Salut,

Fichier /etc/ssh/sshd_config modifié en local et distant.

[code]cat /etc/ssh/sshd_config

…

HostKeys for protocol version 2

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

…

Lifetime and size of ephemeral version 1 server key

KeyRegenerationInterval 3600

ServerKeyBits 16384

…

AuthorizedKeysFile %h/.ssh/authorized_keys

…

Authentication:

LoginGraceTime 2
PermitRootLogin no
PermitRootLogin without-password
#StrictModes yes
[/code]

[code]loreleil@machine1:~/.ssh$ time ssh-keygen -b echo $[1024*16]
Generating public/private rsa key pair.
Enter file in which to save the key (/home/loreleil/.ssh/id_rsa): /home/loreleil/.ssh/id_rsa3
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/loreleil/.ssh/id_rsa3.
Your public key has been saved in /home/loreleil/.ssh/id_rsa3.pub.
The key fingerprint is:
x:x:x:x:x:x:x:x:x:x:x:x:x:x:x:x loreleil@machine1
The key’s randomart image is:
±-[ RSA 16384]—+
| .=. |
| B . |
| =… |
| o .oo |
| S…+.+ . |
| ++…o . |
| +.o |
| + E |
| +. |
±----------------+

real 25m14.138s
user 1m20.001s
sys 0m0.436s
loreleil@machine1:~/.ssh$
[/code]

J’ai copier cet clés (RSA 16384) /home/loreleil/.ssh/id_rsa3.pub vers ovh /home/mon_user/.ssh/authorized_keys.

J’ai commenté les clés précédentes (rsa et dsa d’1kbit seulement, dsa qui sera supprimer définitivement par la suite).

Suivit d’un service ssh restart de part et d’autre.

J’ai actuellement deux consoles en ssh. Une en root, l’autre mon_user.

Pas de reboot pour l’instant.

Cependant, ouverture d’une troisième console ssh, et …

loreleil@machine1:~$ ssh -l mon_user x.x.x.x Permission denied (publickey). loreleil@machine1:~$

Pour l’heure les deux premières consoles (ssh) sont toujours actives.

Par défaut, SSH utilise id_rsa, il peut pas deviner tout seul que tu veux utiliser id_rsa3.

$ ssh -i ~/.ssh/id_rsa3 mon_user@x.x.x.x

Accessoirement, je trouve que la syntaxe ssh user@host est plus claire que ssh -l user host, mais bon c’est une question de goût j’imagine.

Sinon, juste en passant : ServerKeyBits dans sshd_config ne sert que pour le protocole SSH v1 qui est normalement désactivé (directive Protocol 2 du même fichier).

Que dire de plus …

[code]loreleil@machine1:~$ ssh -i /home/loreleil/.ssh/id_rsa3 mon_user@x.x.x.x
Linux ksxxxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x
hostname : ksxxxxxx.kimsufi.com

Last login: Wed Mar 7 18:16:20 2012 from alille-x-x-x-x.x.x.wanadoo.fr
Linux ksxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x
hostname : ksxxx.kimsufi.com

mon_user@ksxxxxxxx:~$

mon_user@ksxxxxx:~$ su -
Mot de passe :
root@ksxxx:~#
[/code]

Merci syam … une fois n’est pas coutume …

ps: avant la fée du sommeil, je lancerai une 32kbit …

Salut,

C’est fait …

[code]Generating public/private rsa key pair.
Enter file in which to save the key (/home/loreleil/.ssh/id_rsa): /home/loreleil/.ssh/id_rsa1
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/loreleil/.ssh/id_rsa1.
Your public key has been saved in /home/loreleil/.ssh/id_rsa1.pub.

…

The key’s randomart image is:
±-[ RSA 32768]—+
| . . |
| . o = |
| + * . |
| o * . |
| S o * . |
| . + * o |
| B * |
| + o . |
| E |
±----------------+

real 530m10.278s
user 151m8.195s
sys 0m30.434s
[/code]

Bizarrement ssh me la refuse.

:~$ ssh -i /home/loreleil/.ssh/id_rsa1 mon_user@x.x.x.x
J’ai viré (local/distant) /…/…/… ServerKeyBits 16384

Restart des deux côtés. Pas mieux.

J’ai mis (local/distant) /…/…/… ServerKeyBits 32768

Restart, pas mieux …

Incompatibilité ?

Je t’ai dit : ServerKeyBits ne sert que pour le protocole SSH v1, qui est normalement désactivé. Et de toutes façons ça ne concerne pas les clés client mais les clés serveur éphémères, et c’est limité à 1024 bits (man sshd_config).

Concernant ton problème de connexion : bien entendu tu as rajouté ta clé publique dans authorized_keys sur le serveur ?

[quote=“syam”]Je t’ai dit : ServerKeyBits ne sert que pour le protocole SSH v1, qui est normalement désactivé. Et de toutes façons ça ne concerne pas les clés client mais les clés serveur éphémères, et c’est limité à 1024 bits (man sshd_config).
[/quote]
Je sais bien, je n’ai pas déjà oublié syam … j’ai essayé …

Bien sur!

loreleil@machine1:~$ ssh -i /home/loreleil/.ssh/id_rsa1 mon_user@x.x.x.x Permission denied (publickey). loreleil@machine1:~$
J’ai tenté également en commentant id_rsa3 (la seule présente avec id_rsa1) et restart local/distant.

Sur ma testing, impossible de générer des clés supérieures à 16 kbits :

$ ssh-keygen -t rsa1 -b 32768 key bits exceeds maximum 16384 $ ssh-keygen -t rsa -b 32768 key bits exceeds maximum 16384 $ ssh-keygen -t dsa -b 32768 key bits exceeds maximum 10000 $ ssh-keygen -t ecdsa -b 32768 key bits exceeds maximum 16384
Est-ce que ça aurait pas un rapport ?
Je me souviens avoir lancé un ssh-keygen de 32 kbits il y a un moment (ça devait être sur Squeeze ou Lenny) mais je ne l’avais pas laissé aller jusqu’au bout (10h+ ça m’avait soûlé) donc en réalité j’ai jamais eu l’occasion de tester. Clairement, ce n’est plus possible de générer ce genre de clé avec un OpenSSH récent, il doit y avoir une bonne raison pour qu’ils l’aient bridé.

C’est juste, et ces à partir de ce post que j’en suis arrivé là …

[quote=“syam”][quote=“dric64”]Il te met combien de temps pour générer une clefs de 16k ?
Moi j’ai essayé, je me suis demandé s’il finirait un jour… J’ai annulé et créé une clef 8K à la place… (sur un core2duo 2.1Ghz)[/quote]
Honnêtement, je ne sais pas.
A l’époque j’avais fait ça sur un 3GHz : j’avais essayé une clé 32kbit (le maximum possible), j’étais parti faire un tour, revenu genre 4h plus tard et c’était pas fini.
Du coup j’avais arrêté la génération, lancé une clé 16kbit, et suis allé me coucher. Au matin c’était fini (heureusement !).

Précis comme information, n’est-ce pas ? [/quote]

[quote=“syam”]Sur ma testing, impossible de générer des clés supérieures à 16 kbits :
…
Est-ce que ça aurait pas un rapport ?
…
Clairement, ce n’est plus possible de générer ce genre de clé avec un OpenSSH récent, il doit y avoir une bonne raison pour qu’ils l’aient bridé. [/quote]

Quel est la valeur maxi que tu puisses générer en testing ? Le sais tu ?

* edit *

[quote=“syam”]Sur ma testing, impossible de générer des clés supérieures à 16 kbits :
…[/quote]

Bon ben sinon, je verrai pour créer des clès inférieur en kbit, et constater celle (maxi) qui sera accepter par OpenSSH.

Te tiendrai au jus …

[quote=“syam”]…
Clairement, ce n’est plus possible de générer ce genre de clé avec un OpenSSH récent, il doit y avoir une bonne raison pour qu’ils l’aient bridé. [/quote]

Lois fédérales US ?

C’est pas impossible. Mais vu que la clé 32 kbits de loreleil semble ne pas être acceptée par le serveur (stable lui aussi je présume) si ça se trouve c’est juste une raison technique, va savoir… J’ai cherché dans les bugs et dans les changelogs mais j’ai rien trouvé à ce sujet.

C’est pas impossible. Mais vu que la clé 32 kbits de loreleil semble ne pas être acceptée par le serveur (stable lui aussi je présume) si ça se trouve c’est juste une raison technique, va savoir… J’ai cherché dans les bugs et dans les changelogs mais j’ai rien trouvé à ce sujet.[/quote]

Oui je tourne en Squeeze.

À mon sens, nous sommes belle et bien limités à 16kbit.

• Pour mon_user.

Dans un premier j’avais crée une clés de 25kbit id_rsa4, échec.

Puis une de 17kbit id_rsa5 échec.

Une nouvelle clés en 16kbit id_rsa6, Succès!

• Pour root.

Une de 17kbit id_rsa, échec!

Une de 16kbit id_rsa1, Succès!

Voilà les dès sont jetés …

Si quelqu’un pouvait essayer également, disons avec une clés de 17kbit, histoire de confirmer …

Salut,

au fait, l’un(e) d’entre vous aurais t’il (t’elle) généré une clés (sous Squeeze) supérieur à 16kbit ?

Juste histoire de confirmer

Dernier appel à contribution …

Après cela, je laisse ce fil couler dans les méandres SD …