Salut,

Trois jours que je bataille, recherches sur la toile infructueuses.

Pour l’heure je peux me connecter sur le distant en simple utilisateur.

ssh -l mon_user@x.x.x.x

Mais l’accès root met interdit. Chose qui n’était pas auparavant.

J’ai tout remis à plat.

• local et distant.

rm ~/.ssh
rm /root/.ssh

J’ai ensuite recréer deux paires de clés privé/public (rsa et dsa) dans /home/loreleil/.ssh.

J’ai copier les clés /home/loreleil/.ssh/id_rsa.pub sur le distant /home/mon_user/.ssh/authorized_keys.

Le tout en mode rescue. C’est pour l’heure le seul accès root que je possède.

Les droits sur le dédié.

mon_user@ksxxxx:~$ stat -c "%a" .ssh 755 mon_user@ksxxxx:~$

mon_user@ksxxxx:~/.ssh$ stat --printf="%n %a\n" $* ./* ./authorized_keys 600 ./id_rsa 600 ./id_rsa.pub 600 ./known_hosts 600 mon_user@ksxxxx:~/.ssh$

Les droits en local.

loreleil@machine1:~$ stat -c "%a" .ssh 755 loreleil@machine1:~$

loreleil@machine1:~/.ssh$ stat --printf="%n %a\n" $* ./* ./id_dsa 600 ./id_dsa.pub 600 ./id_rsa 600 ./id_rsa.pub 600 ./known_hosts 600 loreleil@machine1:~/.ssh$

[quote]:~$ ssh -v mon_user@x.x.x.x.x
OpenSSH_5.5p1 Debian-6+squeeze1, OpenSSL 0.9.8o 01 Jun 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to x.x.x.x.x [x.x.x.x.x] port 22.
debug1: Connection established.
debug1: identity file /home/loreleil/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/loreleil/.ssh/id_rsa-cert type -1
debug1: identity file /home/loreleil/.ssh/id_dsa type 2
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: identity file /home/loreleil/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.5p1 Debian-6+squeeze1
debug1: match: OpenSSH_5.5p1 Debian-6+squeeze1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
The authenticity of host ‘x.x.x.x.x (x.x.x.x.x)’ can’t be established.
RSA key fingerprint is y:y:y:y:y:y:y:y:y:y:y:y:y:y:y:y.
Are you sure you want to continue connecting (yes/no)? yes

Failed to add the host to the list of known hosts (/home/loreleil/.ssh/known_hosts). ???
[/quote]

[code]debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/loreleil/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = fr_FR.UTF-8
Linux ksxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x.x
hostname : ksxxxxx.kimsufi.com

Last login: Wed Mar 7 11:47:41 2012 from alille-x-x-x-x.x.abo.wanadoo.fr
Linux ksxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x.x
hostname : ksxxxx.kimsufi.com

mon_user@ksxxxx:~$ su -
su�: Autorisation refus�e
mon_user@ksxxxx:~$

mon_user@ksxxxx:~$ su
su�: Autorisation refus�e
mon_user@ksxxxx:~$

mon_user@ksxxxx:~$ su root
su�: Autorisation refus�e
mon_user@ksxxxx:~$

mon_user@ksxxxx:~$ su mon_user
su�: Autorisation refus�e
mon_user@ksxxxx:~$
[/code]

Toutes mes manip restent sans succès …

Salut,

Si tu veux te connecter en root, c’est dans /root/.ssh/authorized_keys qu’il faut mettre la clef.

Tu dois déjà avoir une clef “accréditée” pour ton serveur sur ta machine locale, non ?

Malheureusement, c’est du pareil au même …

root@machine1:~# find / -name "*known_hosts*" /home/.controleH/loreleil/.ssh/known_hosts /home/loreleil/.ssh/known_hosts root@machine1:~#

[code]root@machine1:~# cat /home/loreleil/.ssh/known_hosts
root@machine1:~# cat /home/.controleH/loreleil/.ssh/known_hosts

|1|M2F/46pfa9YnPeRQz1vv7nXVryE=|9T1ZyvGabfw1wFF+o+9XgW/KbmM= ssh-rsa AAAAB3Nz …[/code]

[code]:~# rm -r /home/.controleH/loreleil/.ssh/known_hosts

:~# rm -r /home/loreleil/.ssh/known_hosts

[/code]

• Reboot du dédié en mode rescue.

[code]root@rescue:~# mkdir .ssh

root@rescue:~# cd .ssh
root@rescue:~/.ssh#
[/code]

Copie de la clés /home/loreleil/.ssh/id_rsa.pub vers ovh /root/.ssh/authorized_keys

[code]root@rescue:~/.ssh# nano authorized_keys
root@rescue:~/.ssh#

root@rescue:~/.ssh# stat --printf="%n %a\n" $* ./*
./authorized_keys 644
root@rescue:~/.ssh#

root@rescue:~/.ssh# chmod 600 authorized_keys

root@rescue:~/.ssh# stat --printf="%n %a\n" $* ./*
./authorized_keys 600
root@rescue:~/.ssh#

root@rescue:~# stat -c “%a” .ssh
755
root@rescue:~#
[/code]

Reboot du dédié.

[code]loreleil@machine1:~$ ssh -l mon_user x.x.x.x
The authenticity of host ‘x.x.x.x (x.x.x.x)’ can’t be established.
RSA key fingerprint is x:x:x:x:x:x:x:x:x:x:x:x:x:x:x:x.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘x.x.x.x’ (RSA) to the list of known hosts.
Linux ksxxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x
hostname : ksxxxx.kimsufi.com

Last login: Wed Mar 7 13:51:09 2012 from alille-x-x-x-x.x.abo.wanadoo.fr
Linux ksxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x.
hostname : ksxxxxx.kimsufi.com

mon_user@ksxxxx:~$

mon_user@ksxxxx:~$ su -
su�: Autorisation refus�e
mon_user@ksxxxx:~$
[/code]

[code]loreleil@machine1:~$ ssh -vv mon_user@x.x.x.x
OpenSSH_5.5p1 Debian-6+squeeze1, OpenSSL 0.9.8o 01 Jun 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to x.x.x.x [x.x.x.x] port 22.
debug1: Connection established.
debug2: key_type_from_name: unknown key type '-----BEGIN’
debug2: key_type_from_name: unknown key type '-----END’
debug1: identity file /home/loreleil/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/loreleil/.ssh/id_rsa-cert type -1
debug2: key_type_from_name: unknown key type '-----BEGIN’
debug2: key_type_from_name: unknown key type '-----END’
debug1: identity file /home/loreleil/.ssh/id_dsa type 2
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: identity file /home/loreleil/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.5p1 Debian-6+squeeze1
debug1: match: OpenSSH_5.5p1 Debian-6+squeeze1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze1
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 115/256
debug2: bits set: 530/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host ‘91.121.19.189’ is known and matches the RSA host key.
debug1: Found key in /home/loreleil/.ssh/known_hosts:2
debug2: bits set: 502/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/loreleil/.ssh/id_rsa (0xxxxxxxxxxxxx)
debug2: key: /home/loreleil/.ssh/id_dsa (0xxxxxxxxxxxxx)
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/loreleil/.ssh/id_rsa
debug2: we sent a publickey packet, wait for reply
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug2: input_userauth_pk_ok: fp x:x:x:x:x:x:x:x:x:x:x:x:x:x:x:x
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug2: callback start
debug2: client_session2_setup: id 0
debug2: channel 0: request pty-req confirm 1
debug1: Sending environment.
debug1: Sending env LANG = fr_FR.UTF-8
debug2: channel 0: request env confirm 0
debug2: channel 0: request shell confirm 1
debug2: fd 3 setting TCP_NODELAY
debug2: callback done
debug2: channel 0: open confirm rwindow 0 rmax 32768
debug2: channel_input_status_confirm: type 99 id 0
debug2: PTY allocation request accepted on channel 0
debug2: channel 0: rcvd adjust 2097152
debug2: channel_input_status_confirm: type 99 id 0
debug2: shell request accepted on channel 0
Linux ksxxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x
hostname : ksxxxxxx.kimsufi.com

Last login: Wed Mar 7 14:16:14 2012 from alille-x-x-x-x.x.abo.wanadoo.fr
Linux ksxxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x
hostname : ksxxxxxx.kimsufi.com

mon_user@ksxxxxx:~$
[/code]

mon_user@ksxxxxx:~$ su - su�: Autorisation refus�e mon_user@ksxxxxx:~$

Re,
Juste pour être sur… En mode rescue tes partition sont montées ?
Le répertoire /root correspond à /root sur ton système normal ?

Pas de souci de ce côté.

root@rescue:~# mount /dev/sda1 /mnt root@rescue:~# chroot /mnt root@rescue:/# mount /dev/sda3 /var root@rescue:/# mount /dev/sda2 /home

mon_user@ksxxxxx:~$ mount /dev/sda1 on / type ext4 (rw,errors=remount-ro) tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755) proc on /proc type proc (rw,noexec,nosuid,nodev) sysfs on /sys type sysfs (rw,noexec,nosuid,nodev) udev on /dev type tmpfs (rw,mode=0755) tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev) devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620) /dev/sda2 on /home type ext4 (rw) /dev/sda3 on /var type ext4 (rw) /dev/sda5 on /save type ext4 (rw,noexec,nosuid,nodev) /dev/sda7 on /save1 type ext4 (rw) mon_user@ksxxxxx:~$

/root est ok!

Le problème avec su n’a probablement rien à voir avec SSH.
Pour le vérifier, connecte-toi en rescue => chroot => # su TON-UTILISATEUR => $ su (si mon intuition est bonne, ça devrait coincer)

Fais voir ça (toujours en rescue + chroot) :

[code]# cat /var/log/auth.log (juste le bout qui concerne l’échec de su, hein)

ls -lA /bin/su

cat /etc/pam.d/su | grep -vE ‘^($|#)’[/code]

Ton intuition est bonne …

J’avais déjà essayé.

[quote=“loreleil”]mon_user@ksxxxx:~$ su mon_user
su�: Autorisation refus�e
mon_user@ksxxxx:~$ [/quote]

C’est pourquoi je n’avais pas d’accès aux log.
Mais pour l’heure, des news (sans rien leur demandé).

[quote=“ovh”]Bonjour,

Notre système de monitoring vient de détecter un défaut sur votre
serveur ksxxxxx.kimsufi.com (ksxxxxxx.kimsufi.com).
Le défaut a été constaté à la date 2012-03-07 15:02:35

Notre équipe de techniciens sur site (opérationnelle 24h/24, 7j/7),
a été informée de ce défaut et va intervenir sur votre machine.

Sachez que d’autres interventions peuvent être en cours actuellement
et qu’il faut compter en moyenne 30 minutes par intervention et par
machine.
Par conséquent, nous ne pouvons pas vous donner plus de précisions
quant à l’heure de début de l’intervention.

Vous pouvez avoir un aperçu global des machines actuellement en défaut
et en intervention sur tout le réseau à cette adresse:

travaux.ovh.net/vms/

Votre serveur se trouve dans la baie 0xxxxx

Vous recevrez un email dés qu’un technicien prendra en charge votre
serveur. En attendant, vous avez la possibilité de le rebooter à partir
de votre manager.

Logs:

PING ksxxxxx.kimsufi.com (x.x.x.x) from 213.186.33.13 : 56(84) bytes of data.
From 213.186.33.13: Destination Host Unreachable
From 213.186.33.13: Destination Host Unreachable
From 213.186.33.13: Destination Host Unreachable[/quote]

En règle général, ils solutionnent ce genre d’incident dans les trente minutes, reste à patienter …

huuumm …

Je suis passé à côté de ce rapport de logcheck.

[quote]This email is sent by logcheck. If you no longer wish to receive
such mail, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).

Security Events for su
=-=-=-=-=-=-=-=-=-=-=-
Mar 7 13:51:17 ksxxxx su[4699]: pam_wheel(su:auth): Access denied to ‘mon_user’ for ‘root’
Mar 7 13:51:17 ksxxxx su[4699]: pam_authenticate: Permission denied
Mar 7 13:51:17 ksxxxx su[4699]: FAILED su for root by mon_user[/quote]

• edit *

[quote]Bonjour,

A la date 2012-03-07 15:02:35, nous avons constaté un défaut
sur votre serveur et nous avons programmé une intervention afin de
palier à ce défaut.

Toutefois, à la date 2012-03-07 15:19:04 notre système de monitoring n’a plus
relevé de défaut sur votre serveur dédié ksxxxxx.kimsufi.com (ksxxxxxx.kimsufi.com)

Nous ne sommes pas intervenus sur votre machine. Nous ne connaissons
pas l’origine du défaut.
[/quote]

J’attend le mdp root pour le mode rescue et chroot toujours …

Ah ben voilà ce que je voulais savoir.

De deux choses l’une :

• soit tu rajoutes ton user dans le groupe wheel (conseillé)
• soit tu commentes la ligne auth required pam_wheel.so dans /etc/pam.d/su (déconseillé)
  Dans les deux cas c’est à faire en rescue + chroot bien sûr.

Reste à savoir comment ça se fait que ta config a changé sans prévenir (car je suppose que ça fonctionnait bien avant).

Effectivement cela fonctionner sans problème.

mon-user était bien associé au group wheel. Bizarre …

Je lance mon chroot, à de suite …

Note bien qu’une fois en rescue/chroot t’as pas besoin de rebooter pour tester. Il te suffit de faire # su USER => $ su => si ça foire $ exit et t’es à nouveau en root pour essayer autre chose.

Voilà la cause!

Mar 4 11:43:37 ksxxxxx groupadd[9341]: group added to /etc/group: name=sauvegarde_ovh, GID=1004 Mar 4 11:43:37 ksxxxxx groupadd[9341]: group added to /etc/gshadow: name=sauvegarde_ovh Mar 4 11:43:37 ksxxxxx groupadd[9341]: new group: name=sauvegarde_ovh, GID=1004 Mar 4 11:44:01 ksxxxxx CRON[9345]: pam_unix(cron:session): session opened for user root by (uid=0) Mar 4 11:44:01 ksxxxxx CRON[9345]: pam_unix(cron:session): session closed for user root Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'adm' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'mail' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'sudo' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'plugdev' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'wheel' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'sshusers' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'rsync' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from group 'logcheck' Mar 4 11:44:06 ksxxxxx usermod[9388]: add 'mon_user' to group 'sauvegarde_ovh' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from shadow group 'root' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from shadow group 'adm' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from shadow group 'sudo' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from shadow group 'wheel' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from shadow group 'sshusers' Mar 4 11:44:06 ksxxxxx usermod[9388]: delete 'mon_user' from shadow group 'rsync' Mar 4 11:44:06 ksxxxxx usermod[9388]: add 'mon_user' to shadow group 'sauvegarde_ovh'

[quote]Mar 4 11:53:56 ksxxxxx sshd[9798]: User mon_user from alille-x-x-x-x.x.x.wanadoo.fr not allowed because none of user’s groups are listed in AllowGroups
Mar 4 11:54:01 ksxxxxx CRON[9800]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 4 11:54:02 ksxxxxx CRON[9800]: pam_unix(cron:session): session closed for user root
Mar 4 11:54:45 ksxxxxx sshd[9843]: User mon_user from alille-x-x-x-x.x.x.wanadoo.fr not allowed because none of user’s groups are listed in AllowGroups
Mar 4 11:55:01 ksxxxxx CRON[9845]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 4 11:55:01 ksxxxxx CRON[9845]: pam_unix(cron:session): session closed for user root
Mar 4 11:55:38 ksxxxxx sshd[9890]: User mon_user from alille-x-x-x-x.x.x.wanadoo.fr not allowed because none of user’s groups are listed in AllowGroups
Mar 4 11:56:01 ksxxxxx CRON[9892]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 4 11:56:02 ksxxxxx CRON[9892]: pam_unix(cron:session): session closed for user root
[/quote]

[quote]Mar 4 19:36:13 ksxxxxx su[7655]: pam_wheel(su:auth): Access denied to ‘mon_user’ for ‘root’
Mar 4 19:36:13 ksxxxxx su[7655]: pam_authenticate: Permission denied
Mar 4 19:36:13 ksxxxxx su[7655]: FAILED su for root by mon_user
Mar 4 19:36:13 ksxxxxx su[7655]: - /dev/pts/0 mon_user:root
Mar 4 19:36:28 ksxxxxx su[7656]: pam_wheel(su:auth): Access denied to ‘mon_user’ for ‘root’
Mar 4 19:36:28 ksxxxxx su[7656]: pam_authenticate: Permission denied[/quote]

Je n’ai pas compris se mécanisme, le fait d’avoir ajouter ce group sauvegarde_ovh (que j’ai supprimé depuis à la mano) et d’y inclure (il me semble) mon_user

La révocation de mon_user dans les différents groupes ci-plus-haut … ??? Rien compris sur ce coup!

Ceci dit j’ai corrigé le tir.

root@rescue:/# ls -lA /bin/su -rwsr-xr-x 1 root root 34024 15 févr. 2011 /bin/su root@rescue:/#

root@rescue:/# cat /etc/pam.d/su | grep -vE '^($|#)' auth sufficient pam_rootok.so auth requisite pam_wheel.so group=wheel debug session required pam_env.so readenv=1 session required pam_env.so readenv=1 envfile=/etc/default/locale session optional pam_mail.so nopen @include common-auth @include common-account @include common-session root@rescue:/#

root@rescue:/# su mon_user mon_user@rescue:/$ mon_user@rescue:/$ exit exit root@rescue:/#

Bingo …

Je m’apprête à démonter les partoches et reboot, il y a-t-il autre chose à voir syam ?

[quote=“loreleil”]root@rescue:/# su mon_user mon_user@rescue:/$ mon_user@rescue:/$ exit exit root@rescue:/# [/quote]
Euh t’as pas testé si ton utilisateur pouvait utiliser su là…
Ça aurait dû être :

root@rescue:/# su mon_user mon_user@rescue:/$ su Mot de passe : root@rescue:/# exit mon_user@rescue:/$ exit root@rescue:/#
M’enfin si tu t’es rajouté au groupe wheel ça devrait être bon t’façons, en plus maintenant t’as trouvé la cause.

Sissi … mais,

root@rescue:/# su mon_user yapukahein@rescue:/$ su - su�: doit �tre lanc� � partir d'un terminal mon_user@rescue:/$

Une fois de plus , Merci syam

[code]loreleil@machine1:~$ ssh -l mon_user x.x.x.x
The authenticity of host ‘x.x.x.x (x.x.x.x)’ can’t be established.
RSA key fingerprint is x:x:x:x:x:x:x:x:x:x:x:x:x:x:x:x.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘x.x.x.x’ (RSA) to the list of known hosts.
Linux ksxxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x
hostname : ksxxxxxx.kimsufi.com

Last login: Wed Mar 7 14:30:56 2012 from alille-x-x-x-x.x.x.wanadoo.fr
Linux ksxxxxxx.kimsufi.com 2.6.38.2-grsec-xxxx-grs-ipv6-64 #2 SMP Thu Aug 25 16:40:22 UTC 2011 x86_64 GNU/Linux

server : 22157
ip : x.x.x.x
hostname : ksxxxxx.kimsufi.com

mon_user@ksxxxxxx:~$ su -
Mot de passe :
root@ksxxxxxxx:~#
[/code]
Question.

Saurais tu me donner une bride d’info …

Le fait d’avoir créer un nouveau groupe (sauvegarde_ovh) et d’y inclure mon_user et qui a eu pour conséquence de remover mon_user des divers groupes citer plus haut ?

Sinon …

Notes-1:

C’est bien ce qu’il me semblait.
Inutile de joindre la clés /home/loreleil/.ssh/id_rsa.pub vers ovh /root/.ssh/authorized_keys

root@rescue:/# rm -r /root/.ssh/authorized_keys rm : supprimer fichier « /root/.ssh/authorized_keys » ? y root@rescue:/#

Notes-2:

Le fichier /home/loreleil/.ssh/known_hosts je l’avait créer, hors c’est inutile (et non souhaitable, il faut croire) il se crée tout seul, comme un grand, lors de la première connexion.

[quote=“loreleil”]Saurais tu me donner une bride d’info …

Le fait d’avoir créer un nouveau groupe (sauvegarde_ovh) et d’y inclure mon_user et qui a eu pour conséquence de remover mon_user des divers groupes citer plus haut ?[/quote]
Apparemment tu as utilisé usermod, probablement de travers. Perso je préfère utiliser adduser / deluser pour modifier les groupes (ce qui permet de n’agir que sur un seul groupe à la fois).

Effectivement …

5803 04/03/2012 11:43:36 addgroup sauvegarde_ovh 5804 04/03/2012 11:44:06 usermod -G sauvegarde_ovh mon_user

Archivé!

J’t’en serre cinq l’ami …