Re: acces ssh par clé publique/privée nok (depuis ce matin)
Bonjour, En découvrant ce fil de discussion, je me demande si une meilleure solution ne serait pas de changer ou d'ajouter une nouvelle clé DSA/RSA/autre conforme aux attentes d'OpenSSH 7.0 (et antérieur), non ? ("qui peut le plus, ..."). Quelqu'un a-t-il exploré cette voie ? Est-il possible et pratique de conserver deux clés sur sa machine (ie espérer que le client ssh choisisse la bonne clé, par exemple) ou bien faut-il aussitôt entamer une migration ? Pour ma part, j'ai essayé avec "ssh-keygen -t rsa -b 2048" sur un client Jessie et un serveur Stretch mais sans succès, pour l'instant. Slts Le 21 décembre 2015 à 14:54, Jean-Marca écrit : > Mon, 21 Dec 2015 12:30:29 + > "BOITEUX, Frederic" écrivait : > > > Bonjour, > > > > Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le > mode verbeux : ssh -v ... > > Les raisons du refus de l'utilisation de clés sont multiples. > > > > Fred. > > > Et jeter un oeil sur le changelog de OpenSSH 7.0 faisant partie des mises > à jour récentes (perso, aujourd'hui sur mon PC Stretch/Sid). > > Livré tout chaud avec le message suivant : > OpenSSH 7.0 disables several pieces of weak, legacy, and/or unsafe > cryptography. > > Par exemple, le support pour certaines clés < 1024 est désactivé par > défaut. > > Jean-Marc >
[RESOLU] Re: acces ssh par clé publique/privée nok (depuis ce matin)
'lut, Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mode verbeux : ssh -v ... oops en effet, j'ai un joli "debug1: Skipping ssh-dss key /home/fabricer/.ssh/id_dsa for not in PubkeyAcceptedKeyTypes" Par défaut, le client v7 n'accepte plus les clés dsa. J'ai donc rajouté PubkeyAcceptedKeyTypes=+ssh-dss dans mon ~/.ssh/config Et tout roule. A noter que lorsque le client ssh, n'acceptera plus du tout les clés dsa, il faudra en refaire des plus solides! Merci Frédéric! f.
acces ssh par clé publique/privée nok (depuis ce matin)
'lut la liste, Depuis ce matin, tous les accès ssh distant me demandent à taper mon password alors que je gère les accès ssh depuis de nombreuses années avec le couple clé publique/clé privée. Stretch à jour. Ma clé est une clé dsa. FR-PORT:/var/log/apt# uname -a Linux FR-PORT 4.2.0-1-amd64 #1 SMP Debian 4.2.6-3 (2015-12-06) x86_64 GNU/Linux FR-PORT:/# grep openssh-client /var/log/apt/term.log Préparation du dépaquetage de .../openssh-client_1%3a7.1p1-4_amd64.deb ... Dépaquetage de openssh-client (1:7.1p1-4) sur (1:6.9p1-3) ... Paramétrage de openssh-client (1:7.1p1-4) ... D'autres debianistes avec le nouveau paquet openssh-client souffrent-ils du même problème ? Je ne vois rien de probant dans le résultat d'un strace. merki ;) f.
Re: acces ssh par clé publique/privée nok (depuis ce matin)
Le 21/12/2015 12:16, Fabrice Regnier a écrit : > 'lut la liste, > > Depuis ce matin, tous les accès ssh distant me demandent à taper mon > password alors que je gère les accès ssh depuis de nombreuses années > avec le couple clé publique/clé privée. > > Stretch à jour. Ma clé est une clé dsa. > > […] Juste pour témoigner que j'ai rencontré le même problème et, par flemme, me suis contenté d'utiliser sshpass. Par contre, sous sid, c'était déjà il y a quelques temps. La solution m'intéresse. -- -+- Dominique Marin http://txodom.free.fr -+- «Yep. Moi j'ai un clavier à une touche. Par contre, ma souris a 102 boutons, c'est pas toujours pratique.» -+- OG in: Guide du Cabaliste Usenet - Le mulot contre attaque -+-
RE: acces ssh par clé publique/privée nok (depuis ce matin)
Bonjour, Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mode verbeux : ssh -v ... Les raisons du refus de l'utilisation de clés sont multiples. Fred. -Message d'origine- De : robo...@news.nic.it [mailto:robo...@news.nic.it] De la part de Fabrice Regnier Envoyé : lundi 21 décembre 2015 12:17 À : debian-user-french@lists.debian.org Objet : acces ssh par clé publique/privée nok (depuis ce matin) 'lut la liste, Depuis ce matin, tous les accès ssh distant me demandent à taper mon password alors que je gère les accès ssh depuis de nombreuses années avec le couple clé publique/clé privée. Stretch à jour. Ma clé est une clé dsa. FR-PORT:/var/log/apt# uname -a Linux FR-PORT 4.2.0-1-amd64 #1 SMP Debian 4.2.6-3 (2015-12-06) x86_64 GNU/Linux FR-PORT:/# grep openssh-client /var/log/apt/term.log Préparation du dépaquetage de .../openssh-client_1%3a7.1p1-4_amd64.deb ... Dépaquetage de openssh-client (1:7.1p1-4) sur (1:6.9p1-3) ... Paramétrage de openssh-client (1:7.1p1-4) ... D'autres debianistes avec le nouveau paquet openssh-client souffrent-ils du même problème ? Je ne vois rien de probant dans le résultat d'un strace. merki ;) f. This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message.
Re: acces ssh par clé publique/privée nok (depuis ce matin)
Mon, 21 Dec 2015 12:30:29 + "BOITEUX, Frederic"écrivait : > Bonjour, > > Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mode > verbeux : ssh -v ... > Les raisons du refus de l'utilisation de clés sont multiples. > > Fred. Et jeter un oeil sur le changelog de OpenSSH 7.0 faisant partie des mises à jour récentes (perso, aujourd'hui sur mon PC Stretch/Sid). Livré tout chaud avec le message suivant : OpenSSH 7.0 disables several pieces of weak, legacy, and/or unsafe cryptography. Par exemple, le support pour certaines clés < 1024 est désactivé par défaut. Jean-Marc pgpgW8qW5wZ8R.pgp Description: PGP signature
Re: [RESOLU] Re: acces ssh par clé publique/privée nok (depuis ce matin)
je rajoute ceci: Pour tous les serveurs sshd, si on veut qu'ils continuent à accepter des clés dsa, il faut rajouter PubkeyAcceptedKeyTypes=+ssh-dss dans /etc/ssh/sshd_config et ne pas oublier de relancer le service sshd. f. Le 21/12/2015 15:10, Fabrice Regnier a écrit : 'lut, Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mode verbeux : ssh -v ... oops en effet, j'ai un joli "debug1: Skipping ssh-dss key /home/fabricer/.ssh/id_dsa for not in PubkeyAcceptedKeyTypes" Par défaut, le client v7 n'accepte plus les clés dsa. J'ai donc rajouté PubkeyAcceptedKeyTypes=+ssh-dss dans mon ~/.ssh/config Et tout roule. A noter que lorsque le client ssh, n'acceptera plus du tout les clés dsa, il faudra en refaire des plus solides! Merci Frédéric! f.