Fichier SSH tout commenté

Support Debian
#1

Bonjour,

j’ai fait une grosse bêtise,

J’ai installé un Debian entre midi et deux à la maison sur mon raspberry et impossible de my connecté en SSH,

Quand j’ai édité le fichier config SSH, toutes les lignes étaient commentées.

j’ai modifié des valeurs sans sauvegarde le fichier d’origine et sa ne fonctionne toujours pas,

Comment je pourrais retrouver mon fichier d’origine ?
Quelle ligne je dois dé commenté pour me connecter à distance en SSH sur mon RASPBERRY pour le configuré avec putty ?

Sur tout les tutoriel sur internet il disent simplement faut faire un apt-get install ssh ou openssh-server et rien d’autre,

suis bloqué, pouvez vous m’aidé ?

#2

Pour être sûr pourrait-on avoir le chemin complet de ce que vous appelez le fichier config SSH ?

Présentement, vous l’avez puisque que vous n’avez pas sauvegardé les modifications. Quel éditeur utilisez-vous ?

Aucune, chez Debian on ne fait pas les choses à moitié, si il n’y a pas besoin de configuration spécifique du genre

dpkg-reconfigure openssh-server

cette étape est omise.
Puisque vous semblez vouloir bricoler avec putty (je suppose sous windows ) je vous laisse chercher par vous-même comment avoir un mode verbeux et trouver où se trouvent les journaux. Autrement dit, avoir l’équivalent de la sortie de

ssh -v -v user@raspi

Sans plus d’informations, il est impossible de vous aider.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Un ordinateur c’est comme un frigo : on le branche et ça marche. »
Laurent Serano Directeur informatique, réunion Délégués du Personnel 2010

#3

Je tourne beaucoup sur Windows, c’est pour cella que j’utilise putty.

Le fichier de config ; /etc/ssh/sshd_config et je l’edite avec VIM.

j’ai réusit à rétrouvé mon fichier config d’origine lais toute mes ligne nont mrécédé d’un #

ex : # port 22

#4

Il n’y a pas que putty comme client ssh sous Windows.
D’abord plink (nom de la commande ssh) dans le paquet putty (cette manie de nommer différemment les commandes et options scp -> pscp ssh-ageant -> pageant cela devient un peu pénible )
Ensuite, avec WSL ou WSL 2 (Windows subsystem Linux ) cela m’étonnerait qu’il n’y ait pas de paquet openssh-client
Sinon, en installant certains paquets de logiciels libres vous avez une commande ssh incluse, par exemple dans Git+Bash aka git for windows.
nous attendons la sortie complète de

ssh -v -v user@raspy

avec user := root bien entendu

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

Computers are like air conditioners. Both stop working, if you open windows.
– Adam Heath

#5

du coups j’ai réinstallé un autre linux sur une VM etsa fonctionne correctement,

Du fait de retrouvé toute les lignes commenté sur mon raspberry dans le fichier CONFIG SSH je me dit que ca doit venir de la.

J’ai ouvert tout les port avec iptable et le problème et identique,

ce que je vais faire ce doir, c’est copier le fichier config d’un de mes autres RASPBERRY et le remplacé, mais j’aurais aimé trouvé que décomenté, et je ne peux pas vous faire de capture d’écran car je bosse sur la console en direct car je n’arrive pas à le prendre sur le SSH

#6

Le port et commenté, le mode d’authentification et commenté, tout tout tout,

#7

Ce qui ne veut strictement rien dire.
Comme vous semblez avoir accès à un autre système Linux, pourriez-vous au moins nous donnez les retours des commandes suivantes depuis ce système (un copier/coller complet pas un bla-bla sur un hypothétique fichier soi-disant nommé CONFIG.SSH on ne sait où )

lsb_release -a
ssh-add -l
id
getent hosts RASPI
ssh -v -v user@RASPI  id

Au lieu de vous focaliser sur cet aspect (qui est en fait une manière de documenter les paramètres de configuration), répondez aux questions et décrivez la configuration du réseau dans lequel se trouve ce serveur SSH.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Ce que l’on conçoit bien s’énonce clairement,
Et les mots pour le dire arrivent aisément. »
Boileau De L’Art poétique (Chant I)

#8

Effectivement, tu as raison, sur mon nouveaux linux j’ai aussi les ligne commenté mais j’arrive à m’y connecté dessus,

voici le retour des commande depuis un autre linux,

root@debian03:/home/addddministrateur# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 9.9 (stretch)
Release: 9.9
Codename: stretch

root@debian03:/home/addddministrateur# ssh-add -l

Could not open a connection to your authentication agent.

root@debian03:/home/addddministrateur# id
uid=0(root) gid=0(root) groupes=0(root)

root@debian03:/home/addddministrateur# ssh -v -v root@192.168.0.127 id
OpenSSH_7.4p1 Debian-10+deb9u6, OpenSSL 1.0.2r 26 Feb 2019
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: resolving “192.168.0.127” port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to 192.168.0.127 [192.168.0.127] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u6
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Raspb ian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Raspbian-10+deb9u6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 192.168.0.127:22 as ‘root’
debug1: SSH2_MSG_KEXINIT sent
Connection reset by 192.168.0.127 port 22

#9

Donc sa veux dire que le SSh fonctionne mais qu’il faut une authentification par certificat ? je me trompe ?
Si oui, comment faire pour m’authentifier par utilisateur et mot de passe car j’ai vu que le ROOT été bloqué ?

Si je prend un fichier config d’un de mes linux qui marche (En tant que solution désespéré), sa peut fonctionné ou pas ?

#10

Oui et non :persevere: Cela signifie que le serveur sshd fonctionne bien et écoute sur le port par défaut (22). Mais aussi que mes yeux fatigués m’ont encore joué un tour, lorsque dans le message 4 j’écrivais

je voulais écrire
avec user != root (différent de root)
Ceci étant, depuis le temps que vous consultez le fichier de configuration il ne vous pas échappé qu’outre de nombreux commentaires qui documentent les paramétrage avant une ligne de la forme

# param = default

il y a un paramètre PermitRootLogin qui apparaît deux fois dans les commentaires. Ce paramètre est bien avec sa valeur par défaut, mais le commentaire fait allusion à un autre paramètre ( UsePAM ) qui lui, est positionné à yes sur les systèmes Debian. Pour comprendre les valeurs possibles des paramètres et leur interaction il faut lire

man sshd_config

simultanément à l’édition du fichier /etc/ssh/sshd_config .
Pour la faire courte, sur un système Debian le serveur sshd est tel qu’on ne peut pas se connecter sur root@serveur avec un simple mot de passe.

Ce n’est pas simple, c’est en anglais très technique. Dans un tel cas, j’ai plutôt tendance à suivre une démarche de bon sens. Dans le cas de ssh le premier s signifie secure donc une attention particulière pour le compte root et interdiction de se connecter via un mot de passe (méthode susceptible aux attaques par dictionnaire).

D’abord, on arrête d’utiliser le compte root pour un oui ou pour un non.
On s’authentifie avec un compte ordinaire et on utilise sudo. Je ne sais pas si vous avez installé sudo sur le raspi (et défini un compte ordinaire) mais je suppose qu’au moins cela a été fait sur debian03.

Connectez-vous comme simple utilisateur, et arrêtez la fixette sur un soi-disant fichier de configuration qui marche.

#  sur debian03, compte ordinaire
cd /tmp
scp user@192.168.0.127:/etc/ssh/sshd_config  /tmp
diff -u /etc/ssh/sshd_config  /tmp

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Avant donc que d’écrire, apprenez à penser »
Boileau De L’Art poétique (Chant I)

#11

Je n’arrive toujours pas à me connecté, je vais laisser tombé tant pis

PuTTY Fatal Error

Network error: Network error: Software caused connection abort

OK

tu as raison pour le fichier config, mème si je le change le fichier config sa marche pas, ça pas, sa devient trop compliqué et sur GOOOGLE tout le monde parle d’anciennement version mais sa ne marche pas sur mon linux.

#12

J’ai une piste
les fichioer suivant : Backup CRT_RASP moduli ssh_config sshd_config

Font 0ko donc il faut que je génère mes certificat

#13

Sur mon serveur Domotique, j’ai installé SAMBA pour transféré mes fichier config depuis Windows car le SSH sa ne fonctionné pas, mais j’ai besoin d’exécuté des ligne de code pour activer les module prise de courant donc il me faut le SSH

si depuis une autre machine, je créer mes certificat SSH et que je les transfère sur mon raspberry, sa peut fonctionné ?

#14

Bon prends se fichier de conf, renomme en .bak l’actuelle :

Mise à part quelques trucs modifié il devrait être passe partout.
Pour ce qui est de la connexion via certificat, si tu n’a plus le certificat il me semble logique que tu ré upload un nouveau certificat (pareil pour la gestion par de l’authentification par clé).

Tout de même la relecture du fichier de conf même avec l’intégralité de son contenu commenté n’est pas si compliqué à déchiffrer pour quelqu’un aqui fréquente ce forum depuis aussi longtemps que toi, et l’ensemble des gestion de la configuration d’un serveur ssh est largement documenté sur le net …

#       $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 3
MaxSessions 4

PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
AuthorizedKeysFile      .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
UseDNS no
PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server

Si tu n’a pas d’utilisateur créer sur la machine n’oublie pas de placé le PermitRootLogin à yes
Si tu veux couper la gestion de l’authentification par certificat il te suffit de commenter/re commenter les lignes avec HostKey.