acces ssh par clé publique/privée nok (depuis ce matin)

Le
Fabrice Regnier
'lut la liste,

Depuis ce matin, tous les accès ssh distant me demandent à taper mon
password alors que je gère les accès ssh depuis de nombreuses années
avec le couple clé publique/clé privée.

Stretch à jour. Ma clé est une clé dsa.

FR-PORT:/var/log/apt# uname -a
Linux FR-PORT 4.2.0-1-amd64 #1 SMP Debian 4.2.6-3 (2015-12-06) x86_64
GNU/Linux

FR-PORT:/# grep openssh-client /var/log/apt/term.log
Préparation du dépaquetage de /openssh-client_1%3a7.1p1-4_amd64.deb
Dépaquetage de openssh-client (1:7.1p1-4) sur (1:6.9p1-3)
Paramétrage de openssh-client (1:7.1p1-4)


D'autres debianistes avec le nouveau paquet openssh-client souffrent-ils
du même problème ?

Je ne vois rien de probant dans le résultat d'un strace.

merki ;)

f.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Txo
Le #26381818
Le 21/12/2015 12:16, Fabrice Regnier a écrit :
'lut la liste,

Depuis ce matin, tous les accès ssh distant me demandent à taper mon
password alors que je gère les accès ssh depuis de nombreuses années
avec le couple clé publique/clé privée.

Stretch à jour. Ma clé est une clé dsa.

[…]



Juste pour témoigner que j'ai rencontré le même problème et, par flemme,
me suis contenté d'utiliser sshpass. Par contre, sous sid, c'était déjà il y
a quelques temps. La solution m'intéresse.


--
-+- Dominique Marin http://txodom.free.fr -+-
«Yep. Moi j'ai un clavier à une touche.
Par contre, ma souris a 102 boutons, c'est pas toujours pratique.»
-+- OG in: Guide du Cabaliste Usenet - Le mulot contre attaque -+-
BOITEUX, Frederic
Le #26381822
Bonjour,

Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mode verbeux : ssh -v ...
Les raisons du refus de l'utilisation de clés sont multiples.

Fred.

-----Message d'origine-----
De : [mailto:] De la part de Fabri ce Regnier
Envoyé : lundi 21 décembre 2015 12:17
À :
Objet : acces ssh par clé publique/privée nok (depuis ce matin)

'lut la liste,

Depuis ce matin, tous les accès ssh distant me demandent à taper mon pa ssword alors que je gère les accès ssh depuis de nombreuses années av ec le couple clé publique/clé privée.

Stretch à jour. Ma clé est une clé dsa.

FR-PORT:/var/log/apt# uname -a
Linux FR-PORT 4.2.0-1-amd64 #1 SMP Debian 4.2.6-3 (2015-12-06) x86_64 GNU/L inux

FR-PORT:/# grep openssh-client /var/log/apt/term.log Préparation du dép aquetage de .../openssh-client_1%3a7.1p1-4_amd64.deb ...
Dépaquetage de openssh-client (1:7.1p1-4) sur (1:6.9p1-3) ...
Paramétrage de openssh-client (1:7.1p1-4) ...


D'autres debianistes avec le nouveau paquet openssh-client souffrent-ils du même problème ?

Je ne vois rien de probant dans le résultat d'un strace.

merki ;)

f.

This message contains information that may be privileged or confidential an d is the property of the Capgemini Group. It is intended only for the perso n to whom it is addressed. If you are not the intended recipient, you are n ot authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, pl ease notify the sender immediately and delete all copies of this message.
Fabrice Regnier
Le #26381823
'lut,

Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mode verbeux : ssh -v ...


oops

en effet, j'ai un joli "debug1: Skipping ssh-dss key
/home/fabricer/.ssh/id_dsa for not in PubkeyAcceptedKeyTypes"

Par défaut, le client v7 n'accepte plus les clés dsa. J'ai donc rajouté

PubkeyAcceptedKeyTypes=+ssh-dss

dans mon ~/.ssh/config

Et tout roule.

A noter que lorsque le client ssh, n'acceptera plus du tout les clés
dsa, il faudra en refaire des plus solides!

Merci Frédéric!

f.
Fabrice Regnier
Le #26381825
je rajoute ceci:

Pour tous les serveurs sshd, si on veut qu'ils continuent à accepter des
clés dsa, il faut rajouter PubkeyAcceptedKeyTypes=+ssh-dss dans
/etc/ssh/sshd_config et ne pas oublier de relancer le service sshd.

f.


Le 21/12/2015 15:10, Fabrice Regnier a écrit :
'lut,

Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le
mode verbeux : ssh -v ...


oops

en effet, j'ai un joli "debug1: Skipping ssh-dss key
/home/fabricer/.ssh/id_dsa for not in PubkeyAcceptedKeyTypes"

Par défaut, le client v7 n'accepte plus les clés dsa. J'ai donc rajouté

PubkeyAcceptedKeyTypes=+ssh-dss

dans mon ~/.ssh/config

Et tout roule.

A noter que lorsque le client ssh, n'acceptera plus du tout les clés
dsa, il faudra en refaire des plus solides!

Merci Frédéric!

f.
Jean-Marc
Le #26381827
--Signature=_Mon__21_Dec_2015_14_54_50_+0100_5+wfptyGzMAYwxgI
Content-Type: text/plain; charset=UTF-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Mon, 21 Dec 2015 12:30:29 +0000
"BOITEUX, Frederic"
Bonjour,

Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mo de verbeux : ssh -v ...
Les raisons du refus de l'utilisation de clés sont multiples.

Fred.




Et jeter un oeil sur le changelog de OpenSSH 7.0 faisant partie des mises à jour récentes (perso, aujourd'hui sur mon PC Stretch/Sid).

Livré tout chaud avec le message suivant :
OpenSSH 7.0 disables several pieces of weak, legacy, and/or unsafe cryptogr aphy.

Par exemple, le support pour certaines clés < 1024 est désactiv é par défaut.

Jean-Marc
--Signature=_Mon__21_Dec_2015_14_54_50_+0100_5+wfptyGzMAYwxgI
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQIcBAEBCAAGBQJWeASqAAoJEEBxy1wt6cT8rSwP/3Ify9rjXb1qRNRP/bRHGDEH
V67m6KbqbZk2V/620l2Pb1Z1V9XaajXt60PkyS9CCThP7eu7HShRed14TYohzOub
iV05kIB7dVMfmyq6WKq0gGtGNunqn3x7GOkVeyQ6c1D+A2kTKJpl7NFdcnk7HJ4Q
/oEWzNnon45Z5OtlqP5ELfN704w3oACWP0+OgC+99KQWP+qTJm5VuD2Zqx6V9A0D
WLb3yMKF+IZE2MCS32N89d2X75UegH1pIX7KlxrideezEHEoi7LoyCYBQtEO7ntw
gq9MYvfogd4n4yfwQR2oQseiZdlVRQm3ZCsHqpcKJ6lgvIHi58SOvYTxzFIFsO2u
fv37/0N4AGUBH4JvBb7tQ1oSE2hiJJDpya38WBPXvMzYUjF45M68r65rC44Ap/j3
s2f3TOKUWVm5TyK8MRnO1snUZm6N8P7hqpyqZsq0wSq5uIl2tYPe91O2q5v2ovBR
x9vG6/tXVu9790PtvNjyI2gig/1n4dymz2ku6FqXUJlgy71JTSIf7C/7hLU9jE+y
/6Koz8F5Ajiml4WdNhSoiTw4ThWwVVuESurURwSg0/DmWEsOJycTVW7j9z+VXcJl
hLs/QfM5i2b1hjPZMfJT6BZm34Ebj1/4FiZR8S2VwlGj7NJt4AVNqn4PDzs3L6wz
DBrFTQtRHWAGiRMISHZQ
=hcaS
-----END PGP SIGNATURE-----

--Signature=_Mon__21_Dec_2015_14_54_50_+0100_5+wfptyGzMAYwxgI--
Olivier
Le #26403659
--94eb2c037d84a7fdee053707ce18
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Bonjour,
En découvrant ce fil de discussion, je me demande si une meilleure sol ution
ne serait pas de changer ou d'ajouter une nouvelle clé DSA/RSA/autre
conforme aux attentes d'OpenSSH 7.0 (et antérieur), non ?
("qui peut le plus, ...").
Quelqu'un a-t-il exploré cette voie ?
Est-il possible et pratique de conserver deux clés sur sa machine (ie
espérer que le client ssh choisisse la bonne clé, par exemple) ou bien
faut-il aussitôt entamer une migration ?
Pour ma part, j'ai essayé avec "ssh-keygen -t rsa -b 2048" sur un clie nt
Jessie et un serveur Stretch mais sans succès, pour l'instant.
Slts
Le 21 décembre 2015 à 14:54, Jean-Marc
Mon, 21 Dec 2015 12:30:29 +0000
"BOITEUX, Frederic"
Bonjour,
Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le

mode verbeux : ssh -v ...
Les raisons du refus de l'utilisation de clés sont multiples.
Fred.

Et jeter un oeil sur le changelog de OpenSSH 7.0 faisant partie des mises
à jour récentes (perso, aujourd'hui sur mon PC Stretch/Sid).
Livré tout chaud avec le message suivant :
OpenSSH 7.0 disables several pieces of weak, legacy, and/or unsafe
cryptography.
Par exemple, le support pour certaines clés < 1024 est désactiv é par
défaut.
Jean-Marc

--94eb2c037d84a7fdee053707ce18
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
&quot;BOITEUX, Frederic&quot; &lt; <span class=""><br>
&gt;       Bonjour,<br>
&gt;<br>
&gt; Tu peux commencer par chercher pourquoi cela ne fonctonne plus avec le mode verbeux : ssh -v  ...<br>
&gt; Les raisons du refus de l&#39;utilisation de clés sont multiples. <br>
&gt;<br>
&gt;       Fred.<br>
<br>
<br>
<br>
Livré tout chaud avec le message suivant :<br>
OpenSSH 7.0 disables several pieces of weak, legacy, and/or unsafe cryptogr aphy.<br>
<br>
Par exemple, le support pour certaines clés &lt; 1024 est désacti vé par défaut.<br>
<br>
Jean-Marc &lt; </div><br></div>
--94eb2c037d84a7fdee053707ce18--
Publicité
Poster une réponse
Anonyme