Re: ssh : acces par clef publique
Le Tuesday 12 April 2005 09:15, daniel huhardeaux(daniel huhardeaux <[EMAIL PROTECTED]>) disait: > > S'il t'a refusé en StrictMode = yes c'est que la clé était _déjà_ > dans ton fichier known_hosts avec une identification différente > (par ex adresse IP ou CNAME au lieu du hostname). Heu.. non! Strictmode=yes valide les droits sur certains fichiers avant de permettre les logins! Extrait man sshd_config ! StrictModes Specifies whether sshd should check file modes and ownership of the user's files and home directory before accepting login. This is normally desirable because novices sometimes accidentally leave their directory or files world-writable. The default is ``yes''. A+ -- Glennie "Personne ne survit au fait d'être estimé au-dessus de sa valeur." pgpLuktBJ8hZ4.pgp Description: PGP signature
Re: ssh : acces par clef publique
Le mardi 12 avril 2005 à 09:15 +0200, daniel huhardeaux a écrit : > >Bon, je ne comprends plus rien, j'ai réussi à repasser en protocole > >version 2 en ajoutant StrictMode no (encore un truc que j'ai changé sans > >comprendre pourquoi...) et ça a marché, d'un autre côté, sur un autre > >serveur, ça marche en mode 2 en le laissant à yes. > > > > > S'il t'a refusé en StrictMode = yes c'est que la clé était _déjà_ dans > ton fichier known_hosts avec une identification différente (par ex > adresse IP ou CNAME au lieu du hostname). En supprimant cet > enregistrement du fichier et relancant la connexion, il te sera > redemandé si tu veux accepter cette clé. > > Le strict mode permet d'éviter la substitution de clé par une autre > machine, ce qui est logique. Il me semble que j'avais carrément effacé known_host. Je vais vérifier. Il n'empêche que ça ne m'explique pas ce qui bloquait puisque le protocole 2 était refusé et qu'en fait je n'ai activé le strict mode que sur une seule machine... Sans doute une boulette liée à une tentative ancienne, j'ai retrouvé des choses dans mon /etc/ssh/ssh_config (sur le client) que j'ai enlevé. Régis.
Re: ssh : acces par clef publique
Le lundi 11 avril 2005 à 22:50 +0200, JB - DUF a écrit : > Bonsoir, > > Régis Grison a écrit : > > Bon, je ne comprends plus rien, j'ai réussi à repasser en protocole > > version 2 en ajoutant StrictMode no (encore un truc que j'ai changé sans > > comprendre pourquoi...) et ça a marché, d'un autre côté, sur un autre > > serveur, ça marche en mode 2 en le laissant à yes. > > Cela me paraît bien dangereux pour la sécurité de modifier des > paramètres de ssh "sans comprendre pourquoi". Moi aussi, c'est pour ça que j'ai posté ici. Et puis j'ai fait ça en désespoir de cause et suite à une recherche google. > Voici un lien qui pourrait se révéler utile. > > http://www.lea-linux.org/reseau/secu/ssh.html > > J'y ai moi-même découvert comment marchait ssh (suffisament en tout cas > pour éviter des modif d'options hasardeuses), ce qui m'a aidé à > paramétrer l'accès par clef publique sans changer grand'chose au fichier > de configuration d'origine (comprendre installé par Debian). Hmmm... Il n'y a pas strictmode dedans :( Mais pour le reste, c'est pas mal. Régis.
Re: ssh : acces par clef publique
Régis Grison a écrit : Le lundi 11 avril 2005 à 00:07 +0200, François TOURDE a écrit : Le 12883ième jour après Epoch, Régis Grison écrivait: [...] - Est-ce qu'il y a une façon "propre" de régler ça ? Oui. Comprendre pourquoi ça ne marche pas en essayant de regarder les messages d'erreur. man ssh et option "-v" je crois. Bon, je ne comprends plus rien, j'ai réussi à repasser en protocole version 2 en ajoutant StrictMode no (encore un truc que j'ai changé sans comprendre pourquoi...) et ça a marché, d'un autre côté, sur un autre serveur, ça marche en mode 2 en le laissant à yes. S'il t'a refusé en StrictMode = yes c'est que la clé était _déjà_ dans ton fichier known_hosts avec une identification différente (par ex adresse IP ou CNAME au lieu du hostname). En supprimant cet enregistrement du fichier et relancant la connexion, il te sera redemandé si tu veux accepter cette clé. Le strict mode permet d'éviter la substitution de clé par une autre machine, ce qui est logique. -- Daniel Huhardeaux __ _ _ __ __ __ enum+48 32 285 5276 /_ _// _ // _ //_ _// __ // / iaxtel +1 700 849 6983 / / / // // // / / / / /_/ // / sip:101 h323:121 @voip./_/ //// /_/ /_/ /_//_/.com -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ssh : acces par clef publique
Bonsoir, Régis Grison a écrit : Bon, je ne comprends plus rien, j'ai réussi à repasser en protocole version 2 en ajoutant StrictMode no (encore un truc que j'ai changé sans comprendre pourquoi...) et ça a marché, d'un autre côté, sur un autre serveur, ça marche en mode 2 en le laissant à yes. Cela me paraît bien dangereux pour la sécurité de modifier des paramètres de ssh "sans comprendre pourquoi". Voici un lien qui pourrait se révéler utile. http://www.lea-linux.org/reseau/secu/ssh.html J'y ai moi-même découvert comment marchait ssh (suffisament en tout cas pour éviter des modif d'options hasardeuses), ce qui m'a aidé à paramétrer l'accès par clef publique sans changer grand'chose au fichier de configuration d'origine (comprendre installé par Debian). @+ et courage ;-) JB -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ssh : acces par clef publique
Le lundi 11 avril 2005 à 00:07 +0200, François TOURDE a écrit : > Le 12883ième jour après Epoch, > Régis Grison écrivait: > [...] > > - Est-ce qu'il y a une façon "propre" de régler ça ? > > Oui. Comprendre pourquoi ça ne marche pas en essayant de regarder les > messages d'erreur. man ssh et option "-v" je crois. Bon, je ne comprends plus rien, j'ai réussi à repasser en protocole version 2 en ajoutant StrictMode no (encore un truc que j'ai changé sans comprendre pourquoi...) et ça a marché, d'un autre côté, sur un autre serveur, ça marche en mode 2 en le laissant à yes. J'ai du avoir un truc qui coinçait quelque part et à force d'essais, j'ai du faire quelque chose qui n'allait pas sur ma machine qui bloquait le reste... je suppose... Là tout marche en protocole 2. Merci en tout cas à tout le monde. Régis.
Re: ssh : acces par clef publique
Comput unicum 1113170873 (Mon, 11 Apr 2005 00:07:53 +0200), François TOURDE a écrit : >[...] > Oui. Comprendre pourquoi ça ne marche pas en essayant de regarder les > messages d'erreur. man ssh et option "-v" je crois. Oui, et plus on met de v, plus il est bavard. -- Sylvain Sauvage
Re: ssh : acces par clef publique
Le 12883ième jour après Epoch, Régis Grison écrivait: > En fait, dans son document, il citait le lien > http://cert.in2p3.fr/openssh.html et dedans, j'ai trouvé l'indication > suivante (je précise, ça servira peut-être à quelqu'un) : > > remplacer : ># Protocol 2,1 > par > Protocol 1,2 > > Et c'est tout !!! > > Visiblement le protocol 2 ne voulait pas, le 1 si ! Non. La ligne en question était en commentaire. Ça veut par dire qu'avant il utilisait 2 puis 1. Je n'ai plus en tête la valeur par défaut. Perso, j'ai uniquement: Protocol 2 Et ça marche très bien. > Alors du coup mes questions sont : > - Est-ce que ça craind ? Oui. Si mes souvenirs sont bons, le protocole 1 possède quelques failles. > - Est-ce qu'il y a un risque à privilégier le protocol 1 ? Voir ci-dessus > - Est-ce qu'il y a une façon "propre" de régler ça ? Oui. Comprendre pourquoi ça ne marche pas en essayant de regarder les messages d'erreur. man ssh et option "-v" je crois. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ssh : acces par clef publique
Régis Grison a écrit : J'ai fini par trouver grâce au lien que Troumad m'a envoyé en privé Encore une erreur avec cette liste... :( Il faudra que je m'y (re)fasse à la configuration du champ "répondre à" (je ne sais pas si je peux le publier ici http://troumad.free.fr/Linux/Linux.sxw mais c'est un document sur linux qui m'a l'air (je n'ai que survolé) très bien fait. Merci. C'est un document qui me sert souvent, il est souvent mis à l'épreuve ! En fait, dans son document, il citait le lien http://cert.in2p3.fr/openssh.html et dedans, j'ai trouvé l'indication suivante (je précise, ça servira peut-être à quelqu'un) : remplacer : # Protocol 2,1 par Protocol 1,2 Je ne me souviens pas d'avoir fait une telle manoeuvre ! Il faudra que je refaase un test sous debian (j'avais fait mais tests sous Mandrake). Et c'est tout !!! Visiblement le protocol 2 ne voulait pas, le 1 si ! Alors du coup mes questions sont : - Est-ce que ça craind ? - Est-ce qu'il y a un risque à privilégier le protocol 1 ? - Est-ce qu'il y a une façon "propre" de régler ça ? Régis. -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D maths WEB sectes Pour la liberté http://www.mandrakelinux.com/fr/ http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ssh : acces par clef publique
D'abord merci pour toutes les réponses. Je ne réponds qu'à un message mais je vous ai tous lu et ça m'a aidé. Le dimanche 10 avril 2005 à 15:32 +0200, François TOURDE a écrit : > Le 12883ième jour après Epoch, > Régis Grison écrivait: > > > Bonjour, > > > > J'ai un serveur dédié sous Debian 3.0 chez sivit. > > > > J'ai copié ma clé publique dans ~/.ssh/authorized_keys et > > vérifié /etc/ssh/sshd_config : > > RSAAuthentication yes > > PubkeyAuthentication yes > > > > J'ai suivi des docs, j'ai même utilisé un script pour générer et > > installer la clé (avec passphrase vide), rien à faire. Ca me demande > > toujours le mot de passe et si jamais je mets "PasswordAuthentication > > no", je ne peux plus me connecter du tout. > > > > Quelqu'un l'a déjà fait ? Quelqu'un a une piste ? > > Oui. Quels messages d'erreur lors d'une tentative de cnx avec > "PasswordAuthentication no" ?? > > Ta clef publique est bien sur une seule ligne sur le serveur ? > > Le répertoire .ssh est-il bien en mode 700 ? > > Tu as bien "ChallengeResponseAuthentication no" dans la config serveur > ? J'ai ajouté le Challenge... mais ça n'a rien changé. J'ai fini par trouver grâce au lien que Troumad m'a envoyé en privé (je ne sais pas si je peux le publier ici mais c'est un document sur linux qui m'a l'air (je n'ai que survolé) très bien fait. En fait, dans son document, il citait le lien http://cert.in2p3.fr/openssh.html et dedans, j'ai trouvé l'indication suivante (je précise, ça servira peut-être à quelqu'un) : remplacer : # Protocol 2,1 par Protocol 1,2 Et c'est tout !!! Visiblement le protocol 2 ne voulait pas, le 1 si ! Alors du coup mes questions sont : - Est-ce que ça craind ? - Est-ce qu'il y a un risque à privilégier le protocol 1 ? - Est-ce qu'il y a une façon "propre" de régler ça ? Régis.
Re: ssh : acces par clef publique
Le 12883ième jour après Epoch, Régis Grison écrivait: > Bonjour, > > J'ai un serveur dédié sous Debian 3.0 chez sivit. > > J'ai copié ma clé publique dans ~/.ssh/authorized_keys et > vérifié /etc/ssh/sshd_config : > RSAAuthentication yes > PubkeyAuthentication yes > > J'ai suivi des docs, j'ai même utilisé un script pour générer et > installer la clé (avec passphrase vide), rien à faire. Ca me demande > toujours le mot de passe et si jamais je mets "PasswordAuthentication > no", je ne peux plus me connecter du tout. > > Quelqu'un l'a déjà fait ? Quelqu'un a une piste ? Oui. Quels messages d'erreur lors d'une tentative de cnx avec "PasswordAuthentication no" ?? Ta clef publique est bien sur une seule ligne sur le serveur ? Le répertoire .ssh est-il bien en mode 700 ? Tu as bien "ChallengeResponseAuthentication no" dans la config serveur ? Voilà ... -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ssh : acces par clef publique
Régis Grison a écrit : >> Bonjour, >> >> J'ai un serveur dédié sous Debian 3.0 chez sivit. >> >> J'ai copié ma clé publique dans ~/.ssh/authorized_keys et >> vérifié /etc/ssh/sshd_config : >> RSAAuthentication yes >> PubkeyAuthentication yes >> >> J'ai suivi des docs, j'ai même utilisé un script pour générer et >> installer la clé (avec passphrase vide), rien à faire. Ca me demande >> toujours le mot de passe et si jamais je mets "PasswordAuthentication >> no", je ne peux plus me connecter du tout. >> >> Quelqu'un l'a déjà fait ? Oui >> Quelqu'un a une piste ? As-tu copié ta clé privée dans le fichier ~/.ssh/id_rsa sur ton poste client? >> >> Merci d'avance. Si ça peut t'aider >> >> Régis. Olivier
ssh : acces par clef publique
Bonjour, J'ai un serveur dédié sous Debian 3.0 chez sivit. J'ai copié ma clé publique dans ~/.ssh/authorized_keys et vérifié /etc/ssh/sshd_config : RSAAuthentication yes PubkeyAuthentication yes J'ai suivi des docs, j'ai même utilisé un script pour générer et installer la clé (avec passphrase vide), rien à faire. Ca me demande toujours le mot de passe et si jamais je mets "PasswordAuthentication no", je ne peux plus me connecter du tout. Quelqu'un l'a déjà fait ? Quelqu'un a une piste ? Merci d'avance. Régis.