Openssh-server kex_exchange_identification: read: Connection reset by peer

Bonjour,

Depuis le passage avec Trixie, j’ai systématiquement une erreur de connexion sur toutes mes machines à destination de toutes les machines depuis le passage sous Trixie, alors que mes configuration marchaient très bien depuis des années.

Il semble que dans Trixie il y ait eu une modification d’importance.

(et non rien à voir avec hosts.allow ou hosts.deny qui sont vides).
J’ai configuré mon réseau en exception avec l’option
PerSourcePenaltyExemptList <mon-reseau-en-CIDR>

Dans la connexion l’erreur est:
kex_exchange_identification: read: Connection reset by peer

Dans les logs du serveur:
fatal: rexec of /usr/lib/openssh/sshd-session failed: Permission denied

j’ai trouvé, c’est apparmor qui bloque sshd-session.

Ne reste plus qu’à modifier la configuration de apparmor.

Comme solution:

cp /usr/share/apparmor/extra-profiles/usr.sbin.sshd /etc/apparmor.d/
aa-complain /usr/sbin/sshd

Si on veut garder en mode enforce, il faut modifier le profile; peut-être avec quelque chose du genre:

/usr/lib/openssh/sshd-session PUxr,
/usr/lib/openssh/sshd-session-cleanup PUxr,

Mais je ne suis pas certain de la qualité de la règle.

Bonjour @zargos,
Dès la lecture du premier paragraphe, j’ai pensé à ssh. Ce que semble confirmer les dernières lignes de votre message.
Par expérience, les différences de versions d’OpenSSH peuvent nécessiter de régénérer les clefs à partir de la version la plus récente.
J"envisage d’installer prochainement Trixie sur une VM et j’en profiterai pour faire des essais avec OpenSSH.

Comme c’est une installation nouvelle, les clefs sont regénérées de facto.
Après avoir cherché sur le net, il apparait quye la novuelle version d’OpenSSH inclu les paramètres de penalité. je n’ai pas pu encore regarder de près ce que cela implique, mais j’ai pu utiliser l’option qui permet d’exempter mon réseau local. Mais pour les accès non locaux ça reste encore un problème.

Pour ssh-session c’était du à apparmor et le problème est réglé.