impossible d'accéder à mon desktop en ssh

Le
Franck Delage
--YiEDa0DAkWCtVeE4
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Salut à la liste.

Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à
l'extérieur.

Or à chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon téléphone Androïd ou "connection timed out" lorsque
je le fais de mon serveur.

Voici ma config réseau :

J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cett=
e connection
arrive dans mon routeur Linksys, que j'ai bien sûr configuré pour qu'il
route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce
routeur est désactivé.

J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec
celle-ci que j'essaye de me connecter. De toutes façons quand j'essaye
avec l'ip actuelle, le résultat est le même.

Petite précision dont j'ignore si elle est utile : le signal satellite
redescend sur Turin, aussi mon ip est-elle italienne.

Merci beaucoup de votre aide, je sèche !

Franck.

--

Voici les données :

Je suis sous Lenny/Squeeze.

Ma config Iptables est des plus simples :

-

$iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain INBOUND (0 references)
target prot opt source destination

Chain LOG_FILTER (0 references)
target prot opt source destination

Chain LSI (0 references)
target prot opt source destination

Chain LSO (0 references)
target prot opt source destination

Chain OUTBOUND (0 references)
target prot opt source destination



Mon sshd_config :

--

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthenticati=
on
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
# PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

ClientAliveInterval 60

#MaxStartups 10:30:60
Banner /etc/issue.linuxlogo

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes



--
Franck Delage
Création et hébergements de sites web
www.web82.net

--YiEDa0DAkWCtVeE4
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkuQ1lAACgkQXLHx8YKDYqFwvACdHrYUnBwktuiKgV3ERNcNGZg8
g2UAoMTbWPe9MVE0saole8Rp4Pqyyw/3
=i/ki
--END PGP SIGNATURE--

--YiEDa0DAkWCtVeE4--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305100049.GA23278@debianfixe
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
steve
Le #21320491
Le 05-03-2010, à 11:00:49 +0100, Franck Delage () a écrit :

Salut à la liste.



Salut,

Je ne sais pas pour ton problème, mais

Mon sshd_config :

PermitRootLogin yes



ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
besoin.


¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
trop lesquelles.

s.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #21321521
steve a écrit :

Je ne sais pas pour ton problème, mais
Mon sshd_config :
PermitRootLogin yes



ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
besoin.



Awai, mais si un type possède des connaissances et les utilise pour cracker
SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi*
les connaissances voulues pour l'aider à cracker le compte root...

¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
trop lesquelles.



faire un backup complet du système à distance par exemple.

--
Q: What is printed on the bottom of beer bottles in Minnesota?
A: Open other end.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
steve
Le #21321511
Le 05-03-2010, à 15:45:04 +0100, Jean-Yves F. Barbier () a écrit :

steve a écrit :

> Je ne sais pas pour ton problème, mais
>> Mon sshd_config :
>> PermitRootLogin yes
>
> ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
> besoin.

Awai, mais si un type possède des connaissances et les utilise pour cracker
SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi*
les connaissances voulues pour l'aider à cracker le compte root...



Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root.
Mais je pensais plus à toutes ces cochonneries qui traînent sur le net
et dont on voit les traces dans le auth.log, dont le dernier date de pas
si longtemps :

Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from
X.X.X.X port 48428 ssh2

> ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
> trop lesquelles.

faire un backup complet du système à distance par exemple.



Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de
lui donner ponctuellement ces droits via sudo ? Cela limiterait les
risques non ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #21321661
Franck Delage a écrit :
Salut à la liste.

Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à
l'extérieur.

Or à chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon téléphone Androïd ou "connection timed out" lorsque
je le fais de mon serveur.



Avant de compliquer les choses (cell-umts-fiber-sat), essaye d'abord à partir
d'une machine normale connectée par un ADSL normal.
...
J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec
celle-ci que j'essaye de me connecter. De toutes façons quand j'essaye
avec l'ip actuelle, le résultat est le même.

Petite précision dont j'ignore si elle est utile : le signal satellite
redescend sur Turin, aussi mon ip est-elle italienne.



Ha bah ceci explique cela...... (niark niark)

Merci beaucoup de votre aide, je sèche !



appelle-nous quand tu seras sec, crapaud, y'a une bouteille de schnaps qui t'attend:)

Je suis sous Lenny/Squeeze.

Ma config Iptables est des plus simples :



et sans aucune sécurité

...
pas trop normal que cette ligne soit restée commentée: ce fichier contient
les clés permettant, une fois enregistrées, de se connecter sans avoir à
rentrer de mot de passe.
#AuthorizedKeysFile %h/.ssh/authorized_keys



Beaucoup d'ISP font du filtrage, à savoir si c'est vraiment "pour protéger",
ou juste pour faire chier le client...
Par exemple, il-y-a 2 ans, il m'a été impossible de faire passer un OpenVPN
(port 1194) sur une livebox pro (bloqué, et évidemment ft voulait à tout prix
placer son option pro-vpn, à la bagatelle de €20HT/mois), il a fallu le
déplacer sur le 443 (et déblocage instantané!)
D'après ce que j'ai pu observer, le port 22 est presque aussi souvent bloqué
que le 25.

Si une telle manip ne marche pas, tu devras demander qq explications techniques
à ton ISP: la plupart passent à travers un réseau privé qui filtre/jette
bcp de choses avant d'arriver chez toi, histoire de te vendre des Sces connexes
(y'en a même qui te fournissent une adresse IP externe privée, comme ça aucune
échappatoire.)

--
There is a multi-legged creature crawling on your shoulder.
-- Spock, "A Taste of Armageddon", stardate 3193.9

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Thierry Chatelet
Le #21321651
On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote:
steve a écrit :
> Je ne sais pas pour ton problème, mais
>
>> Mon sshd_config :
>> PermitRootLogin yes
>
> ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
> besoin.

Awai, mais si un type possède des connaissances et les utilise pour cracker
SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *au ssi*
les connaissances voulues pour l'aider à cracker le compte root...




fail2ban peut limiter le nombre de tentatives.
Thierry

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #21321751
Franck Delage a écrit :

Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à
l'extérieur.

Or à chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon téléphone Androïd



Connecté comment ?

ou "connection timed out" lorsque je le fais de mon serveur.



Quel serveur ?

Voici ma config réseau :

J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cette connection
arrive dans mon routeur Linksys, que j'ai bien sûr configuré pour qu'il
route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce
routeur est désactivé.



Vérifications de base :
- la machine a accès à internet via le routeur ?
- le démon SSH est lancé est accessible depuis le réseau local ?
- pas de pare-feu sur la machine ?
- le FAI ne bloque pas de ports ?

Si tout cela est bon, faire un traceroute TCP (par exemple avec
tcptraceroute) sur le port 22 pour voir où ça bloque, et si possible
sniffer le trafic sur la machine pour voir si quelque chose arrive.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #21321761
steve a écrit :

Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root.
Mais je pensais plus à toutes ces cochonneries qui traînent sur le net
et dont on voit les traces dans le auth.log, dont le dernier date de pas
si longtemps :

Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from
X.X.X.X port 48428 ssh2



c'est aussi pour ça qu'il faut éviter un login par password.

et pour les tentatives, monter le délai entre logins raté à 10-15 secondes
suffit en Gal pour décourager l'adversaire :)

¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
trop lesquelles.


faire un backup complet du système à distance par exemple.



Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de
lui donner ponctuellement ces droits via sudo ? Cela limiterait les
risques non ?



même réponse... un attaquant sérieux sait déjà ce qu'il attaque, et a
une très bonne idée des failles qu'il va tenter d'exploiter.

--
If you're not very clever you should be conciliatory.
-- Benjamin Disraeli

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
steve
Le #21321741
Le 05-03-2010, à 16:01:12 +0100, Thierry Chatelet () a écrit :

On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote:
> steve a écrit :
> > Je ne sais pas pour ton problème, mais
> >
> >> Mon sshd_config :
> >> PermitRootLogin yes
> >
> > ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
> > besoin.
>
> Awai, mais si un type possède des connaissances et les utilise pour cracker
> SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi*
> les connaissances voulues pour l'aider à cracker le compte root...
>
>
fail2ban peut limiter le nombre de tentatives.



Absolument, mais ça rajoute une couche (que se passe-t-il si pour une
raison ou une autre, il échoue à se lancer au démarrage ?). Je ne vois
toujours pas de bonnes raisons pour mettre à yes cette option.

A part ça, on disserte on disserte mais on n'aide pas notre ami Franck à
résoudre son souci..

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Franck Delage
Le #21322111
--YZ5djTAD1cGYuMQK
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Une chose qui peut être importante : lorsque j'essaye de me connecter
via une machine de mon réseau local, en LAN ou en wifi, il n'y a aucun
problème.

autre chose, mon fichier /etc/hosts.allow (sans que je n'y aie jamais
touché directement) :

----------------------------

sendmail: all
# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5), hosts_options(5)
# and /usr/doc/netbase/portmapper.txt.gz
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and
# /usr/share/doc/portmap/portmapper.txt.gz for further information.
#
portmap: 192.168.1.102 , 192.168.1.103
lockd: 192.168.1.102 , 192.168.1.103
rquotad: 192.168.1.102 , 192.168.1.103
mountd: 192.168.1.102 , 192.168.1.103
statd: 192.168.1.102 , 192.168.1.103

----------------------------

--
Franck Delage
Création et hébergements de sites web
www.web82.net

--YZ5djTAD1cGYuMQK
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkuRH08ACgkQXLHx8YKDYqF4jQCgnM2TloovAKc5O2hnIrmM4b63
fWsAninKkAezzDTv7ikUKQGXaNxIkrMF
=3RD9
-----END PGP SIGNATURE-----

--YZ5djTAD1cGYuMQK--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Franck Delage
Le #21322301
--/NkBOFFp2J2Af1nK
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

steve a écrit :
| A part ça, on disserte on disserte mais on n'aide pas notre ami Franck à
| résoudre son souci..

Ah je suis bien d'accord ! :)

Mais bon, c'est cool dce lancer une discussion.

Et puis c'est vendredi, miladiou.

--
Franck Delage
Création et hébergements de sites web
www.web82.net

--/NkBOFFp2J2Af1nK
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkuRI8AACgkQXLHx8YKDYqGJWgCeP3N7h5sFaRax+BRRkf/tjlVx
Y/gAoJDZjS2qf7PFdG3b3SWGPC7ooJjx
=tuvm
-----END PGP SIGNATURE-----

--/NkBOFFp2J2Af1nK--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme