Re: Openssh et public_key authentification

2008-05-19 Par sujet Vincent Lefevre
On 2008-05-16 10:36:23 +0200, Olivier Achard wrote:
 J'avais bien recrée mes nouvelles clés et vérifié avec ssh_vulnkey.
 En désespoir de cause, j'ai décidé de tout désinstaller puis réinstaller
 (j'ai un peu honte).
 La réinstallation côté client a suffit pour récupérer un fonctionnement
 normal.

C'est peut-être dû à un problème de blacklists incomplètes. Il y a
eu des mises à jour, si bien que certaines choses peuvent subitement
se mettre à ne plus fonctionner.

Moi, le problème que j'ai eu, c'est qu'une des clés qui aurait dû être
recréée automatiquement (clé associée à la machine, dans /etc/ssh) ne
l'a pas été:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=481860

-- 
Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/
100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Openssh et public_key authentification

2008-05-16 Par sujet Olivier Achard
Bonjour,
Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
avec authentification clé publique. Le serveur me demande
systématiquement un mot de passe. J'ai fait les vérifications
préconisées par la faq de Openssh sans succès :

3.14 - I copied my public key to authorized_keys but public-key
authentication still doesn't work.

Typically this is caused by the file permissions on $HOME, $HOME/.ssh or
$HOME/.ssh/authorized_keys being more permissive than sshd allows by
default.

In this case, it can be solved by executing the following on the server.

$ chmod go-w $HOME $HOME/.ssh
$ chmod 600 $HOME/.ssh/authorized_keys

If this is not possible for some reason, an alternative is to set
StrictModes no in sshd_config, however this is not recommended.

Quelqu'un a-t'il le même problème ?
Merci

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re: Openssh et public_key authentification

2008-05-16 Par sujet Jean Baptiste Favre
Oui,
Tous ceux qui appliquent les correctifs de sécurité sans regarder ce
qu'il y a dedans :-s
En l'occurence, ta clef publique est sûrement considérée comme
vulnérable et blacklistée par SSH.
Tu trouveras la confirmation dans /var/log/auth.log

Bonne journée,
JB


Olivier Achard a écrit :
 Bonjour,
 Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
 avec authentification clé publique. Le serveur me demande
 systématiquement un mot de passe. J'ai fait les vérifications
 préconisées par la faq de Openssh sans succès :
 
 3.14 - I copied my public key to authorized_keys but public-key
 authentication still doesn't work.
 
 Typically this is caused by the file permissions on $HOME, $HOME/.ssh or
 $HOME/.ssh/authorized_keys being more permissive than sshd allows by
 default.
 
 In this case, it can be solved by executing the following on the server.
 
 $ chmod go-w $HOME $HOME/.ssh
 $ chmod 600 $HOME/.ssh/authorized_keys
 
 If this is not possible for some reason, an alternative is to set
 StrictModes no in sshd_config, however this is not recommended.
 
 Quelqu'un a-t'il le même problème ?
 Merci
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re: Openssh et public_key authentification

2008-05-16 Par sujet Raphael Hertzog
On Fri, 16 May 2008, Olivier Achard wrote:
 Bonjour,
 Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
 avec authentification clé publique.  
[...]
 Quelqu'un a-t'il le même problème ?

C'est que ta clé publique est blacklistée par la récente mise à jour de
sécurité. Ta paire de clé n'est pas fiable car générée avec une version de
la bibliothèque openssl défectueuse (et toutes ces mauvaises clés
circulent dans la nature et sont déjà employée par des script-kiddies pour
essayer d'accéder à vos comptes SSH, il est impératif que tous les
utilisateurs qui ont installé des mauvaises clés SSH dans des
.ssh/authorized_keys les enlèvent partout et surtout sur les serveurs
non-Debian qui n'ont pas la mise à jour de sécurité qui blackliste ces
clés!)

Les annonces de sécurité:
http://www.debian.org/security/2008/dsa-1571
http://www.debian.org/security/2008/dsa-1576

Quelques explications en Français:
http://roland.entierement.nu/blog/2008/05/15/branle-bas-sshssl.html

Cordialement,
-- 
Raphaël Hertzog

Le best-seller français mis à jour pour Debian Etch :
http://www.ouaza.com/livre/admin-debian/

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]



Re: Openssh et public_key authentification

2008-05-16 Par sujet Olivier Achard
Jean Baptiste Favre a écrit :
 Oui,
 Tous ceux qui appliquent les correctifs de sécurité sans regarder ce
 qu'il y a dedans :-s
 En l'occurence, ta clef publique est sûrement considérée comme
 vulnérable et blacklistée par SSH.
 Tu trouveras la confirmation dans /var/log/auth.log

 Bonne journée,
 JB


 Olivier Achard a écrit :
   
 Bonjour,
 Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
 avec authentification clé publique. Le serveur me demande
 systématiquement un mot de passe. J'ai fait les vérifications
 préconisées par la faq de Openssh sans succès :

 3.14 - I copied my public key to authorized_keys but public-key
 authentication still doesn't work.

 Typically this is caused by the file permissions on $HOME, $HOME/.ssh or
 $HOME/.ssh/authorized_keys being more permissive than sshd allows by
 default.

 In this case, it can be solved by executing the following on the server.

 $ chmod go-w $HOME $HOME/.ssh
 $ chmod 600 $HOME/.ssh/authorized_keys

 If this is not possible for some reason, an alternative is to set
 StrictModes no in sshd_config, however this is not recommended.

 Quelqu'un a-t'il le même problème ?
 Merci

 

   
J'avais bien recrée mes nouvelles clés et vérifié avec ssh_vulnkey.
En désespoir de cause, j'ai décidé de tout désinstaller puis réinstaller
(j'ai un peu honte).
La réinstallation côté client a suffit pour récupérer un fonctionnement
normal.
Merci,

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]