eu échange de > clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu? Ce qui me gène c'est que tout le monde peut s'y connecter même sans fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client ! Julien -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Le mardi 06 octobre 2009 à 11:53 +0200, Benjamin MENUET a écrit : > Bonjour, > > Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou > est-ce qu'il remplace un ancien serveur ? > > S'il remplace un ancien serveur, qu'il as le même nom et que tu as > copié ta conf ssh c'est possible. Je n'ai pas copié la conf ssh, à l'installation du serveur copie une seule clé publique dans authorized_keys. Mais d'autres serveur arrive à se connecter quand même. > Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu > utilise (# cat /root/.ssh/id_rsa.pub). > Si ta clé est présente sur ton serveur dans le > fichier /root/.ssh/authorized_keys alors c'est normal que > l'autentification soit automatique. > > Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta > connexion fonctionne toujours. Depuis le serveur A : # ssh B --> connexion automatique Sur le serveur A : # cd ~/.ssh # rm -f id* # ssh B --> connexion automatique Toujours sur A # ssh-keygen -t rsa The key fingerprint is: eb:0c:2a:d7:08:09:4b:19:3f.. # ssh B --> connexion automatique Il y a un pb là non ? Julien > > Ben > > Le 6 octobre 2009 09:55, Julien a écrit : > Bonjour a tous, > > J'ai quelques serveurs qui sont accessibles en SSH, j'utilise > des clés > privée/publique pour m'y connecter à partir de mon poste. > Après > l'installation d'un nouveau serveur, ce dernier serveur peut > se > connecter en SSH au ancien serveur SANS demande de mot de > passe ni > installation de clé. Est-ce que c'est un pb de configuration ? > voici mon > fichier de config : > > - /etc/ssh/sshd_config > > > Port 22 > Protocol 2 > HostKey /etc/ssh/ssh_host_rsa_key > HostKey /etc/ssh/ssh_host_dsa_key > UsePrivilegeSeparation yes > KeyRegenerationInterval 3600 > ServerKeyBits 768 > SyslogFacility AUTH > LogLevel INFO > > # Authentication: > LoginGraceTime 120 > PermitRootLogin yes > StrictModes yes > > RSAAuthentication yes > PubkeyAuthentication yes > #AuthorizedKeysFile %h/.ssh/authorized_keys > > IgnoreRhosts yes > RhostsRSAAuthentication no > HostbasedAuthentication no > RhostsRSAAuthentication > > PermitEmptyPasswords no > > ChallengeResponseAuthentication no > > #PasswordAuthentication yes > > PrintMotd no > PrintLastLog yes > TCPKeepAlive yes > #UseLogin no > > #MaxStartups 10:30:60 > #Banner /etc/issue.net > > # Allow client to pass locale environment variables > AcceptEnv LANG LC_* > > Subsystem sftp /usr/lib/openssh/sftp-server > > UsePAM yes > > FIN /etc/ssh/sshd_config > > > Dans les log j'ai bien une connexion par clé publique mais il > n'y a pas > eu d'échange de clé entre ces machines ! > > sshd[5258]: Accepted publickey for root from xx.xx.xx.x port > x ssh2 > > Merci d'avance, > Julien > > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi > ajouter le mot > ``spam'' dans vos champs "From" et "Reply-To:" > > Pour vous DESABONNER, envoyez un message avec comme objet > "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS > listmas...@lists.debian.org > > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: connexion SSH sans clé ni mot de passe
Bonjour, Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou est-ce qu'il remplace un ancien serveur ? S'il remplace un ancien serveur, qu'il as le même nom et que tu as copié ta conf ssh c'est possible. Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu utilise (# cat /root/.ssh/id_rsa.pub). Si ta clé est présente sur ton serveur dans le fichier /root/.ssh/authorized_keys alors c'est normal que l'autentification soit automatique. Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta connexion fonctionne toujours. Ben Le 6 octobre 2009 09:55, Julien a écrit : > Bonjour a tous, > > J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés > privée/publique pour m'y connecter à partir de mon poste. Après > l'installation d'un nouveau serveur, ce dernier serveur peut se > connecter en SSH au ancien serveur SANS demande de mot de passe ni > installation de clé. Est-ce que c'est un pb de configuration ? voici mon > fichier de config : > > - /etc/ssh/sshd_config > > Port 22 > Protocol 2 > HostKey /etc/ssh/ssh_host_rsa_key > HostKey /etc/ssh/ssh_host_dsa_key > UsePrivilegeSeparation yes > KeyRegenerationInterval 3600 > ServerKeyBits 768 > SyslogFacility AUTH > LogLevel INFO > > # Authentication: > LoginGraceTime 120 > PermitRootLogin yes > StrictModes yes > > RSAAuthentication yes > PubkeyAuthentication yes > #AuthorizedKeysFile %h/.ssh/authorized_keys > > IgnoreRhosts yes > RhostsRSAAuthentication no > HostbasedAuthentication no > RhostsRSAAuthentication > > PermitEmptyPasswords no > > ChallengeResponseAuthentication no > > #PasswordAuthentication yes > > PrintMotd no > PrintLastLog yes > TCPKeepAlive yes > #UseLogin no > > #MaxStartups 10:30:60 > #Banner /etc/issue.net > > # Allow client to pass locale environment variables > AcceptEnv LANG LC_* > > Subsystem sftp /usr/lib/openssh/sftp-server > > UsePAM yes > > FIN /etc/ssh/sshd_config > > Dans les log j'ai bien une connexion par clé publique mais il n'y a pas > eu d'échange de clé entre ces machines ! > > sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2 > > Merci d'avance, > Julien > > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot > ``spam'' dans vos champs "From" et "Reply-To:" > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > >
