Re: impossible d'accéder à mon desktop en ssh
Le 05-03-2010, à 11:00:49 +0100, Franck Delage (deb...@web82.net) a écrit : Salut à la liste. Salut, Je ne sais pas pour ton problème, mais Mon sshd_config : PermitRootLogin yes ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin. ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles. s. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100305121239.ga32...@localdomain
Re: impossible d'accéder à mon desktop en ssh
Le 05-03-2010, à 15:45:04 +0100, Jean-Yves F. Barbier (12u...@gmail.com) a écrit : steve a écrit : Je ne sais pas pour ton problème, mais Mon sshd_config : PermitRootLogin yes ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin. Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root... Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root. Mais je pensais plus à toutes ces cochonneries qui traînent sur le net et dont on voit les traces dans le auth.log, dont le dernier date de pas si longtemps : Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from X.X.X.X port 48428 ssh2 ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles. faire un backup complet du système à distance par exemple. Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de lui donner ponctuellement ces droits via sudo ? Cela limiterait les risques non ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100305145928.ga21...@localdomain
HS -Re: impossible d'accéder à mon desktop en ssh
On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote: steve a écrit : Je ne sais pas pour ton problème, mais Mon sshd_config : PermitRootLogin yes ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin. Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root... fail2ban peut limiter le nombre de tentatives. Thierry -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201003051601.12993.tchate...@free.fr
Re: impossible d'accéder à mon desktop en ssh
Une chose qui peut être importante : lorsque j'essaye de me connecter via une machine de mon réseau local, en LAN ou en wifi, il n'y a aucun problème. autre chose, mon fichier /etc/hosts.allow (sans que je n'y aie jamais touché directement) : sendmail: all # /etc/hosts.allow: list of hosts that are allowed to access the system. # See the manual pages hosts_access(5), hosts_options(5) # and /usr/doc/netbase/portmapper.txt.gz # # Example:ALL: LOCAL @some_netgroup # ALL: .foobar.edu EXCEPT terminalserver.foobar.edu # # If you're going to protect the portmapper use the name portmap for the # daemon name. Remember that you can only use the keyword ALL and IP # addresses (NOT host or domain names) for the portmapper, as well as for # rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and # /usr/share/doc/portmap/portmapper.txt.gz for further information. # portmap: 192.168.1.102 , 192.168.1.103 lockd: 192.168.1.102 , 192.168.1.103 rquotad: 192.168.1.102 , 192.168.1.103 mountd: 192.168.1.102 , 192.168.1.103 statd: 192.168.1.102 , 192.168.1.103 -- Franck Delage Création et hébergements de sites web www.web82.net signature.asc Description: Digital signature
Re: impossible d'accéder à mon desktop en ssh
Le vendredi 05 mars 2010 à 16:11 +0100, Jean-Yves F. Barbier a écrit : steve a écrit : Vi bien sûr... emacs n'est pas plus performant ? et pour les tentatives, monter le délai entre logins raté à 10-15 secondes suffit en Gal pour décourager l'adversaire :) Intéressant ! mais je n'ai pas trouvé l'option correspondante dans le manuel de sshd_config. Je n'ai trouvé que 'LoginGraceTime' mais qui ne fait pas ça (désolé pour l'anglais) : LoginGraceTime The server disconnects after this time if the user has not successfully logged in. If the value is 0, there is no time limit. The default is 120 seconds. Je serais heureux de connaître cette option ! ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles. faire un backup complet du système à distance par exemple. Dans mon cas, mes comptes utilisateurs sont stocké en LDAP, je préfère donc conserver une connexion possible en root (qui n'est pas stocké en LDAP mais dans /etc/passwd) dans le cas où le serveur LDAP n'est plus accessible. Que me conseillez vous ? créer un compte dédié genre administratrice pour la connexion ssh et faire ensuite un su ? du coup ça me fait un mot de passe supplémentaire ce qui n'améliore pas la sécurité (petite perche du vendredi). Julien -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1267805958.26823.13.ca...@pc-julien.office
Re: impossible d'accéder à mon desktop en ssh
Jean-Yves F. Barbier 12u...@gmail.com writes: steve a écrit : Je ne sais pas pour ton problème, mais Mon sshd_config : PermitRootLogin yes ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin. Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root... ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles. faire un backup complet du système à distance par exemple. +1 Avoir PermitRootLogin without-password permet de se connecter en root, mais seulement avec une clé rsa. C'est ben pratique ma foi. En fait, j'ai désactivé complètement l'accès par mot de passe sur ma machine depuis deux ans, et ça ne cause pas plus de problèmes que ça. -- Nicolas -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/87bpf2lof8@petole.demisel.net
Re: impossible d'accéder à mon desktop en ssh
Le 05-03-2010, à 15:45:04 +0100, Jean-Yves F. Barbier (12u...@gmail.com) a écrit : steve a écrit : Je ne sais pas pour ton problème, mais Mon sshd_config : PermitRootLogin yes ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin. Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root... ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles. faire un backup complet du système à distance par exemple. Je viens de découvrir que cette option possède une valeur dédiée à ce genre d'opérations. De « man sshd_config » : If this option is set to “forced-commands-only”, root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100305163250.ga1...@localdomain
Re: impossible d'accéder à mon desktop en ssh
Jean-Yves F. Barbier a écrit : | Franck Delage a écrit : | | Avant de compliquer les choses (cell-umts-fiber-sat), essaye d'abord à partir | d'une machine normale connectée par un ADSL normal. J'ai déjà essayé de chez des potes d'une connection normale : même topo. | Petite précision dont j'ignore si elle est utile : le signal satellite | redescend sur Turin, aussi mon ip est-elle italienne. | | Ha bah ceci explique cela.. (niark niark) Tu veux dire que c'est un coup de Berlusconi ? | Merci beaucoup de votre aide, je sèche ! | | appelle-nous quand tu seras sec, crapaud, y'a une bouteille de schnaps qui t'attend:) Mais non, c'est pas du schnaps, c'est de la liqueur d'échalotte, mais relevée au jus d'ail, sinon ce serait trop fade :) | Ma config Iptables est des plus simples : | | et sans aucune sécurité Ouais ça je sais, mais je suis encore un manche en iptables, va quand même falloir que je m'y penche un minimum, un de ces quatres. | pas trop normal que cette ligne soit restée commentée: ce fichier contient | les clés permettant, une fois enregistrées, de se connecter sans avoir à | rentrer de mot de passe. | #AuthorizedKeysFile %h/.ssh/authorized_keys Je crois n'avoir jamais touché à ce fichier. En tout cas pas à cette ligne. C'est donc d'origine... | Beaucoup d'ISP font du filtrage, à savoir si c'est vraiment pour protéger, | ou juste pour faire chier le client... | Par exemple, il-y-a 2 ans, il m'a été impossible de faire passer un OpenVPN | (port 1194) sur une livebox pro (bloqué, et évidemment ft voulait à tout prix | placer son option pro-vpn, à la bagatelle de €20HT/mois), il a fallu le | déplacer sur le 443 (et déblocage instantané!) | D'après ce que j'ai pu observer, le port 22 est presque aussi souvent bloqué | que le 25. | | Si une telle manip ne marche pas, tu devras demander qq explications techniques | à ton ISP: la plupart passent à travers un réseau privé qui filtre/jette | bcp de choses avant d'arriver chez toi, histoire de te vendre des Sces connexes | (y'en a même qui te fournissent une adresse IP externe privée, comme ça aucune | échappatoire.) Effectivement, possible que ça vienne de là, vu que, comme je le dis dans un autre post de ce fil, je me connecte en ssh sans problème par le biais de mon réseau local, avec ou sans fil. Merci en tout cas ! -- Franck Delage Création et hébergements de sites web www.web82.net signature.asc Description: Digital signature
Re: impossible d'accéder à mon desktop en ssh
Le vendredi 05 mars 2010 à 17:32 +0100, steve a écrit : Je viens de découvrir que cette option possède une valeur dédiée à ce genre d'opérations. De « man sshd_config » : If this option is set to “forced-commands-only”, root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root. Est-ce que la commande peut être bash ? Les tests chez moi ne sont pas très concluant ou je n'ai rien compris : - Je change /etc/ssh/sshd_config : PermitRootLogin yes vers PermitRootLogin forced-commands-only - Je redémarre ssh - ssh r...@machine me demande un mot de passe, le login ne fonctionne pas (normal !) - ssh r...@machine pwd idem demande de mot de passe, le login ne passe pas (pas normal je dirais!) auth.log me dit : ROOT LOGIN REFUSED FROM 192.168.xx.xx Est-ce qu'il faut rajouté les commandes autorisée dans .ssh/authorized_keys par exemple ? J'ai testé sur une lenny à jour avec la config suivantes : UsePrivilegeSeparation yes LoginGraceTime 120 PermitRootLogin yes StrictModes yes RSAAuthentication yes PubkeyAuthentication yes PermitEmptyPasswords no UsePAM yes Julien -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1267807706.26823.23.ca...@pc-julien.office
Re: impossible d'accéder à mon desktop en ssh
Le vendredi 05 mars 2010 à 17:40 +0100, Jean-Yves F. Barbier a écrit : Julien a écrit : et pour les tentatives, monter le délai entre logins raté à 10-15 secondes suffit en Gal pour décourager l'adversaire :) Intéressant ! mais je n'ai pas trouvé l'option correspondante dans le manuel de sshd_config. Je n'ai trouvé que 'LoginGraceTime' mais qui ne fait pas ça (désolé pour l'anglais) : je n'ai pas dis que c'était dans la conf de SSH... LoginGraceTime The server disconnects after this time if the user has not successfully logged in. If the value is 0, there is no time limit. The default is 120 seconds. Et ça, c'est juste pour ceux qui tapent leur password de 150 cars avec 2 doigts, pas pour les générateurs de passwords ;-P Je serais heureux de connaître cette option ! dans /etc/inetd.conf: ssh stream tcp nowait/3/4/2 root /usr/sbin/sshd sshd -i pour: 3 connexions SSH simultanées max à la machine 4 tentatives de connexion/minute (soit une toutes les 15 sec) 2 Max de connexions possibles à partir d'une seule IP Merci beaucoup ! Julien -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1267808119.26823.27.ca...@pc-julien.office
Re: impossible d'accéder à mon desktop en ssh
Le 05-03-2010, à 17:48:26 +0100, Julien (jul...@nura.eu) a écrit : Le vendredi 05 mars 2010 à 17:32 +0100, steve a écrit : Je viens de découvrir que cette option possède une valeur dédiée à ce genre d'opérations. De « man sshd_config » : If this option is set to “forced-commands-only”, root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root. Est-ce que la commande peut être bash ? Les tests chez moi ne sont pas très concluant ou je n'ai rien compris : - Je change /etc/ssh/sshd_config : PermitRootLogin yes vers PermitRootLogin forced-commands-only - Je redémarre ssh - ssh r...@machine me demande un mot de passe, le login ne fonctionne pas (normal !) - ssh r...@machine pwd idem demande de mot de passe, le login ne passe pas (pas normal je dirais!) auth.log me dit : ROOT LOGIN REFUSED FROM 192.168.xx.xx Est-ce qu'il faut rajouté les commandes autorisée dans .ssh/authorized_keys par exemple ? D'après man sshd, oui : The options (if present) consist of comma-separated option specifications. No spaces are permitted, except within double quotes. The following option specifications are supported (note that option keywords are case-insensitive): command=command Specifies that the command is executed whenever this key is used for authentication. The command supplied by the user (if any) is ignored. The command is run on a pty if the client requests a pty; otherwise it is run without a tty. If an 8-bit clean channel is required, one must not request a pty or should specify no-pty. A quote may be included in the command by quoting it with a backslash. This option might be useful to restrict certain public keys to perform just a specific operation. An example might be a key that permits remote backups but nothing else. Note that the client may specify TCP and/or X11 forwarding unless they are explicitly prohibited. The command originally supplied by the client is available in the SSH_ORIGINAL_COMMAND environment variable. Note that this option applies to shell, command or subsystem execution. Tiens-mous au courant. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100305183730.ga6...@localdomain
Re: impossible d'accéder à mon desktop en ssh
Est-ce qu'il faut rajouté les commandes autorisée dans .ssh/authorized_keys par exemple ? D'après man sshd, oui : The options (if present) consist of comma-separated option specifications. No spaces are permitted, except within double quotes. The following option specifications are supported (note that option keywords are case-insensitive): command=command Specifies that the command is executed whenever this key is used for authentication. The command supplied by the user (if any) is ignored. The command is run on a pty if the client requests a pty; otherwise it is run without a tty. If an 8-bit clean channel is required, one must not request a pty or should specify no-pty. A quote may be included in the command by quoting it with a backslash. This option might be useful to restrict certain public keys to perform just a specific operation. An example might be a key that permits remote backups but nothing else. Note that the client may specify TCP and/or X11 forwarding unless they are explicitly prohibited. The command originally supplied by the client is available in the SSH_ORIGINAL_COMMAND environment variable. Note that this option applies to shell, command or subsystem execution. Pour préciser, il faut quelque chose du genre : from=10.1.1.5,command=/usr/bin/ls public keydata -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20100305190143.ga21...@localdomain
Re: impossible d'accéder à mon desktop en ssh
pascatgm a écrit : | Et que donne (s'il est possible de l'obtenir avec ConnectBot) un ssh -vv ? J'ai essayé de mon serveur chez OVH (auquel je suis connecté en ssh !) # ssh -vv fra...@web82.homelinux.org OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to web82.homelinux.org [95.210.19.215] port 22. debug1: connect to address 95.210.19.215 port 22: Connection timed out ssh: connect to host web82.homelinux.org port 22: Connection timed out | Pas de modif du fichier /etc/hosts.allow ? Je n'ai jamais touché ce fichier, et le voici : sendmail: all # /etc/hosts.allow: list of hosts that are allowed to access the system. # See the manual pages hosts_access(5), hosts_options(5) # and /usr/doc/netbase/portmapper.txt.gz # # Example:ALL: LOCAL @some_netgroup # ALL: .foobar.edu EXCEPT terminalserver.foobar.edu # # If you're going to protect the portmapper use the name portmap for the # daemon name. Remember that you can only use the keyword ALL and IP # addresses (NOT host or domain names) for the portmapper, as well as for # rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and # /usr/share/doc/portmap/portmapper.txt.gz for further information. # portmap: 192.168.1.102 , 192.168.1.103 lockd: 192.168.1.102 , 192.168.1.103 rquotad: 192.168.1.102 , 192.168.1.103 mountd: 192.168.1.102 , 192.168.1.103 statd: 192.168.1.102 , 192.168.1.103 sshd: all Merci ! -- Franck Delage Création et hébergements de sites web www.web82.net signature.asc Description: Digital signature
