Faut il ouvrir le port 11371 pour l'obtention de clé .. ?

Support Debian
#1

Bien le bonsoir chez vous … :006

Pourquoi cette question … ?

Tout simplement le fait que ce soit la galère pour obtenir une clé. Ceci malgré de nombreuses tentatives divers.

Comme celles-ci :

subkeys.pgp.net
pool.sks-keyservers.net
pgp.mit.edu
search.keyserver.net[/code]
Qui en retour me donne le même refrain.
[code]loreleil@Debian-pc-1:~$ apt-key adv --recv-keys --keyserver search.keyserver.net EC0FC7E8                                                                                           
Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver search.keyserver.net EC0FC7E8                                                                                                                          
gpg: requête de la clé EC0FC7E8 du serveur hkp search.keyserver.net                                                                                                                 
?: search.keyserver.net: Connection timed out                                                                                                                                       
gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out                                                                                                                 
gpg: aucune donnée OpenPGP valide n'a été trouvée.                                                                                                                                  
gpg:        Quantité totale traitée: 0                                                                                                                                              
loreleil@Debian-pc-1:~$                                                                                                   [/code]
[code]loreleil@Debian-pc-1:~$ apt-key adv --recv-keys --keyserver  pgp.mit.edu EC0FC7E8
Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --primary-keyring /etc/apt.gpg --recv-keys --keyserver pgp.mit.edu EC0FC7E8
gpg: requête de la clé EC0FC7E8 du serveur hkp pgp.mit.edu
?: pgp.mit.edu: Connection timed out
gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out
gpg: aucune donnée OpenPGP valide n'a été trouvée.
gpg:        Quantité totale traitée: 0
loreleil@Debian-pc-1:~$

loreleil@Debian-pc-1:~$ apt-key adv --recv-keys --keyserver search.keyserver.net EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --primary-keyring /etc/apt.gpg --recv-keys --keyserver search.keyserver.net EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp search.keyserver.net ?: search.keyserver.net: Connection timed out gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 loreleil@Debian-pc-1:~$
Etc … je crois avoir fait le tour des possibilités … sur le site de korben, également.

Cette situation est valable pour la diffusons de ma clé publique sur ces divers maîtres des clés. :mrgreen:

Mes recherches me laisse à penser que la diffusion de clé ce fait par le port 11371.

Est ce exacte … ?

Ai-je bien compris … ? :think:

Faut il ouvrir le port 11371 … ? :017

Comment remédier à ce souci … ?

Merci … :wink:

#2

Re,

[code]loreleil@Debian-pc-1:~$ less /etc/services

hkp 11371/tcp # OpenPGP HTTP Keyserver
hkp 11371/udp # OpenPGP HTTP Keyserver
[/code]

#3

Je suis pas sûr que ça concerne la partie client du service de clé: ça me semble être le port sur lequel écoute un keyserver.
Le message suggère plus un problême sur une requète http.

Mais bon, je n’en sais pas plus.

#4

Moi j’ai du l’ouvrir, sinon la récupération de clefs ne marchait pas (car mes règles par défaut sur la chaine OUTPUT sont à DROP ):

iptables -A OUTPUT -o $1 -m state --state NEW -p tcp --dport 11371 -j ACCEPT

Bien sur, si le OUTPUT est à ACCEPT par défaut, ce qui doit être le cas pour bcp de monde sur un PC (on bloque souvent surtout le trafic entrant sans se soucier du trafic sortant), alors pas besoin…

#5

dric64,

Ceci semblerait peut être si ce n’est confirmé tout au moins aller dans ce sens.

[quote=“System-Linux.eu”]
system-linux.eu/index.php?po … -via-GnuPG
Diffusons la clé publique :
A quoi ça sert d’avoir une clé publique si personne ne la connait ? Pour cela gpg dispose de son propre protocole (utilisant le port 11371) pour envoyer la clé vers un serveur de clé et il en existe quelques un assez référent en la matière :

* subkeys.pgp.net
* pool.sks-keyservers.net
* pgp.mit.edu
* search.keyserver.net
* ...

Je ne connais pas les détails mais ils semblent se partager les clés entre eux.[/quote]

Toutefois cette régle serait à établir selon les besoins … ? utilisation temporaire … ? définitive …?

iptables -A OUTPUT -o $1 -m state --state NEW -p tcp --dport 11371 -j ACCEPT

Dans quel cas je dois revoir également la configuration de “shorewall” … ça… ! c’est pas gagné d’avance… :12

#6

Moi je l’ai mise dans mon script, comme règle définitive. C’est une règle en output, le port et le protocole sont fixés, je ne vois pas de danger à la laisser.

#7

Salut,

N’étant pas un pro dans la construction de règle iptables je m’en retourne vers toi car j’ai rentré cette commande, qui me dit:

root@Debian-pc-1:/home/loreleil# iptables -A OUTPUT -o $1 -m state --state NEW -p tcp --dport 11371 -j ACCEPT Bad argument `state' Try `iptables -h' or 'iptables --help' for more information. root@Debian-pc-1:/home/loreleil#
J’ai jeter un œil sur iptables --help sans conviction … :116 je ne sais interprété ces infos … :12 … peut tu m’aider sur ce coup s’il te plaît. :wink:

#8

Si tu remplaçais $1 par le nom de ton interface de sortie, peut être que ça fonctionnerait mieux ?

#9

Salut à toi mattotop,

Ben c’est vrai … :blush: … j’ai pas trop réfléchit … voir pas du tout sur ce coup.

j’avais tout de même tiquer sur ce symbole $ … :017

Merci … :wink::blush::arrow_right:

#10

Oui pardon, c’est la règle de mon script network-manager, je l’ai copié telle quelle, le $1 c’est bien l’interface :confused:

Mais ca suffira peut etre pas… Il faudra peut être autoriser le trafic en retour du serveur de clef, si tes règles INPUT sont fixées par defaut à DROP (soit en rajoutant une règle qui autorise le trafic entrant dont le port source est le 11371 - pas bien - soit en mettant des règles de suivi de connexion en place - mieux)

#11

Re,

@ dric64 … :naughty: … non non … tu n’est pas en cause, aucun reproche, … le boubourse … c’est moi. :005

Bien, ma foi ce problème récurrent persiste et signe … mais pas ma clé. … :mrgreen::013

iptables -A OUTPUT -o eth0 -m state --state NEW -p tcp --dport 11371 -j ACCEPT

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver hkp keyserver.ubuntu.com EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver hkp keyserver.ubuntu.com EC0FC7E8 gpg: « keyserver.ubuntu.com » n'est pas une ID de clé: ignoré gpg: requête de la clé EC0FC7E8 du serveur hkp hkp ?: hkp: Host not found gpgkeys: HTTP fetch error 7: couldn't connect: No such file or directory gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil#

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver pool.sks-keyservers.net EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver pool.sks-keyservers.net EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp pool.sks-keyservers.net ?: pool.sks-keyservers.net: Connection timed out gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil#

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver keys.gnupg.net EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver keys.gnupg.net EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp keys.gnupg.net ?: keys.gnupg.net: Connection timed out gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil#

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver pgp.mit.edu EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver pgp.mit.edu EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp pgp.mit.edu ?: pgp.mit.edu: Connection timed out gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil#

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver subkeys.pgp.net EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver subkeys.pgp.net EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp subkeys.pgp.net ?: subkeys.pgp.net: Connection timed out gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil#

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver keys.nayr.net EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver keys.nayr.net EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp keys.nayr.net ?: keys.nayr.net: Connection timed out gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil#

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver wwwkeys.fr.pgp EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver wwwkeys.fr.pgp EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp wwwkeys.fr.pgp ?: wwwkeys.fr.pgp: Host not found gpgkeys: HTTP fetch error 7: couldn't connect: No such file or directory gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil# :118:017

Est ce une situation systématique pour obtenir une clé qui ne fait pas parti des paquets Debian à proprement dit … ?

[quote][parenthèse

Dans ce cas de figure cette clé EC0FC7E8 est celle de “seeks” sous (sous licence AGPL > gnu.org/licenses/agpl-3.0.html )

sourceforge.net/projects/seeks/files/

sourceforge.net/projects/seeks/f … z/download

launchpad.net/~theli48/+archive/seeks

seeks-project.info/site/

seeks-project.info/wiki/inde … eeks_nodes

seeks-project.info/wiki/inde … eks_On_Web

/parenthèse][/quote]

J’aimerai bien comprendre cette situation … :017 que ce soit “seeks” ou tout autre paquet.

Comment y remédier … ?

Merci… :wink:

#12

euh, puisque tu suggères que tu pourrais être trés boulet sur cette affaire, que donne:

tout bêtement sans le hkp que tu met partout et qui ne me semble pas à sa place ?

#13

Re,

Boulet … boulet je crois pas moi … :12

root@Debian-pc-1:/home/loreleil# apt-key adv --recv-keys --keyserver keyserver.ubuntu.com EC0FC7E8 Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --recv-keys --keyserver keyserver.ubuntu.com EC0FC7E8 gpg: requête de la clé EC0FC7E8 du serveur hkp keyserver.ubuntu.com ?: keyserver.ubuntu.com: Connection timed out gpgkeys: HTTP fetch error 7: couldn't connect: Connection timed out gpg: aucune donnée OpenPGP valide n'a été trouvée. gpg: Quantité totale traitée: 0 root@Debian-pc-1:/home/loreleil#
C’est la première à avoir était lancé durant plusieurs jours à divers horaires… :017

#14

T’as regardé si le trafic en retour de la requête est autorisé, au niveau des règles du pare feu ?

#15

Re,

Est ce à cette commande que tu fait référence … suis pas sur d’avoir compris :017

watch ifconfig
#16

Non, avec la règle que je t’ai donné, tu autorises le trafic en direction du port 11371 à sortir de ton interface et à arriver jusqu’au le serveur distant.
Le serveur distant traite la requête, et va répondre à ton ordi (lui envoyer la clef en gros), mais si ton pare feu refuse ce trafic en retour venant du serveur, alors tu as toujours le même problème.

Donc faut soit mettre en place le suivi de connexion qui dit :
J’autorise systématiquement le trafic en retour d’une connexion qui a déjà été autorisée

Soit créer une règle qui autorise le trafic entrant dont le port source est le 11371 (mais c’est moins bien comme solution)

Mais comme tu as deja shorewall qui tourne, je sais pas si rentrer des règles à la main depuis la console va bien fonctionner…

#17

Re,

@ dric64 … :wink:

Effectivement j’ai quelques souci pour implanter cette règle ici :

iptables-shorewall-qui-est-maitre-qui-est-l-esclave-t31773.html#p320844

A moins que tu n’est déjà vu le sujet … :083 je crois bien que oui …il me semble pas avoir fait référence sur ce post à “Shorewall” … ? :017

Je vais devoir remonter les manches … attention au cambouis … :118

#18

Ouaip je l’ai vu :114
Mais j’ai pas tout lu :blush:

#19

Re,

J’me disais aussi … pas d’allusion à “Shorewall” sur ce post … :wink:

Puisque tu a fait allusion à celui-ci … le connaît tu … ?

Dans quel cas que pense tu de cette règle à poser dans “Shorewall” … :017

ACCEPT          net             $FW       tcp     11371
#20

non, je le connais pas… :confused: