[resolu] ssh: creation de clés

Support Debian
#1

Bonjour,
Je veut me connecter à mon serveur depuis un PC distant par ssh en utilisant les clés. Je ne veut pas de passphrase.
Pour cela, je commence pas faire
ssh-heygen -t dsa

Et là, j’obtiens ca:
[

j’utilise cygwin car il s’agit d’un poste sous windows.
Je suppose qe c’est a cause de ca que ce pc se fait jeter par le serveur des qu’il tente une connexion par clé…
Je suis le tuto de fran.b.

Je ne sais pas pourquoi j’obtiens cette erreur…
Merci
A+
dupdup17

#2

$ mkdir ~/.ssh

non?

#3

[quote=“fran.b”]$ mkdir ~/.ssh
[/quote]

Déja fait :frowning:

#4

Que donnes un touch ~/.ssh/labas ???

#5

Aucun resultat à la commande, et aucun changement sur la creation des clés.

A+

#6

Que donne

$ ssh-keygen -t dsa -f maclef

?

#7

Alors, apparement ca crée la clé (les labas.pub sont bien crées), mais en voulant copier vers les authorized_keys du serveur, je me suis apercu que cela etait crée dans le ~/
Donc j’ai déplacé dans .ssh, rajouté tout ca dans mon authorized_keys, et là j’obtiens:

Pourtant, le labas.pub est bien correct dans le ~/.ssh/known_hosts du serveur.

Voici mon sshd_config sur le serv:

#8

As tu mis des droits 600 sur ce fichier?

#9

Oui, chmod600 puis restart de ssh.

#10

Essaye en mettant les permissions 644…

#11

Ne change rien, même apres restart de ssh.

#12

Oui, je commence à sécher, c’est quand même bizarre. Tu n’as même pas d’invite de mot de passe (c’est ce qui se passe quand l’authentification par clef échoue…)

  1. Vérifie bien que tu es en même version SSH des deux cotés.

  2. Que te donnes sur le serveur

$ grep sshd /var/log/auth.log

#13

v Oct 7 10:52:14 localhost sshd[6404]: reverse mapping checking getaddrinfo for l **-bzn-51f-62-**-**-69.adsl.proxad.net failed - POSSIBLE BREAK-IN ATTEMPT! Oct 7 10:52:43 localhost sshd[6406]: reverse mapping checking getaddrinfo for l **-bzn-51f-62-**-**-69.adsl.proxad.net failed - POSSIBLE BREAK-IN ATTEMPT!
A savoir que:
l’adresse 62...69 est l’adresse IP du poste (en même celle du serveur qui est chez moi pour le moment, mais ca ne marche quand même pas sur une autre IP) et la 192.168.2.11 est celle ou je me connecte par password.

Alors la ssh du serveur:

ssh -v OpenSSH_4.3p2 Debian-9, OpenSSL 0.9.8c 05 Sep 2006 usage: ssh [-1246AaCfgKkMNnqsTtVvXxY] [-b bind_address] [-c cipher_spec] [-D [bind_address:]port] [-e escape_char] [-F configfile] [-i identity_file] [-L [bind_address:]port:host] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port] [-R [bind_address:]port:host] [-S ctl_path] [-w tunnel:tunnel] [user@]hostname [command]

Et sur le client c’est du 4.6p1

#14

Cherche plus le pbm est là:

sshd fait un reverse DNS sur ton IP et n’arrives pas à l’identifier. Il clot la connexion. Tes clefs n’y sont pour rien. Bon je regardes si on peut régler le pbm…

[edit: je parie que ton démon sshd est lancé par inetd, non? non! sinon, il n’y aurait pas de ligne dans auth.log]

#15

Euh, je me souviens pas avoir utilisé inetd, mais comment verfier ca ?

EDIT: ca peut pas venir de fail2ban aussi ?

#16

Non, essaye de mettre

HostbasedUsesNameFromPacketOnly yes

dans les options de ton serveur ssh

mais avant quand même, essaye en commentant le

ALL: PARANOID

de /etc/hosts.deny

#17

Ca ne change rien, et mon ALL: PARANOID est déja commenté.

Voila le resultat du grep du auth.log:
(d’abord avec le Hostbased USES rajouté, ensuite en decomentant ALL:PARANOID

Oct  7 16:57:10 localhost sshd[6740]: error: Bind to port 22 on 0.0.0.0 failed: Permission denied.
Oct  7 16:57:10 localhost sshd[6740]: fatal: Cannot bind any address.
Oct  7 16:57:24 localhost sshd[6536]: Received signal 15; terminating.
Oct  7 16:57:24 localhost sshd[6750]: Server listening on :: port 22.
Oct  7 17:20:13 localhost sshd[6750]: Received signal 15; terminating.
Oct  7 17:20:13 localhost sshd[6810]: Server listening on :: port 22.
Oct  7 17:21:13 localhost sshd[6811]: reverse mapping checking getaddrinfo for l*-bzn-51f-62-**-**-69.adsl.proxad.net failed - POSSIBLE BREAK-IN ATTEMPT!
Oct  7 17:25:21 localhost sshd[6810]: Received signal 15; terminating.
Oct  7 17:25:21 localhost sshd[6826]: Server listening on :: port 22.
Oct  7 17:25:43 localhost sshd[6827]: reverse mapping checking getaddrinfo for l*-bzn-51f-62-**-**-69.adsl.proxad.net failed - POSSIBLE BREAK-IN ATTEMPT!
Oct  7 17:27:29 localhost sshd[6826]: Received signal 15; terminating.
Oct  7 17:27:29 localhost sshd[6842]: Server listening on :: port 22.
#18

Hum, c’est bizarre, donne le résultat de

$ grep -v “^#” /etc/ssh/sshd_config | grep -v “^$”

#19

grep -v "^#" /etc/ssh/sshd_config | grep -v "^$" Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 768 SyslogFacility AUTH LogLevel INFO LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile home/serveur/.ssh/authorized_keys IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no X11Forwarding no X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server UsePAM yes HostbasedUsesNameFromPacketOnly yes Allowusers serveur

#20

Remplace toujours Protocol 2 par Protocol 2,1 pour voir mais je n’y crois pas.

Tu peux éventuellement mettre ta machine dans /etc/hosts mais ça n’est pas terrible:

Pour moi ce serait:

$ host 82.66.248.156 156.248.66.82.in-addr.arpa domain name pointer alf94-3-82-66-248-156.fbx.proxad.net. donc alf94-3-82-66-248-156.fbx.proxad.net 82.66.248.156rajouté dans /etc/hosts du serveur. Si ça ne marche pas, je commence à être sec. En plus ça n’est pas satisfaisant…