subject:"Re\: connexion ssh"

On Wed, 31 Oct 2012 15:33:31 +0100
Bzzz lazyvi...@gmx.com wrote:

 
 Augmente le niveau de log de sshd, de façon à voir ce qui se passe et s'il
 refuse une connexion ou non.

Correction: inutile puisque ça marche en local.

-- 
Céline : Alors, tu viens ce soir ?
Leo : Ouais, bien sûr
Céline : Oublie pas la protection contre les enfants alors =)
Leo : La batte de baseball ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121031153939.411f8dac@anubis.defcon1

Re: Connexion ssh : timed out

On Wed, 31 Oct 2012 14:26:01 +0100
E. Flas flas.c...@gmail.com wrote:

 Ah zut. Je modifie des choses dans mon modem, je reteste et j'obtiens 
 Connection refused

QUELLES MODIFICATIONS??  Parce que des choses, ici on en a des TB
(on a même des machins et des trucs qui traînent encore).
 
 Ca pourrait être le modem qui refuse la connexion ?

C.Q.F.D

 Ou est-ce à coup sûr la configuration de la machine debian ?

Augmente le niveau de log de sshd, de façon à voir ce qui se passe et s'il
refuse une connexion ou non.

 Sinon, après ce connection refused, je ne trouve rien dans 
 /var/log/auth.log

En niveau de logging standard c'est normal.

-- 
noxus c vers ou le col de l'uterus ?
TLz je c pas je regarde po le tour de france

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121031153331.27c18c37@anubis.defcon1

Re: Connexion ssh : timed out

2012-10-31 Par sujet edfnet-...@yahoo.fr

Bon, d'abord désolé pour le format de la réponse : devant faire mes tests sur 
une machine hors de mon réseau local, je n'ai pas accès à mon logiciel mail et 
dois me servir d'un webmail.

Si je parlais de « chose » et de « truc » c'est bien parce que je ne me 
souvenais pas de quoi au juste.
Le modem n'est pas documenté par le fai (qui impose ce modem et ne souhaite 
qu'une chose, c'est qu'on y touche le moins possible).

Ce que je peux dire sur la config de ce modem : 
nat configuré pour laisser passer le port 22 tcp et le diriger vers ma machine 
locale 192.168.1.2

Pare-feu mis au minimum : « Inbound policy : accept - Outbound policy : accept »

Alors ssh -vvv eddy@91.179 (depuis une machine sur une autre adresse ip) :

OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 91.179 [91.179] port 22.
debug1: connect to address 91.179 port 22: Connection refused
ssh: connect to host 91.179 port 22: Connection refused

Si je recommence en mettant en plus le serveur ssh dans la DMZ du modem :

OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 91.179 [91.179] port 22.
debug1: connect to address 91.179port 22: Connection timed out
ssh: connect to host 91.179 port 22: Connection timed out

Je ne comprends pas cette différence de comportement avec un pare-feu modem 
supposé laisser tout passer.

Merci pour toute idée.


- Mail original -
De : Bzzz lazyvi...@gmx.com
À : debian-user-french@lists.debian.org
Cc : 
Envoyé le : Mercredi 31 octobre 2012 15h33
Objet : Re: Connexion ssh : timed out

On Wed, 31 Oct 2012 14:26:01 +0100
E. Flas flas.c...@gmail.com wrote:

 Ah zut. Je modifie des choses dans mon modem, je reteste et j'obtiens 
 Connection refused

QUELLES MODIFICATIONS??  Parce que des choses, ici on en a des TB
(on a même des machins et des trucs qui traînent encore).

 Ca pourrait être le modem qui refuse la connexion ?

C.Q.F.D

 Ou est-ce à coup sûr la configuration de la machine debian ?

Augmente le niveau de log de sshd, de façon à voir ce qui se passe et s'il
refuse une connexion ou non.

 Sinon, après ce connection refused, je ne trouve rien dans 
 /var/log/auth.log

En niveau de logging standard c'est normal.

-- 
noxus c vers ou le col de l'uterus ?
TLz je c pas je regarde po le tour de france

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121031153331.27c18c37@anubis.defcon1

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/1351696801.19559.yahoomail...@web133003.mail.ir2.yahoo.com

Re: Connexion ssh : timed out

On Wed, 31 Oct 2012 15:20:01 + (GMT)
edfnet-...@yahoo.fr edfnet-...@yahoo.fr wrote:

 
 Ce que je peux dire sur la config de ce modem : 
 nat configuré pour laisser passer le port 22 tcp et le diriger vers ma
 machine locale 192.168.1.2

C'est réducteur, normalement le NAT doit être configuré pour accepter les
connexions sur un port et les forwarder vers le port voulu, en l'occurrence:
192.168.1.2:22.
De plus, pour éviter les scripts kiddies il est préférable d'utiliser un 
autre port que le 22 (mais ça, ça viendra qd ta liaison fonctionnera
correctement).

 
 Pare-feu mis au minimum : « Inbound policy : accept - Outbound policy :
 accept »
 
 Alors ssh -vvv eddy@91.179 (depuis une machine sur une autre adresse ip) :
 
 OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
 debug1: Reading configuration data /etc/ssh/ssh_config
 debug1: /etc/ssh/ssh_config line 19: Applying options for *
 debug2: ssh_connect: needpriv 0
 debug1: Connecting to 91.179 [91.179] port 22.
 debug1: connect to address 91.179 port 22: Connection refused
 ssh: connect to host 91.179 port 22: Connection refused

Je suppose que ce sont les logs du server ici?

 Si je recommence en mettant en plus le serveur ssh dans la DMZ du modem :
 
 OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
 debug1: Reading configuration data /etc/ssh/ssh_config
 debug1: /etc/ssh/ssh_config line 19: Applying options for *
 debug2: ssh_connect: needpriv 0
 debug1: Connecting to 91.179 [91.179] port 22.
 debug1: connect to address 91.179port 22: Connection timed out
 ssh: connect to host 91.179 port 22: Connection timed out
 
 Je ne comprends pas cette différence de comportement avec un pare-feu modem
 supposé laisser tout passer.

Déjà, il faut que tout fonctionne correctement dans le LAN.

Ensuite, tu dis que tu as tout commenté dans /etc/hosts.|deny|allow, dans .deny
je veux bien, mais dans .allow tu devrais normalement avoir au moins une ligne:
ALL: LOCAL @mondomainelocal

Et vérifie si sur ta box il n'y aurait pas une autre section de conf pour
les connexions sortantes, on ne sait jamais avec les ISPs... (tu peux aussi
m'envoyer en privé les copies écran des pages de ta box, histoire de voir
si ça a une tête normale).

-- 
bogoss23142 TG konar jvé tmassacré
bogoss23142 issi je sui le metre
HelloWorld Ah ouais attends j'appelle mon kilomètre, il est 1000 fois
 plus fort que toi

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121031163408.31742971@anubis.defcon1

Re: Connexion ssh : timed out

2012-10-31 Par sujet Eddy F.

Le mercredi 31 octobre 2012 16:34:08, Bzzz a écrit :
 On Wed, 31 Oct 2012 15:20:01 + (GMT)
 
 edfnet-...@yahoo.fr edfnet-...@yahoo.fr wrote:
  Ce que je peux dire sur la config de ce modem : 
  nat configuré pour laisser passer le port 22 tcp et le diriger
  vers ma machine locale 192.168.1.2
 
 C'est réducteur, normalement le NAT doit être configuré pour
 accepter les connexions sur un port et les forwarder vers le port
 voulu, en l'occurrence: 192.168.1.2:22.

Oui, c'est bien le cas.

 De plus, pour éviter les scripts kiddies il est préférable
 d'utiliser un autre port que le 22 (mais ça, ça viendra qd ta
 liaison fonctionnera correctement).

C'est vrai mais je ne compte pas ouvrir ce port par défaut. Juste très 
occasionnellement quand ce sera nécessaire. 
 
  Pare-feu mis au minimum : « Inbound policy : accept - Outbound
  policy : accept »
  
  Alors ssh -vvv eddy@91.179 (depuis une machine sur une autre
  adresse ip) :
  
  OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
  debug1: Reading configuration data /etc/ssh/ssh_config
  debug1: /etc/ssh/ssh_config line 19: Applying options for *
  debug2: ssh_connect: needpriv 0
  debug1: Connecting to 91.179 [91.179] port 22.
  debug1: connect to address 91.179 port 22: Connection refused
  ssh: connect to host 91.179 port 22: Connection refused
 
 Je suppose que ce sont les logs du server ici?

Non, c'est la réponse à la commande donnée dans la machine cliente.

Je veux bien mois consulter les logs du serveur mais je n'en trouve 
pas. J'irai relire le man plus tard pour voir comment modifier cela.
 
  Si je recommence en mettant en plus le serveur ssh dans la DMZ du
  modem :
  
  OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
  debug1: Reading configuration data /etc/ssh/ssh_config
  debug1: /etc/ssh/ssh_config line 19: Applying options for *
  debug2: ssh_connect: needpriv 0
  debug1: Connecting to 91.179 [91.179] port 22.
  debug1: connect to address 91.179port 22: Connection timed
  out ssh: connect to host 91.179 port 22: Connection timed
  out
  
  Je ne comprends pas cette différence de comportement avec un
  pare-feu modem supposé laisser tout passer.
 
 Déjà, il faut que tout fonctionne correctement dans le LAN.
 
 Ensuite, tu dis que tu as tout commenté dans
 /etc/hosts.|deny|allow, dans .deny je veux bien, mais dans .allow
 tu devrais normalement avoir au moins une ligne: ALL: LOCAL
 @mondomainelocal

Pourquoi ? Le /etc/hosts.allow que l'on obtient après installation 
standard (si on veut bien essayer de donner un sens à cela) est 
vide. D'ailleurs le man hosts_access dit

 The access control software consults two files. The search stops at 
the first match:

   ·  Access will be granted when a (daemon,client) pair 
matches an entry in the /etc/hosts.allow file.

   ·  Otherwise, access will be denied when a (daemon,client) 
pair matches an entry in the /etc/hosts.deny file.

   ·  Otherwise, access will be granted.

   A non-existing access control file is treated as if it were an 
empty file. Thus, access control can be turned off by providing no 
access control files.

donc si les deux fichiers allow et deny sont vides, en principe tout 
doit passer.

 
 Et vérifie si sur ta box il n'y aurait pas une autre section de
 conf pour les connexions sortantes, on ne sait jamais avec les
 ISPs... (tu peux aussi m'envoyer en privé les copies écran des
 pages de ta box, histoire de voir si ça a une tête normale).

Je crois de plus en plus que le problème est lié à la box 
(configuration ou bug ou...). 

Je n'ai pas le temps de chercher plus maintenant. Mais je regarderai 
cette nuit ou demain. 

J'accepte ta proposition de t'envoyer des captures d'écran par mail 
privé (demain sans doute) car je pense que ce sera de plus en plus 
hors sujet.

Merci en tout cas.


-- 
Eddy F.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201210311645.53968.edfnet-...@yahoo.fr

Re: Connexion ssh : timed out

2012-10-31 Par sujet Jean-Luc Bassereau

Le Wed, 31 Oct 2012 14:04:50 +0100
Eddy F. edfnet-...@yahoo.fr a écrit :

 Le mercredi 31 octobre 2012 13:32:58, Sébastien NOBILI a écrit :
  Bonjour,
  
  Le mercredi 31 octobre 2012 à 13:17, Eddy F. a écrit :
   Avez-vous un avis sur ma configuration ? Merci
  
  Elle me paraît pas mal…
  
  As-tu configuré le NAT sur ton modem ?
  
  As-tu des règles de filtrage iptables sur ta machine ?
  
  Seb
 
 Merci.
 
 En ce qui concerne le modem, il me semble que j'ai tout essayé. 
 J'ai effectivement configuré le nat pour rediriger le port 22 TCP vers 
 la machine locale (qui reçoit une adresse IP locale statique du 
 serveur DHCP).
 
 J'ai aussi essayé de diminuer les règles de pare-feu du modem pour 
 laisser tout passer et j'ai même été mettre ma machine locale 
 (momentanément) dans la DMZ. Rien !
 
 Je n'ai pas configuré iptables sur ma debian : 
   iptables -L
 donne
 
 Chain INPUT (policy ACCEPT)
 target prot opt source   destination 
 
 Chain FORWARD (policy ACCEPT)
 target prot opt source   destination 
 
 Chain OUTPUT (policy ACCEPT)
 target prot opt source   destination  
 
 Enfin, si j'utilise un site tel que https://grc.com/x/ne.dll?bh0bkyd2, 
 il me confirme que mon port 22 est ouvert. 
 
 Le modem est la BBox 2 de Belgacom (un Sagem F@st3464 adapté à la 
 sauce Belgacom, je pense).
 
 Bon, ok, si la configuration de mon serveur ssh n'a rien d'anormal, je 
 vais continuer à chercher dans ce foutu modem. Si quelqu'un le connaît 
 et peut m'aider, qu'il ne se prive pas même si cela sera hors sujet 
 par rapport à la liste.
 

Comme vu avec toi en PV, j'ai testé de chez moi et cela fonctionne 
parfaitement, la connexion SSH passe bien et le
password m'est demandé. Je suppose donc que le problème est au niveau de ton 
client.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121031165712.6cb8b...@onetoserve.net

Re: Connexion ssh : timed out

On Wed, 31 Oct 2012 16:45:53 +0100
Eddy F. edfnet-...@yahoo.fr wrote:

 Je crois de plus en plus que le problème est lié à la box 
 (configuration ou bug ou...). 

Apparemment pas du tout au vu de la réponse de Jean-Luc, purge et
réinstalle le client ssh.

-- 
 ore God uses GNOME?
 joshk no wonder it rains so often
 ore Dammit, those damn heaven's gates won't open, gconfd crashed
   again
-- in #debian-devel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20121031172319.75c58dd4@anubis.defcon1

Re: Connexion ssh : timed out

2012-10-31 Par sujet Bernard Schoenacker

Le Wed, 31 Oct 2012 13:17:07 +0100,
Eddy F. edfnet-...@yahoo.fr a écrit :

 Bonjour,
 
 Je ne parviens pas à me connecter depuis l'extérieur sur le serveur 
 ssh de ma machine debian wheezy : « connection timed out ».
 
 Les fichiers /etc/hosts.allow et /etc/hosts.deny sont vides (enfin
 j'en ai commenté les lignes que j'utilise habituellement) et le
 fichier /etc/ssh/sshd_config est donné en fin de message.
 
 Si je me connecte depuis une autre machine située derrière le même 
 modem donc dans le même réseau privé via 
   ssh eddy@192.168.1.2
 cela fonctionne bien mais dès que je tente depuis l'extérieur en 
 utilisant l'adresse IP publique de mon modem, je n'ai plus rien : 
 timed out. Cela me fait penser à un problème modem mais avant de 
 chercher plus ce qui ne lui convient pas, j'aimerais exclure toute 
 erreur de configuration du serveur ssh de ma machine.
 
 Avez-vous un avis sur ma configuration ? Merci

bonjour,

tous les intervenant foncent tête baissée ...

tester pam ?

apt-cache policy $(apt-cache search pam ssh |awk '/SSH/ {print $1}')

ensuite, quelles sont les versions installées concernant
ssh client et serveur ?

slt
bernard

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/20121031174137.69efe67a.bernard.schoenac...@free.fr

Re: Connexion SSH : capter l'IP du connecté

2012-01-13 Par sujet Erwan David

On Fri, Jan 13, 2012 at 09:06:28AM CET, Yves Rutschle 
debian.anti-s...@rutschle.net said:
 On Thu, Jan 12, 2012 at 09:43:39PM +0100, ajh.val...@free.fr wrote:
  Bien d'accord avec le AllowRootLogin=False.
  Mais je souhaite savoir qui se connecte au serveur en mode user
  puis tente ensuite de se connecter en mode root avec su.
 
 Bah, utilise plutôt sudo: il permet de contrôler qui a le
 droit de devenir root (avec une gestion plus réaliste qu'un
 mot de passe root donné à tout le monde), et loggue qui
 utilise la commande sudo, et si je me souviens bien, loggue
 également les commandes executées en tant que root.

Pas avec sudo -i sudo -s ou sudo $SHELL.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120113085041.gq12...@rail.eu.org

Re: Connexion SSH : capter l'IP du connecté

2012-01-13 Par sujet Sébastien NOBILI

Bonjour,

Le jeudi 12 janvier 2012 à 21:43, ajh.val...@free.fr a écrit :
 Bien d'accord avec le AllowRootLogin=False.
 Mais je souhaite savoir qui se connecte au serveur en mode user
 puis tente ensuite de se connecter en mode root avec su.

Pourquoi la solution à base de sudo (déjà proposée plusieurs fois) ne
convient-elle pas ? Elle me paraît très bien pourtant :

Dans le auth.log, on trouve la connexion SSH, l'IP source et l'identifiant de
l'utilisateur :
Jan 13 09:19:11 sebian sshd[7169]: Accepted password for sni from 10.0.2.2 
port 44953 ssh2

Toujours dans le auth.log, on trouve l'historique des commandes sudo :
Jan 13 09:57:33 sebian sudo:  sni : TTY=pts/2 ; PWD=/home/sni ; 
USER=root ; COMMAND=/bin/ls

Si on déporte le auth.log sur un serveur de logs distant, l'utilisateur ne
pourra pas le bricoler.

En revanche, si on autorise l'utilisateur à « se connecter en mode root avec
su », alors on perd toute possibilité de :
- limiter son champ d'action (sudoers permet de limiter l'usage de sudo à un
  jeu de commandes restreint),
- surveiller ce qu'il fait.

Bref, histoire d'enfoncer le clou, la meilleure solution me paraît à base de
sudo et d'un serveur de logs distant.

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120113090506.gb7...@sebian.nob900.homeip.net

Re: Connexion SSH : capter l'IP du connecté

2012-01-13 Par sujet ajh . valmer

Le Friday 13 January 2012 09:50:41 Erwan David, vous avez écrit :
 Pas avec sudo -i sudo -s ou sudo $SHELL.

Le Friday 13 January 2012 10:05:06 Sébastien NOBILI, vous avez écrit :
 Pourquoi la solution à base de sudo (déjà proposée plusieurs fois) ne
 convient-elle pas ? Elle me paraît très bien pourtant :

 Et si tu prennais le problème autrement, root n'a pas le droit de se 
 connecter ni en local ni en ssh (password dans une enveloppe dans un
 coffre).  Pour obtenir les privilèges root, il suffit d'utiliser sudo.  

Merci du conseil sudo.

Une fois connecté par ssh via un compte user,
comment empêcher une connexion par su 
mais par sudo su ?
(sudoers ?)

ajh

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201201132032.32304.ajh.val...@free.fr

Re: Connexion SSH : capter l'IP du connecté

2012-01-13 Par sujet Jean-Yves F. Barbier

On Fri, 13 Jan 2012 20:32:32 +0100
ajh.val...@free.fr wrote:

 Une fois connecté par ssh via un compte user,
 comment empêcher une connexion par su 
 mais par sudo su ?
 (sudoers ?)

En changeant le mot de passe de root, et en faisant un peu plus de
recherches personnelles dans les docs et sur le web au lieu
d'attendre que ça tombe tout cuit.

-- 
Do not throw cigarette butts in the urinal, for they are subtle and
quick to anger.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120113204531.515ad155@anubis.defcon1

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet Amanda Hinault

Le 12 janvier 2012 14:23, ajh.val...@free.fr a écrit :


 Lors d'une connexion distante à un serveur ssh sous Debian,
 je souhaite mémoriser : le numéro IP de l'ordinateur
 de la personne, son nom de compte, la date de la connexion
 et l'enregistrer à chaque fois dans un fichier texte
 par un script.


Ce qui a l'air grosso-modo de correspondre à la commande last.


 Le fichier auth.log donne des indications mais n'indique pas le numéro
 IP du connecté et si la personne est root elle peut effacer des lignes
 de ce fichier.


Ca me parait logique puisque root est omnipotent, même si tu remplissais un
autre fichier, ça n'y changerais rien.

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet Bernard Schoenacker

Le Thu, 12 Jan 2012 14:23:09 +0100,
ajh.val...@free.fr a écrit :

 Bonjour,
 
 Lors d'une connexion distante à un serveur ssh sous Debian,
 je souhaite mémoriser : le numéro IP de l'ordinateur
 de la personne, son nom de compte, la date de la connexion
 et l'enregistrer à chaque fois dans un fichier texte
 par un script.
 
 Le fichier auth.log donne des indications mais n'indique pas le
 numéro IP du connecté et si la personne est root elle peut effacer
 des lignes de ce fichier.
 
 Grand merci de votre réponse.
 
 ajh
 

bonjour,


quelle est la topographie de la connection  ?


-a) réseau interne privé
-b) connection entre 2 IP publiques 


slt
bernard

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/20120112143400.58c0a8be.bernard.schoenac...@free.fr

Re: Connexion SSH : capter l'IP du connecté

Le 12 janvier 2012 14:23,  ajh.val...@free.fr a écrit :
 Bonjour,

 Lors d'une connexion distante à un serveur ssh sous Debian,
 je souhaite mémoriser : le numéro IP de l'ordinateur
 de la personne, son nom de compte, la date de la connexion
 et l'enregistrer à chaque fois dans un fichier texte
 par un script.

 Le fichier auth.log donne des indications mais n'indique pas le numéro
 IP du connecté et si la personne est root elle peut effacer des lignes
 de ce fichier.

 Grand merci de votre réponse.

Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le '  `date` `who` | mail -s `hostname -f`
ola...@visionweb-online.fr

Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.

Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente

Olivier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cabgc0bta853s9ssdw6vxxrvqr3yspfevwox1bzhf0meb9ca...@mail.gmail.com

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet Nicolas Bercher


On 12/01/2012 14:23, ajh.val...@free.fr wrote:

Bonjour,

Lors d'une connexion distante à un serveur ssh sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.

Le fichier auth.log donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est root elle peut effacer des lignes
de ce fichier.


Évidemment, si un autre user est root, il peut faire tout et n'importe quoi 
sous *nix.
A priori, une personne qui a un accès root est une personne de confiance, donc 
pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mot de 
passe donc).

Je sais que fail2ban récupère au moins l'IP des connexions, est-ce une piste 
intéressante?

Nicolas

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4f0ee3e8.8050...@yahoo.fr

Re: Connexion SSH : capter l'IP du connecté

Le 12 janvier 2012 14:45, Nicolas Bercher nberc...@yahoo.fr a écrit :
On 12/01/2012 14:23, ajh.val...@free.fr wrote:

Bonjour,

Lors d'une connexion distante à un serveur ssh sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.

Le fichier auth.log donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est root elle peut effacer des lignes
de ce fichier.

Évidemment, si un autre user est root, il peut faire tout et n'importe quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de confiance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mot de
passe donc).

Pas d'accord avec toi. Faire confiance ne veut pas dire être con ;).
Une erreur est si vite arrivée en root, sur un serveur, qu'il faut
parfois savoir qui s'est connecté et quand. Ca ne veut pas dire que tu
n'a pas confiance en lui. C'est juste au cas ou.

Et l'idéla étant de lui révoquer son certificat, plutot que de changer
son mot de passe ;)

Olivier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive:
http://lists.debian.org/cabgc0bs1hk1bnuqqn6yvefhhadsjx4ubxz55pywmarghot1...@mail.gmail.com

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet Nicolas Bercher


On 12/01/2012 14:47, Olivier Lange wrote:

Le 12 janvier 2012 14:45, Nicolas Berchernberc...@yahoo.fr  a écrit :

On 12/01/2012 14:23, ajh.val...@free.fr wrote:

Le fichier auth.log donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est root elle peut effacer des lignes
de ce fichier.


Évidemment, si un autre user est root, il peut faire tout et n'importe quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de confiance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mot de
passe donc).


Pas d'accord avec toi. Faire confiance ne veut pas dire être con ;).
Une erreur est si vite arrivée en root, sur un serveur, qu'il faut
parfois savoir qui s'est connecté et quand. Ca ne veut pas dire que tu
n'a pas confiance en lui. C'est juste au cas ou.


Bien entendu, mais là, il était question de supprimer des lignes dans auth.log,
ce qui clairement n'est pas le fruit d'une mauvaise manipulation, mais plutôt de
choses faites en douce.



Et l'idéla étant de lui révoquer son certificat, plutot que de changer
son mot de passe ;)


Je ne connais pas cette manière de faire.  Comment segmenter l'accès à un même 
compte
entre plusieurs personnes physiques?

Nicolas

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4f0ef32c.6010...@yahoo.fr

Re: Connexion SSH : capter l'IP du connecté

Le 12 janvier 2012 15:50, Nicolas Bercher nberc...@yahoo.fr a écrit :
On 12/01/2012 14:47, Olivier Lange wrote:

Le 12 janvier 2012 14:45, Nicolas Berchernberc...@yahoo.fr a écrit :

On 12/01/2012 14:23, ajh.val...@free.fr wrote:

Le fichier auth.log donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est root elle peut effacer des lignes
de ce fichier.

Évidemment, si un autre user est root, il peut faire tout et n'importe
quoi
sous *nix.
A priori, une personne qui a un accès root est une personne de confiance,
donc pas besoin
de la fliquer, sinon, autant lui enlever les droits root (changer le mot
de
passe donc).

Bien entendu, mais là, il était question de supprimer des lignes dans
auth.log,
ce qui clairement n'est pas le fruit d'une mauvaise manipulation, mais
plutôt de
choses faites en douce.

On est d'accord. C'est aussi pour cette raisons que dans ce cas, il
faut externaliser les logs. Soit par l'envois des infos par email
(comme je l'ai mentionné), soit en logguant sur un serveur externe,
dont personne n'a accès (syslgo-ng le fait aisément).

Et l'idéla étant de lui révoquer son certificat, plutot que de changer
son mot de passe ;)

Je ne connais pas cette manière de faire. Comment segmenter l'accès à un
même compte
entre plusieurs personnes physiques?

Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certificat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive:
http://lists.debian.org/cabgc0bscflvw0c4s9dmyxbs0rz_bqqjbzqjhfshj3ssocmv...@mail.gmail.com

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet Nicolas Bercher


On 12/01/2012 15:54, Olivier Lange wrote:

On est d'accord. C'est aussi pour cette raisons que dans ce cas, il
faut externaliser les logs. Soit par l'envois des infos par email
(comme je l'ai mentionné), soit en logguant sur un serveur externe,
dont personne n'a accès (syslgo-ng le fait aisément).


Intéressant, je note.



Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
tout le monde le mot de passe route. Je crée 1 user pour chaque
personne devant se connecter, avec le certif qui va avec. Si un
collaborateur quitte l'entreprise, ou autre, je révoque son certificat
sur les serveurs. Bien plus simple et sécure que devoir modifier le
mot de passe root + le redonner.


Par certificat, entends-tu clé rsa publique utilisé pour un login sans
mot de passe?

Nicolas

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4f0ef5ef.70...@yahoo.fr

Re: Connexion SSH : capter l'IP du connecté

Le 12 janvier 2012 16:02, Nicolas Bercher nberc...@yahoo.fr a écrit :

 Dans ce cas de figure, j'utilise les sudoers. Ca évite de donner a
 tout le monde le mot de passe route. Je crée 1 user pour chaque
 personne devant se connecter, avec le certif qui va avec. Si un
 collaborateur quitte l'entreprise, ou autre, je révoque son certificat
 sur les serveurs. Bien plus simple et sécure que devoir modifier le
 mot de passe root + le redonner.


 Par certificat, entends-tu clé rsa publique utilisé pour un login sans
 mot de passe?

Oui. Aucunes de mes machines n'a d'accès via login / mdp. Non
seulement parce que c'est chiant à chaque fois les tapers, retenir,
etc... Mais aussi parce que ça reste moins sécurisé qu'une clé
publique / privée. Après, ca a des inconvénient (en cas de vol/perte
de l'ordi, par exemple, ou pour se connecter en urgence quand on est
pas a la maison)

Olivier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cabgc0bshtdmejf0abs_rhfalcuedpj7durd+kmdithjw9kh...@mail.gmail.com

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet Tanguy Ortolo

ajh.val...@free.fr, 2012-01-12 14:23+0100:
 Le fichier auth.log donne des indications mais n'indique pas le numéro
 IP du connecté et si la personne est root elle peut effacer des lignes
 de ce fichier.

Si, l'adresse IP y est normalement indiquée. Pour que personne ne
puisse, depuis cette machine, effacer des entrées du log, le mieux est
d'envoyer celui-ci sur une autre machine, via un syslog en réseau.

-- 
 ,--.
: /` )   Tanguy Ortolo xmpp:tan...@ortolo.eu irc://irc.oftc.net/Tanguy
| `-'Debian Developer
 \_

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/jemvm4$c4l$1...@dough.gmane.org

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet ajh . valmer

Le Thursday 12 January 2012 14:39:15, vous avez écrit :
 Le 12 janvier 2012 14:23,  ajh.val...@free.fr a écrit :
  Lors d'une connexion distante à un serveur ssh sous Debian,
  je souhaite mémoriser : le numéro IP de l'ordinateur
  de la personne, son nom de compte, la date de la connexion
  et l'enregistrer à chaque fois dans un fichier texte
  par un script.
  Le fichier auth.log donne des indications mais n'indique pas le numéro
  IP du connecté et si la personne est root elle peut effacer des lignes
  de ce fichier.

 Hello, j'utilise ceci, dans mon .bashrc:
 echo 'Acces au shell root le '  `date` `who` | mail -s `hostname -f`
 ola...@visionweb-online.fr
 Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
 sert de log.
 Il me reste juste à trouver un moyen d'envoyer la liste des commandes
 exécutées durant le shell, de manière transparente
 Olivier
--

Merci et à ceux qui m'on répondu.

Je souhaite plutôt mettre l'info de connexion dans un fichier discret
et pour toutes les connexions ssh, root ou non.
Quel est la syntaxe ? :
echo 'Acces ssh le '  `date` `who` | cat ...  fichier ... (?)

Si il s'agit du .bashrc du compte root, il est visible par un connecté en 
root ...
Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?

AJH


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201201121957.14475.ajh.val...@free.fr

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet David Pinson


Le 12/01/2012 19:57, ajh.val...@free.fr a écrit :

Le Thursday 12 January 2012 14:39:15, vous avez écrit :

Le 12 janvier 2012 14:23,ajh.val...@free.fr  a écrit :

Lors d'une connexion distante à un serveur ssh sous Debian,
je souhaite mémoriser : le numéro IP de l'ordinateur
de la personne, son nom de compte, la date de la connexion
et l'enregistrer à chaque fois dans un fichier texte
par un script.
Le fichier auth.log donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est root elle peut effacer des lignes
de ce fichier.



Hello, j'utilise ceci, dans mon .bashrc:
echo 'Acces au shell root le '  `date` `who` | mail -s `hostname -f`
ola...@visionweb-online.fr
Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
sert de log.
Il me reste juste à trouver un moyen d'envoyer la liste des commandes
exécutées durant le shell, de manière transparente
Olivier

--

Merci et à ceux qui m'on répondu.

Je souhaite plutôt mettre l'info de connexion dans un fichier discret
et pour toutes les connexions ssh, root ou non.
Quel est la syntaxe ? :
echo 'Acces ssh le '  `date` `who` | cat ...  fichier ... (?)

Si il s'agit du .bashrc du compte root, il est visible par un connecté en
root ...
Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?

AJH



Bonsoir,
Dans ce cas, pourquoi autorises-tu l'accès à root si tu peux interdire 
tout simplement la connexion root par ssh

(une ligne à modifier dans la config ssh du genre AllowRootLogin=False) ?
Tu donnes des droits user à certains cas sans aller plus loin, là où se 
trouve le dit-fichier qui ne peut ni être modifié.

Mais pour ça, c'est un autre fil !
Linuxement vôtre,
David Pinson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4f0f4040.7040...@free.fr

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet ajh . valmer

Le Thursday 12 January 2012 21:19:12 David Pinson, vous avez écrit :
 Le 12/01/2012 19:57, ajh.val...@free.fr a écrit :
  Le 12 janvier 2012 14:23,ajh.val...@free.fr  a écrit :
  Lors d'une connexion distante à un serveur ssh sous Debian,
  je souhaite mémoriser : le numéro IP de l'ordinateur
  de la personne, son nom de compte, la date de la connexion
  et l'enregistrer à chaque fois dans un fichier texte
  par un script.
  Le fichier auth.log donne des indications mais n'indique pas le
  numéro IP du connecté et si la personne est root elle peut effacer
  des lignes de ce fichier.
--
  Hello, j'utilise ceci, dans mon .bashrc:
  echo 'Acces au shell root le '  `date` `who` | mail -s `hostname -f`
  ola...@visionweb-online.fr
  Comme ca, je reçois un email a chaque connexion sur la machine. Ca me
  sert de log.
  Il me reste juste à trouver un moyen d'envoyer la liste des commandes
  exécutées durant le shell, de manière transparente
  Olivier
  --
  Je souhaite plutôt mettre l'info de connexion dans un fichier discret
  et pour toutes les connexions ssh, root ou non.
  Quel est la syntaxe ? :
  echo 'Acces ssh le '  `date` `who` | cat ...  fichier ... (?)
  Si il s'agit du .bashrc du compte root, il est visible par un connecté
  en root ...
  Est-il possible de mettre cette ligne ci-dessus dans un autre fichier ?
--
 Dans ce cas, pourquoi autorises-tu l'accès à root si tu peux interdire
 tout simplement la connexion root par ssh
 (une ligne à modifier dans la config ssh du genre AllowRootLogin=False) ?
 Tu donnes des droits user à certains cas sans aller plus loin, là où se
 trouve le dit-fichier qui ne peut ni être modifié.
 Mais pour ça, c'est un autre fil !
 Linuxement vôtre,  David Pinson
-
Bien d'accord avec le AllowRootLogin=False.
Mais je souhaite savoir qui se connecte au serveur en mode user
puis tente ensuite de se connecter en mode root avec su.

Bonne fin de soirée.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201201122143.39269.ajh.val...@free.fr

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet thierry . leurent

Et si tu prennais le problème autrement, root n'a pas le droit de se connecter
ni en local ni en ssh (password dans une enveloppe dans un coffre). Pour
obtenir les privilèges root, il suffit d'utiliser sudo.

--
Sent from my Nokia N9

On 12/01/12 14:47 Olivier Lange wrote:

Le 12 janvier 2012 14:45, Nicolas Bercher nberc...@yahoo.fr a écrit :
On 12/01/2012 14:23, ajh.val...@free.fr wrote:

Bonjour,

Le fichier auth.log donne des indications mais n'indique pas le numéro
IP du connecté et si la personne est root elle peut effacer des lignes
de ce fichier.

Et l'idéla étant de lui révoquer son certificat, plutot que de changer
son mot de passe ;)

Olivier

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Re: Connexion SSH : capter l'IP du connecté

2012-01-12 Par sujet Bernard Schoenacker

Le Thu, 12 Jan 2012 18:05:17 +0100,
thierry.leur...@asgardian.be a écrit :

 Et si tu prennais le problème autrement, root n'a pas le droit de se
 connecter ni en local ni en ssh (password dans une enveloppe dans un
 coffre). Pour obtenir les privilèges root, il suffit d'utiliser sudo. 
 
 

bonjour,

les options à vérifier se trouvent :

 /etc/ssh/ssh_config
 /etc/ssh/sshd_config


 grep Login /etc/ssh/sshd_config
 PermitRootLogin no


 documentation :
 http://www.alsacreations.com/tuto/lire/612-Premiere-connexion-SSH.html

 bonne consultation

 slt
 bernard

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/20120113080334.267945cf.bernard.schoenac...@free.fr

Re: Connexion SSH par clef publique depuis un compte différent

2010-02-03 Par sujet Le Cerdocyon

Post en mode texte, ton mail est illisible

-- 
Cerdocyon
key ID 0x773B483BAC099326


signature.asc
Description: Digital signature

Re: Connexion SSH par clef publique depuis un compte différent

2010-02-03 Par sujet Sébastien NOBILI

Le mercredi 03 février 10 à 14:04, Le Cerdocyon a écrit :
| Post en mode texte, ton mail est illisible

Quel diplomate !

Mon client (mutt) est correctement configuré et son mail est parfaitement
lisible !

Ma remarque ne retire rien au fait que poster en HTML sur une ML ne sert à
rien et emm**de une quantité importante des abonnés.

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion SSH par clef publique depui s un compte différent

2010-02-03 Par sujet Frédéric Hébert

Veuillez tous accepter de m'excuser ! Je dois bien avouer que cela m'a 
complètement échappé.


Ce qui suit est donc mon message original (j'espère visible par tous 
cette fois)


Frédéric

 MESSAGE ORIGINAL 

Bonjour à tous,

   dans le cadre d'une synchronisation de deux dépôts subversion j'ai 
besoin de pouvoir me connecter à ces dépôts via SSH. Cette synchro 
utilise pour les deux serveurs un accès svn+ssh.


La phase de synchronisation est appelée depuis un hook après chaque 
commit dans le dépôt principal, comme expliqué dans la doc.


J'ai donc créé sur chaque serveur un compte Unix svnsyncuser (avec 
`adduser --disabled-password svnsyncuser`), et svnserve fera avant sa 
synchro un équivalent de `ssh -l svnsyncuser mirror`. J'ai également 
créé un paire de clefs sans passphrase.


Je peux me connecter via pubkey aux deux comptes svnsyncuser APRÈS un 
`su svnsyncuser` (c'est à dire classiquement, depuis un compte portant 
le même nom). Je peux également me connecter depuis un compte root avec 
un `ssh -l svnsyncuser -i ~svnsyncuser/.ssh/id_rsa mirror`.


Par contre, je ne peux pas faire un `ssh -l svnsyncuser -i
~/.ssh/id_rsa_svnsyncuser mirror` depuis un autre compte utilisateur 
courant sans que SSH me demande une passphrase. (j'ai pourtant bien 
copié la paire de clefs de svnsyncuser dans le répertoire ssh de cet 
utilisateur en conservant les mêmes permissions).


Je ne pourrais donc pas utiliser svn+ssh depuis le serveur subversion 
sans y rétablir le mot de passe de svnsyncuser et utiliser un wrapper su 
autour de ssh.


Ma question est donc la suivante : comment utiliser la clef publique 
(sans passphrase) d'un autre compte avec SSH ?



Bonne journée,

Frédéric


--
Frédéric Hébert
--
http://www.openidfrance.fr/fhebert
--
Fondation Wikimedia : Levée de fonds 2009. Faites un don : 
http://wikimediafoundation.org/wiki/Global_Support/fr


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion SSH par clef publique depui s un compte différent

2010-02-03 Par sujet David Prévot

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour,

On 03/02/2010 11:07, Frédéric Hébert wrote:
 
 Par contre, je ne peux pas faire un `ssh -l svnsyncuser -i
 ~/.ssh/id_rsa_svnsyncuser mirror` depuis un autre compte utilisateur
 courant sans que SSH me demande une passphrase. (j'ai pourtant bien
 copié la paire de clefs de svnsyncuser dans le répertoire ssh de cet
 utilisateur en conservant les mêmes permissions).

Utilise l'option -v (plusieurs fois s'il le faut : -vvv) de ssh afin
d'obtenir des renseignement sur la nature du problème, peut-être un
simple problème de droits (~/.ssh/id_rsa_svnsyncuser lisible par
d'autres que l'utilisateur par exemple, ou illisible pour l'utilisateur).

Au passage, pour différents comptes autorisés à se connecter, autant
utiliser différentes paires de clefs : si une est compromise, tu ne
perds pas tout.

Amicalement

David

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAktpkUsACgkQ18/WetbTC/pp5wCfWcbW52L2mGfC/j/0UYC9bLYt
2+4An35jmHk1IA8M0lJkjE/rkwxOTsMq
=BYln
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion SSH par clef publique depuis un compte différent

2010-02-03 Par sujet Le Cerdocyon

Le 03/02/10 at  14:28, Sébastien NOBILI a ecrit:
Le mercredi 03 février 10 à 14:04, Le Cerdocyon a écrit :
| Post en mode texte, ton mail est illisible

Quel diplomate !

Tu l'as bien lu avec un petit .mailcap avec links ou lynx ou links2 de 
configuré.

Pas chez moi je reste en brut 

-- 
Cerdocyon
key ID 0x773B483BAC099326


signature.asc
Description: Digital signature

Re: Connexion SSH par clef publique depuis un compte différent

2010-02-03 Par sujet François Cerbelle


Le Cerdocyon a écrit :

Le 03/02/10 at  14:28, Sébastien NOBILI a ecrit:

Le mercredi 03 février 10 à 14:04, Le Cerdocyon a écrit :
| Post en mode texte, ton mail est illisible

Quel diplomate !


Tu l'as bien lu avec un petit .mailcap avec links ou lynx ou links2 de 
configuré.
Pas chez moi je reste en brut 


Non, le message contenait une partie texte et une partie HTML, sous mutt, c'est la partie texte qui 
m'est apparue directement aussi. (La je te réponds avec Icedove).


Fanfan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion SSH par clef publique depuis un compte différent

2010-02-03 Par sujet Vincent Lefevre

On 2010-02-03 18:07:11 +0100, François Cerbelle wrote:
 Le Cerdocyon a écrit :
 Tu l'as bien lu avec un petit .mailcap avec links ou lynx ou links2
 de configuré. Pas chez moi je reste en brut
 
 Non, le message contenait une partie texte et une partie HTML, sous
 mutt, c'est la partie texte qui m'est apparue directement aussi.

Idem chez moi.

Ce qui est affiché est contrôlé par la commande alternative_order,
e.g.

  alternative_order text/enriched text/plain text/html

Maintenant, je ne connais pas le comportement par défaut
(un auto_view text/html peut poser problème).

-- 
Vincent Lefèvre vinc...@vinc17.net - Web: http://www.vinc17.net/
100% accessible validated (X)HTML - Blog: http://www.vinc17.net/blog/
Work: CR INRIA - computer arithmetic / Arénaire project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion ssh non permanente

2009-11-17 Par sujet Xavier

Goldy wrote:

 Guillaume Caron a écrit :
 Salut,
 
 En conjonction avec « TCPKeepAlive », il y a l'option «
 ClientAliveInterval » qui est l'intervalle en secondes entre les envois
 de paquets de maintien.
 J'avais eu ce problème sur RedHat et l'avais résolu en m'apercevant que
 même si « TCPKeepAlive » est à yes, « ClientAliveInterval » est par
 défaut à 0, ce qui signifie qu'aucun paquet n'est envoyé. Je l'avais
 fixé à 30 et je n'ai plus eu de soucis de déconnexion.
 
 Cordialement,
 --
 Guillaume
 
 
 Cette solution a fonctionné. J'ai ajouté l'option ClientAliveInterval
 dans sshd_config et mes connexions sont maintenues même en cas de non
 activité dans le terminal.
 
 Merci beaucoup.
 


Salut,

J'ai également eu des problèmes similaires avec mes clients ou serveurs ssh.

Il semble que pour moi la cause soit le modem fourni par numéricable.
(http://forum.ovh.com/showthread.php?s=01eb76a2221f01abf13a4e711ff429fat=47390page=3)

J'ai réglé le problème pour toutes les connexions tcp avec le fichier :
$ cat /etc/sysctl.d/numericable.conf
# Prevent connection timeout from the numericable modem
net.ipv4.tcp_keepalive_time = 30


Xavier








-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion ssh non permanente

2009-11-14 Par sujet Grégory Bulot

Yves Rutschle debian.anti-s...@rutschle.net à écrit le Sat, 14 Nov
2009 01:07:52 +0100

 un bricolage peut donc
 être d'ajouter une redirection de port à la connexion ssh,
 et de mettre 2 programmes qui s'échangent un octet de temps
 en temps par ce tunnel.
 


j'avais eu le même problème (hôtels lors de mes nombreux déplacements
antérieurs: 

while true; do time ; sleep 2m ; done

je n'ais plus jamais eu de déco ensuite :-D
l'idéal étant ed faire cela dans un screen pour garder un console
active.

J'ai découvert plus tard avec screen le hardstatus : c'est
l'équivalent de la boucle ci-dessus mais avec un sleep 1m ;-)  

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion ssh non permanente

2009-11-14 Par sujet Guillaume Caron

Salut,

En conjonction avec « TCPKeepAlive », il y a l'option «
ClientAliveInterval » qui est l'intervalle en secondes entre les envois
de paquets de maintien.
J'avais eu ce problème sur RedHat et l'avais résolu en m'apercevant que
même si « TCPKeepAlive » est à yes, « ClientAliveInterval » est par
défaut à 0, ce qui signifie qu'aucun paquet n'est envoyé. Je l'avais
fixé à 30 et je n'ai plus eu de soucis de déconnexion.

Cordialement,
--
Guillaume 

Le samedi 14 novembre 2009 à 00:48 +0100, Goldy a écrit :

 Bonjour,
 
 J'ai un soucis avec un serveur ssh qui déconnecte systématiquement les
 utilisateurs après un certain temps de non-activité dans le terminal.
 C'est un peu gênant car la déconnexion se fera même si un programme est
 en cours d'exécution mais qu'il ne renvoie aucune sortie.
 
 Je ne pense pas qu'il s'agisse d'un problème avec le client, car je n'ai
 pas ce problème lorsque je me connecte à un serveur dédié sous lenny. Ce
 problème que j'ai toujours eu sur cette machine (sous testing, dont
 l'installation date d'environs 12 mois) commence à me gêner, j'ai pensé
 que ça pouvait venir du fait que la connexion se faisait dans un réseau
 locale, mais il s'avère que le problème est présent même si je me
 connecte depuis un autre endroit.
 
 J'ai comparé les fichiers sshd_config des deux machines pour voir si une
 option serait manquante, mais à part un port supplémentaire en écoute
 sur le serveur qui pose problème, ils sont identiques, l'option
 TCPKeepAlive yes étant présente.
 
 Je ne sais pas d'où peut venir ce problème, le plus gros problème étant
 que j'utilise un tunnel ssh pour accéder à des services web sur ce
 serveur, et que ce tunnel finit par se fermer au bout d'un moment, de
 même je suis obligé de lancer la connexion ssh avec des -vv pour que
 quelque chose s'affiche dans le prompt et maintienne la connexion.
 
 Si vous avez une idée, merci d'avance.

Re: Connexion ssh non permanente

2009-11-14 Par sujet Goldy

Guillaume Caron a écrit :
 Salut,
 
 En conjonction avec « TCPKeepAlive », il y a l'option «
 ClientAliveInterval » qui est l'intervalle en secondes entre les envois
 de paquets de maintien.
 J'avais eu ce problème sur RedHat et l'avais résolu en m'apercevant que
 même si « TCPKeepAlive » est à yes, « ClientAliveInterval » est par
 défaut à 0, ce qui signifie qu'aucun paquet n'est envoyé. Je l'avais
 fixé à 30 et je n'ai plus eu de soucis de déconnexion.
 
 Cordialement,
 --
 Guillaume
 

Cette solution a fonctionné. J'ai ajouté l'option ClientAliveInterval
dans sshd_config et mes connexions sont maintenues même en cas de non
activité dans le terminal.

Merci beaucoup.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Connexion ssh non permanente

2009-11-13 Par sujet Yves Rutschle

On Sat, Nov 14, 2009 at 12:48:27AM +0100, Goldy wrote:
 Je ne pense pas qu'il s'agisse d'un problème avec le client, car je n'ai
 pas ce problème lorsque je me connecte à un serveur dédié sous lenny.

Qu'y a-t-il entre le client et la machine sous Lenny, et
entre le client et la machine qui pose problème?

La machine qui pose problème a-t-elle iptables, et si oui
avec quelle configuration?

Les problèmes de timeout sont souvent liés à des firewalls
ou des NATs qui laissent tomber les connexions après un
certain temps. TCPKeepalive ne marche pas toujours (il peut
être avalé par le firewall).

Face à ce problème, j'avais trouvé que rajouter l'option
'KeepAlive' de Jabber, qui passait en tunnel dans la même
connexion ssh, et qui est un keepalive applicatif (avec des
vraies données TCP dedans), resolvait le problème. À défaut
de trouver le firewall qui coupe, un bricolage peut donc
être d'ajouter une redirection de port à la connexion ssh,
et de mettre 2 programmes qui s'échangent un octet de temps
en temps par ce tunnel.

Y.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Benjamin MENUET

Bonjour,

Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou est-ce
qu'il remplace un ancien serveur ?

S'il remplace un ancien serveur, qu'il as le même nom et que tu as copié ta
conf ssh c'est possible.

Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu
utilise (# cat /root/.ssh/id_rsa.pub).
Si ta clé est présente sur ton serveur dans le fichier
/root/.ssh/authorized_keys alors c'est normal que l'autentification soit
automatique.

Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta connexion
fonctionne toujours.

Ben

Le 6 octobre 2009 09:55, Julien jul...@nura.eu a écrit :

 Bonjour a tous,

 J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
 privée/publique pour m'y connecter à partir de mon poste. Après
 l'installation d'un nouveau serveur, ce dernier serveur peut se
 connecter en SSH au ancien serveur SANS demande de mot de passe ni
 installation de clé. Est-ce que c'est un pb de configuration ? voici mon
 fichier de config :

 - /etc/ssh/sshd_config 

 Port 22
 Protocol 2
 HostKey /etc/ssh/ssh_host_rsa_key
 HostKey /etc/ssh/ssh_host_dsa_key
 UsePrivilegeSeparation yes
 KeyRegenerationInterval 3600
 ServerKeyBits 768
 SyslogFacility AUTH
 LogLevel INFO

 # Authentication:
 LoginGraceTime 120
 PermitRootLogin yes
 StrictModes yes

 RSAAuthentication yes
 PubkeyAuthentication yes
 #AuthorizedKeysFile %h/.ssh/authorized_keys

 IgnoreRhosts yes
 RhostsRSAAuthentication no
 HostbasedAuthentication no
 RhostsRSAAuthentication

 PermitEmptyPasswords no

 ChallengeResponseAuthentication no

 #PasswordAuthentication yes

 PrintMotd no
 PrintLastLog yes
 TCPKeepAlive yes
 #UseLogin no

 #MaxStartups 10:30:60
 #Banner /etc/issue.net

 # Allow client to pass locale environment variables
 AcceptEnv LANG LC_*

 Subsystem sftp /usr/lib/openssh/sftp-server

 UsePAM yes

  FIN /etc/ssh/sshd_config 

 Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
 eu d'échange de clé entre ces machines !

 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2

 Merci d'avance,
 Julien



 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
 ``spam'' dans vos champs From et Reply-To:

 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans cl é ni mot de passe

2009-10-06 Par sujet Yves Rutschle

On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
 ce dernier serveur peut se
 connecter en SSH au ancien serveur

Un serveur qui se connecte à un serveur? Il y a un problème
dans l'énoncé du sujet.

 Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
 eu d'échange de clé entre ces machines !
 
 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2

C'est le message normal qui montre qu'il y a eu échange de
clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?

Y.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

Le mardi 06 octobre 2009 à 11:53 +0200, Benjamin MENUET a écrit :
 Bonjour,
 
 Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou
 est-ce qu'il remplace un ancien serveur ?

 S'il remplace un ancien serveur, qu'il as le même nom et que tu as
 copié ta conf ssh c'est possible.

Je n'ai pas copié la conf ssh, à l'installation du serveur copie une
seule clé publique dans authorized_keys. Mais d'autres serveur arrive à
se connecter quand même.


 Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu
 utilise (# cat /root/.ssh/id_rsa.pub).
 Si ta clé est présente sur ton serveur dans le
 fichier /root/.ssh/authorized_keys alors c'est normal que
 l'autentification soit automatique.
 
 Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta
 connexion fonctionne toujours.

Depuis le serveur A :

# ssh B
-- connexion automatique 

Sur le serveur A :

# cd ~/.ssh
# rm -f id*
# ssh B
-- connexion automatique

Toujours sur A 
# ssh-keygen -t rsa
The key fingerprint is:
eb:0c:2a:d7:08:09:4b:19:3f..
# ssh B 
-- connexion automatique

Il y a un pb là non ?

Julien


 
 Ben
 
 Le 6 octobre 2009 09:55, Julien jul...@nura.eu a écrit :
 Bonjour a tous,
 
 J'ai quelques serveurs qui sont accessibles en SSH, j'utilise
 des clés
 privée/publique pour m'y connecter à partir de mon poste.
 Après
 l'installation d'un nouveau serveur, ce dernier serveur peut
 se
 connecter en SSH au ancien serveur SANS demande de mot de
 passe ni
 installation de clé. Est-ce que c'est un pb de configuration ?
 voici mon
 fichier de config :
 
 - /etc/ssh/sshd_config
 
 
 Port 22
 Protocol 2
 HostKey /etc/ssh/ssh_host_rsa_key
 HostKey /etc/ssh/ssh_host_dsa_key
 UsePrivilegeSeparation yes
 KeyRegenerationInterval 3600
 ServerKeyBits 768
 SyslogFacility AUTH
 LogLevel INFO
 
 # Authentication:
 LoginGraceTime 120
 PermitRootLogin yes
 StrictModes yes
 
 RSAAuthentication yes
 PubkeyAuthentication yes
 #AuthorizedKeysFile %h/.ssh/authorized_keys
 
 IgnoreRhosts yes
 RhostsRSAAuthentication no
 HostbasedAuthentication no
 RhostsRSAAuthentication
 
 PermitEmptyPasswords no
 
 ChallengeResponseAuthentication no
 
 #PasswordAuthentication yes
 
 PrintMotd no
 PrintLastLog yes
 TCPKeepAlive yes
 #UseLogin no
 
 #MaxStartups 10:30:60
 #Banner /etc/issue.net
 
 # Allow client to pass locale environment variables
 AcceptEnv LANG LC_*
 
 Subsystem sftp /usr/lib/openssh/sftp-server
 
 UsePAM yes
 
  FIN /etc/ssh/sshd_config
 
 
 Dans les log j'ai bien une connexion par clé publique mais il
 n'y a pas
 eu d'échange de clé entre ces machines !
 
 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port
 x ssh2
 
 Merci d'avance,
 Julien
 
 
 
 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi
 ajouter le mot
 ``spam'' dans vos champs From et Reply-To:
 
 Pour vous DESABONNER, envoyez un message avec comme objet
 unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS
 listmas...@lists.debian.org
 
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
 On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
  ce dernier serveur peut se
  connecter en SSH au ancien serveur
 
 Un serveur qui se connecte à un serveur? Il y a un problème
 dans l'énoncé du sujet.

Une de mes machines accepte tous les clients SSH sans vérification de
clés !

 
  Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
  eu d'échange de clé entre ces machines !
  
  sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2
 
 C'est le message normal qui montre qu'il y a eu échange de
 clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?

Ce qui me gène c'est que tout le monde peut s'y connecter même sans
fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !

Julien 



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Alain Vaugham

Le mardi 6 octobre 2009 09:55, Julien a écrit :

 PermitRootLogin yes
Ce ne serait pas à éviter?


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de p asse

2009-10-06 Par sujet ~TraydenT~

Le 06/10/2009 09:55, Julien a écrit :
 Bonjour a tous, 
   
Bonjour,
 J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
 privée/publique pour m'y connecter à partir de mon poste. Après
 l'installation d'un nouveau serveur, ce dernier serveur peut se
 connecter en SSH au ancien serveur SANS demande de mot de passe ni
 installation de clé. Est-ce que c'est un pb de configuration ?
As-tu essayé de regarder ce que te sort un «ssh -v» ? Tu devrais voir
dans les messages ce qui te permets de te connecter, et te permettra
peut-être d'élucider ce mystère.
 [snip]

 Merci d'avance,
 Julien
   
-- 
~TraydenT~

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Jean-Yves F. Barbier

Alain Vaugham a écrit :
 Le mardi 6 octobre 2009 09:55, Julien a écrit :
 
 PermitRootLogin yes
 Ce ne serait pas à éviter?

Pourquoi? 
Si l'attaquant arrive à compromettre un compte std, il-y-a des chances
pour qu'il ait les connaissances nécessaires pour obtenir les droits
de root: la protection est la même.

-- 
  Of course I can keep secrets. It's the people I tell them to that
  can't keep them. -Anthony Haden-Guest

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Jean-Yves F. Barbier

Julien a écrit :
 Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
 On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
 ce dernier serveur peut se
 connecter en SSH au ancien serveur
 Un serveur qui se connecte à un serveur? Il y a un problème
 dans l'énoncé du sujet.
 
 Une de mes machines accepte tous les clients SSH sans vérification de
 clés !

Très bizarre, et  quasiment impossible
 
 Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
 eu d'échange de clé entre ces machines !

 sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2

 C'est le message normal qui montre qu'il y a eu échange de
 clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?

wai, il a raison, ça veut juste dire que la clé client est dans le 
fichier .ssh/authorized_keys

 Ce qui me gène c'est que tout le monde peut s'y connecter même sans
 fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !

Ok, mais les clients n'auraient-ils pas des clés id_rsa... ?

Es-tu absolument sûr de ce que tu avances (ça paraît impossible); 
pour ça tu peux éplucher les logs de /var/log/auth.log, en remplaçant
temporairement la ligne LogLevel INFO dans /etc/ssh/sshd_config par
LogLevel DEBUG2  (+ un restart de ssh) sur la machine réceptrice.

-- 
Test-tube babies shouldn't throw stones.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Alain Vaugham

Le mardi 6 octobre 2009 12:37, Jean-Yves F. Barbier a écrit :
 Alain Vaugham a écrit :
  Le mardi 6 octobre 2009 09:55, Julien a écrit :
  PermitRootLogin yes
 
  Ce ne serait pas à éviter?

 Pourquoi?

Parceque Julien  se connecte en root :
Il a écrit :

Depuis le serveur A :

# ssh B
-- connexion automatique

Donc ça me paraît normal puisque le serveur accepte le login root.
Julien devrait se connecter avec un login user sur le serveur distant puis 
passer root ensuite.
Non?


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Nicolas KOWALSKI

Bonjour,

Julien jul...@nura.eu writes:

 Ce qui me gène c'est que tout le monde peut s'y connecter même sans
 fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !

C'est peut-être juste le RhostsRSAAuthentication qui est en
fonctionnement ? A désactiver dans /etc/ssh/sshd_config.

-- 
Nicolas

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Jean-Yves F. Barbier

Alain Vaugham a écrit :
 Le mardi 6 octobre 2009 12:37, Jean-Yves F. Barbier a écrit :
 Alain Vaugham a écrit :
 Le mardi 6 octobre 2009 09:55, Julien a écrit :
 PermitRootLogin yes
 Ce ne serait pas à éviter?
 Pourquoi?
 
 Parceque Julien  se connecte en root :
 Il a écrit :
 
 Depuis le serveur A :

 # ssh B
 -- connexion automatique
 
 Donc ça me paraît normal puisque le serveur accepte le login root.
 Julien devrait se connecter avec un login user sur le serveur distant puis 
 passer root ensuite.
 Non?

Non, ça fait déjà un packet de temps que la connexion root directe par SSH
a été déclarée secured (excepté l'épisode récent des clés faiblardes).

Et comme je l'ai dit plus haut, si l'attaquant a les connaissances et facilités
requises pour compromettre un compte user, il arrivera sûrement par finir à
obtenir les prérogatives de root.

-- 
If I were to walk on water, the press would say I'm only doing it
because I can't swim.
-- Bob Stanfield

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Alain Vaugham

Le mardi 6 octobre 2009 13:34, Julien a écrit :
 Le mardi 06 octobre 2009 à 12:13 +0200, Alain Vaugham a écrit :
  Le mardi 6 octobre 2009 09:55, Julien a écrit :
   PermitRootLogin yes
 
  Ce ne serait pas à éviter?

 oui mais les utilisateurs veulent ce connecter en root donc ...

... donc il faut leur faire confiance et croiser les doigts lorsqu'ils 
tripatouilleront dans le système ;-)


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

J'ai changé le loglevel vers DEBUG2, redémarrer sshd (sur le serveur)
Sur le client j'ai supprimé les clé dans .ssh (rm -f ~/.ssh/id*)

voilà un extrait des log auth.log sur le serveur : 

debug2: user_key_allowed: check options: 'ssh-dss B3...
debug2: key_type_from_name: unknown key type 'B3N...
debug2: user_key_allowed: advance: 'B3N...
debug1: matching key found: file /root/.ssh/authorized_keys, line 2
sshd[17108]: Found matching RSA key: 80:...

sauf que la clé ligne 2 de /root/.ssh/authorized_keys du serveur ne
correspond pas du tout au client qui se connecte (en plus il n'y plus de
fichier de clé dans .ssh/id_rsa ou .ssh/id_dsa

Julien 
Le mardi 06 octobre 2009 à 12:46 +0200, Jean-Yves F. Barbier a écrit :
 Julien a écrit :
  Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
  On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
  ce dernier serveur peut se
  connecter en SSH au ancien serveur
  Un serveur qui se connecte à un serveur? Il y a un problème
  dans l'énoncé du sujet.
  
  Une de mes machines accepte tous les clients SSH sans vérification de
  clés !
 
 Très bizarre, et  quasiment impossible
  
  Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
  eu d'échange de clé entre ces machines !
 
  sshd[5258]: Accepted publickey for root from xx.xx.xx.x port x ssh2
 
  C'est le message normal qui montre qu'il y a eu échange de
  clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?
 
 wai, il a raison, ça veut juste dire que la clé client est dans le 
 fichier .ssh/authorized_keys
 
  Ce qui me gène c'est que tout le monde peut s'y connecter même sans
  fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !
 
 Ok, mais les clients n'auraient-ils pas des clés id_rsa... ?
 
 Es-tu absolument sûr de ce que tu avances (ça paraît impossible); 
 pour ça tu peux éplucher les logs de /var/log/auth.log, en remplaçant
 temporairement la ligne LogLevel INFO dans /etc/ssh/sshd_config par
 LogLevel DEBUG2  (+ un restart de ssh) sur la machine réceptrice.
 
 -- 
 Test-tube babies shouldn't throw stones.
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

Voilà la sortie de ssh -v à partie du client :

OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to  [xx.xxx.xx.x] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version
OpenSSH_4.3p2 Debian-9etch3
debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server-client aes128-cbc hmac-md5 none
debug1: kex: client-server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '' is known and matches the RSA host key.
debug1: Found key in /root/.ssh/known_hosts:11
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key: 
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = en_US.ISO-8859-15

Sur le client il n'y a aucune clé :

client:/usr/local# ll ~/.ssh/
total 8
-rw-r--r-- 1 root root 1010 2009-09-23 13:48 authorized_keys
-rw-r--r-- 1 root root 3854 2009-10-06 09:30 known_hosts

Ce qui m'étonne : 

debug1: Offering public key: -- rien du tout !!
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: Authentication succeeded (publickey). -- et c'est accepté ?

Julien



Le mardi 06 octobre 2009 à 12:31 +0200, ~TraydenT~ a écrit :
 Le 06/10/2009 09:55, Julien a écrit :
  Bonjour a tous, 

 Bonjour,
  J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
  privée/publique pour m'y connecter à partir de mon poste. Après
  l'installation d'un nouveau serveur, ce dernier serveur peut se
  connecter en SSH au ancien serveur SANS demande de mot de passe ni
  installation de clé. Est-ce que c'est un pb de configuration ?
 As-tu essayé de regarder ce que te sort un «ssh -v» ? Tu devrais voir
 dans les messages ce qui te permets de te connecter, et te permettra
 peut-être d'élucider ce mystère.
  [snip]
 
  Merci d'avance,
  Julien

 -- 
 ~TraydenT~
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

Le mardi 06 octobre 2009 à 12:53 +0200, Nicolas KOWALSKI a écrit :
 Bonjour,
 
 Julien jul...@nura.eu writes:
 
  Ce qui me gène c'est que tout le monde peut s'y connecter même sans
  fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !
 
 C'est peut-être juste le RhostsRSAAuthentication qui est en
 fonctionnement ? A désactiver dans /etc/ssh/sshd_config.

j'ai :

RhostsRSAAuthentication no

dans mon fichier de config sur le serveur, c'est donc désactivé ?

Julien 

 
 -- 
 Nicolas
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de p asse

2009-10-06 Par sujet giggzounet

Julien a écrit :
 Voilà la sortie de ssh -v à partie du client :
 
 OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
 debug1: Reading configuration data /etc/ssh/ssh_config
 debug1: Applying options for *
 debug1: Connecting to  [xx.xxx.xx.x] port 22.
 debug1: Connection established.
 debug1: permanently_set_uid: 0/0
 debug1: identity file /root/.ssh/identity type -1
 debug1: identity file /root/.ssh/id_rsa type -1
 debug1: identity file /root/.ssh/id_dsa type -1
 debug1: Remote protocol version 2.0, remote software version
 OpenSSH_4.3p2 Debian-9etch3
 debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
 debug1: Enabling compatibility mode for protocol 2.0
 debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
 debug1: SSH2_MSG_KEXINIT sent
 debug1: SSH2_MSG_KEXINIT received
 debug1: kex: server-client aes128-cbc hmac-md5 none
 debug1: kex: client-server aes128-cbc hmac-md5 none
 debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
 debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
 debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
 debug1: Host '' is known and matches the RSA host key.
 debug1: Found key in /root/.ssh/known_hosts:11
 debug1: ssh_rsa_verify: signature correct

ben vire le known_hosts...

Bye

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet Benjamin MENUET

Tu peux aussi faire un test en virant le authorized_keys et regarde dans les
logs pour voir comment ça régit.

Le 6 octobre 2009 13:57, giggzounet giggzou...@gmail.com a écrit :

 Julien a écrit :
  Voilà la sortie de ssh -v à partie du client :
 
  OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
  debug1: Reading configuration data /etc/ssh/ssh_config
  debug1: Applying options for *
  debug1: Connecting to  [xx.xxx.xx.x] port 22.
  debug1: Connection established.
  debug1: permanently_set_uid: 0/0
  debug1: identity file /root/.ssh/identity type -1
  debug1: identity file /root/.ssh/id_rsa type -1
  debug1: identity file /root/.ssh/id_dsa type -1
  debug1: Remote protocol version 2.0, remote software version
  OpenSSH_4.3p2 Debian-9etch3
  debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
  debug1: Enabling compatibility mode for protocol 2.0
  debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
  debug1: SSH2_MSG_KEXINIT sent
  debug1: SSH2_MSG_KEXINIT received
  debug1: kex: server-client aes128-cbc hmac-md5 none
  debug1: kex: client-server aes128-cbc hmac-md5 none
  debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
  debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
  debug1: Host '' is known and matches the RSA host key.
  debug1: Found key in /root/.ssh/known_hosts:11
  debug1: ssh_rsa_verify: signature correct

 ben vire le known_hosts...

 Bye

 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
 ``spam'' dans vos champs From et Reply-To:

 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

Le mardi 06 octobre 2009 à 13:57 +0200, giggzounet a écrit :
 Julien a écrit :
  Voilà la sortie de ssh -v à partie du client :
  
  debug1: Host '' is known and matches the RSA host key.
  debug1: Found key in /root/.ssh/known_hosts:11
  debug1: ssh_rsa_verify: signature correct
 
 ben vire le known_hosts...

Pareil, il me demande d'ajouter la clé dans known_hosts :

The authenticity of host ...
RSA key fingerprint is ...
Are you sure you want to continue connecting (yes/no)? yesWarning:
Permanently added 'xxx' (RSA) to the list of known hosts.

Julien 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

Le mardi 06 octobre 2009 à 14:02 +0200, Benjamin MENUET a écrit :
 Tu peux aussi faire un test en virant le authorized_keys et regarde
 dans les logs pour voir comment ça régit.

En virant authorized_keys (sur le serveur) plus de connextion
automatique. 
Avec un fichier authorized_keys vide : pas de connection automatique 

Dès que je rajoute la clé publique d'une autre machine, j'ai de nouveau
la connexion automatique :

echo ssh-rsa   authorized_keys

Si je change un caractère de cette clé, plus de connexion automatique !!

Le client n'a toujours pas de fichier id_rsa* ou id_dsa* 

Si je met la clé publique d'un autre client :

echo ssh-dss ...  authorized_keys

Plus de connexion automatique !!

Donc : 
- avec une clé publique de type ssh-rsa -- tout le monde peut se
connecter 

- si je change un caractère de authorized_keys -- plus de connexion
auto

- avec une autre clé de type ssh-dss -- c'est normal, demande de mot de
passe, pas de connexion auto


Julien 


 
 Le 6 octobre 2009 13:57, giggzounet giggzou...@gmail.com a écrit :
 Julien a écrit :
 
  Voilà la sortie de ssh -v à partie du client :
 
  OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
  debug1: Reading configuration data /etc/ssh/ssh_config
  debug1: Applying options for *
  debug1: Connecting to  [xx.xxx.xx.x] port 22.
  debug1: Connection established.
  debug1: permanently_set_uid: 0/0
  debug1: identity file /root/.ssh/identity type -1
  debug1: identity file /root/.ssh/id_rsa type -1
  debug1: identity file /root/.ssh/id_dsa type -1
  debug1: Remote protocol version 2.0, remote software version
  OpenSSH_4.3p2 Debian-9etch3
  debug1: match: OpenSSH_4.3p2 Debian-9etch3 pat OpenSSH_4*
  debug1: Enabling compatibility mode for protocol 2.0
  debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5
  debug1: SSH2_MSG_KEXINIT sent
  debug1: SSH2_MSG_KEXINIT received
  debug1: kex: server-client aes128-cbc hmac-md5 none
  debug1: kex: client-server aes128-cbc hmac-md5 none
  debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
  debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
  debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
  debug1: Host '' is known and matches the RSA host key.
  debug1: Found key in /root/.ssh/known_hosts:11
  debug1: ssh_rsa_verify: signature correct
 
 
 ben vire le known_hosts...
 
 Bye
 
 
 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi
 ajouter le mot
 ``spam'' dans vos champs From et Reply-To:
 
 Pour vous DESABONNER, envoyez un message avec comme objet
 unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS
 listmas...@lists.debian.org
 
 
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: connexion SSH sans clé ni mot de passe

2009-10-06 Par sujet François TOURDE

Le 14523ième jour après Epoch,
jul...@nura.eu écrivait:

 Donc : 
 - avec une clé publique de type ssh-rsa -- tout le monde peut se
 connecter 

Tout le monde, ou juste ton client?

Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui
tourne, et qui serait l'émetteur de l'accréditation?

man ssh-agent

 - si je change un caractère de authorized_keys -- plus de connexion
 auto

Donc, ton serveur est bon, et il reçoit la bonne clef.

 - avec une autre clé de type ssh-dss -- c'est normal, demande de mot de
 passe, pas de connexion auto

Demande de mot de passe avec une clef ? Bizarre, ça, non?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

[ Résolu ] Re: connexion SSH sans clé ni mot de passe -- ssh-agent !