connexion SSH sans clé ni mot de passe

Le
Julien
Bonjour a tous,

J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
privée/publique pour m'y connecter à partir de mon poste. Après
l'installation d'un nouveau serveur, ce dernier serveur peut se
connecter en SSH au ancien serveur SANS demande de mot de passe ni
installation de clé. Est-ce que c'est un pb de configuration ? voici mon
fichier de config :

-- /etc/ssh/sshd_config -

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
RhostsRSAAuthentication

PermitEmptyPasswords no

ChallengeResponseAuthentication no

#PasswordAuthentication yes

PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

FIN /etc/ssh/sshd_config -

Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
eu d'échange de clé entre ces machines !

sshd[5258]: Accepted publickey for root from xx.xx.xx.x port xxxxx ssh2

Merci d'avance,
Julien



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Benjamin MENUET
Le #20299061
--0015174c35209cdc1b0475413222
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou est-ce
qu'il remplace un ancien serveur ?

S'il remplace un ancien serveur, qu'il as le même nom et que tu as copi é ta
conf ssh c'est possible.

Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu
utilise (# cat /root/.ssh/id_rsa.pub).
Si ta clé est présente sur ton serveur dans le fichier
/root/.ssh/authorized_keys alors c'est normal que l'autentification soit
automatique.

Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta conn exion
fonctionne toujours.

Ben

Le 6 octobre 2009 09:55, Julien
Bonjour a tous,

J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
privée/publique pour m'y connecter à partir de mon poste. Après
l'installation d'un nouveau serveur, ce dernier serveur peut se
connecter en SSH au ancien serveur SANS demande de mot de passe ni
installation de clé. Est-ce que c'est un pb de configuration ? voici mo n
fichier de config :

----------------------------------------- /etc/ssh/sshd_config ----

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
RhostsRSAAuthentication

PermitEmptyPasswords no

ChallengeResponseAuthentication no

#PasswordAuthentication yes

PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

------------------------------------ FIN /etc/ssh/sshd_config ----

Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
eu d'échange de clé entre ces machines !

sshd[5258]: Accepted publickey for root from xx.xx.xx.x port xxxxx ssh2

Merci d'avance,
Julien



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS





--0015174c35209cdc1b0475413222
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour, <br>
J&#39;ai quelques serveurs qui sont accessibles en SSH, j&#39;utilise des c lés<br>
privée/publique pour m&#39;y connecter à partir de mon poste. Après<b r>
l&#39;installation d&#39;un nouveau serveur, ce dernier serveur peut se<br>
connecter en SSH au ancien serveur SANS demande de mot de passe ni<br>
installation de clé. Est-ce que c&#39;est un pb de configuration ? voici mon<br>
fichier de config :<br>
<br>
----------------------------------------- /etc/ssh/sshd_config ----<br>
<br>
Port 22<br>
Protocol 2<br>
HostKey /etc/ssh/ssh_host_rsa_key<br>
HostKey /etc/ssh/ssh_host_dsa_key<br>
UsePrivilegeSeparation yes<br>
KeyRegenerationInterval 3600<br>
ServerKeyBits 768<br>
SyslogFacility AUTH<br>
LogLevel INFO<br>
<br>
# Authentication:<br>
LoginGraceTime 120<br>
PermitRootLogin yes<br>
StrictModes yes<br>
<br>
RSAAuthentication yes<br>
PubkeyAuthentication yes<br>
#AuthorizedKeysFile     %h/.ssh/authorized_keys<br>
<br>
IgnoreRhosts yes<br>
RhostsRSAAuthentication no<br>
HostbasedAuthentication no<br>
RhostsRSAAuthentication<br>
<br>
PermitEmptyPasswords no<br>
<br>
ChallengeResponseAuthentication no<br>
<br>
#PasswordAuthentication yes<br>
<br>
PrintMotd no<br>
PrintLastLog yes<br>
TCPKeepAlive yes<br>
#UseLogin no<br>
<br>
#MaxStartups 10:30:60<br>
#Banner /etc/ <br>
# Allow client to pass locale environment variables<br>
AcceptEnv LANG LC_*<br>
<br>
Subsystem sftp /usr/lib/openssh/sftp-server<br>
<br>
UsePAM yes<br>
<br>
------------------------------------ FIN /etc/ssh/sshd_config ----<br>
<br>
Dans les log j&#39;ai bien une connexion par clé publique mais il n&#39;y a pas<br>
eu d&#39;échange de clé entre ces machines !<br>
<br>
sshd[5258]: Accepted publickey for root from xx.xx.xx.x port xxxxx ssh2<br>
<br>
Merci d&#39;avance,<br>
Julien<br>
<font color="#888888"><br>
<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
``spam&#39;&#39; dans vos champs &quot;From&quot; et &quot;Reply-To:&quot;< br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS <br>
</font></blockquote></div><br>

--0015174c35209cdc1b0475413222--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Yves Rutschle
Le #20299051
On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
ce dernier serveur peut se
connecter en SSH au ancien serveur



Un serveur qui se connecte à un serveur? Il y a un problème
dans l'énoncé du sujet.

Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
eu d'échange de clé entre ces machines !

sshd[5258]: Accepted publickey for root from xx.xx.xx.x port xxxxx ssh2



C'est le message normal qui montre qu'il y a eu échange de
clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Julien
Le #20299141
Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
> ce dernier serveur peut se
> connecter en SSH au ancien serveur

Un serveur qui se connecte à un serveur? Il y a un problème
dans l'énoncé du sujet.



Une de mes machines accepte tous les clients SSH sans vérification de
clés !


> Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
> eu d'échange de clé entre ces machines !
>
> sshd[5258]: Accepted publickey for root from xx.xx.xx.x port xxxxx ssh2

C'est le message normal qui montre qu'il y a eu échange de
clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?



Ce qui me gène c'est que tout le monde peut s'y connecter même sans
fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !

Julien



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Julien
Le #20299151
Le mardi 06 octobre 2009 à 11:53 +0200, Benjamin MENUET a écrit :
Bonjour,

Est-ce que ton nouveau serveur est nouveau dans ton architecture, ou
est-ce qu'il remplace un ancien serveur ?

S'il remplace un ancien serveur, qu'il as le même nom et que tu as
copié ta conf ssh c'est possible.



Je n'ai pas copié la conf ssh, à l'installation du serveur copie une
seule clé publique dans authorized_keys. Mais d'autres serveur arrive à
se connecter quand même.


Vérifie sur ton client ta clé publique rsa ou dsa suivant celle que tu
utilise (# cat /root/.ssh/id_rsa.pub).
Si ta clé est présente sur ton serveur dans le
fichier /root/.ssh/authorized_keys alors c'est normal que
l'autentification soit automatique.

Essai de regénérer ta clé (ssh-keygen -t rsa) et vérifie si ta
connexion fonctionne toujours.



Depuis le serveur A :

# ssh B
--> connexion automatique

Sur le serveur A :

# cd ~/.ssh
# rm -f id*
# ssh B
--> connexion automatique

Toujours sur A
# ssh-keygen -t rsa
The key fingerprint is:
eb:0c:2a:d7:08:09:4b:19:3f......
# ssh B
--> connexion automatique

Il y a un pb là non ?

Julien



Ben

Le 6 octobre 2009 09:55, Julien Bonjour a tous,

J'ai quelques serveurs qui sont accessibles en SSH, j'utilise
des clés
privée/publique pour m'y connecter à partir de mon poste.
Après
l'installation d'un nouveau serveur, ce dernier serveur peut
se
connecter en SSH au ancien serveur SANS demande de mot de
passe ni
installation de clé. Est-ce que c'est un pb de configuration ?
voici mon
fichier de config :

----------------------------------------- /etc/ssh/sshd_config
----

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
RhostsRSAAuthentication

PermitEmptyPasswords no

ChallengeResponseAuthentication no

#PasswordAuthentication yes

PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

------------------------------------ FIN /etc/ssh/sshd_config
----

Dans les log j'ai bien une connexion par clé publique mais il
n'y a pas
eu d'échange de clé entre ces machines !

sshd[5258]: Accepted publickey for root from xx.xx.xx.x port
xxxxx ssh2

Merci d'avance,
Julien



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi
ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Alain Vaugham
Le #20299291
Le mardi 6 octobre 2009 09:55, Julien a écrit :

PermitRootLogin yes


Ce ne serait pas à éviter?


--
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
~TraydenT~
Le #20299401
Le 06/10/2009 09:55, Julien a écrit :
Bonjour a tous,



Bonjour,
J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
privée/publique pour m'y connecter à partir de mon poste. Après
l'installation d'un nouveau serveur, ce dernier serveur peut se
connecter en SSH au ancien serveur SANS demande de mot de passe ni
installation de clé. Est-ce que c'est un pb de configuration ?


As-tu essayé de regarder ce que te sort un «ssh -v» ? Tu devrais voir
dans les messages ce qui te permets de te connecter, et te permettra
peut-être d'élucider ce mystère.
[snip]

Merci d'avance,
Julien



--
~TraydenT~

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier
Le #20299391
Alain Vaugham a écrit :
Le mardi 6 octobre 2009 09:55, Julien a écrit :

PermitRootLogin yes


Ce ne serait pas à éviter?



Pourquoi?
Si l'attaquant arrive à compromettre un compte std, il-y-a des chances
pour qu'il ait les connaissances nécessaires pour obtenir les droits
de root: la protection est la même.

--
Of course I can keep secrets. It's the people I tell them to that
can't keep them. -Anthony Haden-Guest

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier
Le #20299571
Julien a écrit :
Le mardi 06 octobre 2009 à 11:43 +0200, Yves Rutschle a écrit :
On Tue, Oct 06, 2009 at 09:55:37AM +0200, Julien wrote:
ce dernier serveur peut se
connecter en SSH au ancien serveur


Un serveur qui se connecte à un serveur? Il y a un problème
dans l'énoncé du sujet.



Une de mes machines accepte tous les clients SSH sans vérification de
clés !



Très bizarre, et quasiment impossible

Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
eu d'échange de clé entre ces machines !

sshd[5258]: Accepted publickey for root from xx.xx.xx.x port xxxxx ssh2







C'est le message normal qui montre qu'il y a eu échange de
clé. Qu'est-ce qui te fait croire qu'il n'a pas eu lieu?





wai, il a raison, ça veut juste dire que la clé client est dans le
fichier .ssh/authorized_keys

Ce qui me gène c'est que tout le monde peut s'y connecter même sans
fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !



Ok, mais les clients n'auraient-ils pas des clés id_rsa... ?

Es-tu absolument sûr de ce que tu avances (ça paraît impossible);
pour ça tu peux éplucher les logs de /var/log/auth.log, en remplaçant
temporairement la ligne "LogLevel INFO" dans /etc/ssh/sshd_config par
"LogLevel DEBUG2" (+ un restart de ssh) sur la machine réceptrice.

--
Test-tube babies shouldn't throw stones.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Nicolas KOWALSKI
Le #20299561
Bonjour,

Julien
Ce qui me gène c'est que tout le monde peut s'y connecter même sans
fichier id_dsa.pub et id_dsa dans ~/.ssh sur le client !



C'est peut-être juste le RhostsRSAAuthentication qui est en
fonctionnement ? A désactiver dans /etc/ssh/sshd_config.

--
Nicolas

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier
Le #20299541
Alain Vaugham a écrit :
Le mardi 6 octobre 2009 12:37, Jean-Yves F. Barbier a écrit :
Alain Vaugham a écrit :
Le mardi 6 octobre 2009 09:55, Julien a écrit :
PermitRootLogin yes


Ce ne serait pas à éviter?


Pourquoi?



Parceque Julien se connecte en root :
Il a écrit :

Depuis le serveur A :

# ssh B
--> connexion automatique



Donc ça me paraît normal puisque le serveur accepte le login root.
Julien devrait se connecter avec un login user sur le serveur distant puis
passer root ensuite.
Non?



Non, ça fait déjà un packet de temps que la connexion root directe par SSH
a été déclarée "secured" (excepté l'épisode récent des clés faiblardes).

Et comme je l'ai dit plus haut, si l'attaquant a les connaissances et facilités
requises pour compromettre un compte user, il arrivera sûrement par finir à
obtenir les prérogatives de root.

--
If I were to walk on water, the press would say I'm only doing it
because I can't swim.
-- Bob Stanfield

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme