impossible d'accéder à mon desktop en ssh
Le
Franck Delage
--YiEDa0DAkWCtVeE4
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Salut à la liste.
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à
l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon téléphone Androïd ou "connection timed out" lorsque
je le fais de mon serveur.
Voici ma config réseau :
J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cett=
e connection
arrive dans mon routeur Linksys, que j'ai bien sûr configuré pour qu'il
route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce
routeur est désactivé.
J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec
celle-ci que j'essaye de me connecter. De toutes façons quand j'essaye
avec l'ip actuelle, le résultat est le même.
Petite précision dont j'ignore si elle est utile : le signal satellite
redescend sur Turin, aussi mon ip est-elle italienne.
Merci beaucoup de votre aide, je sèche !
Franck.
--
Voici les données :
Je suis sous Lenny/Squeeze.
Ma config Iptables est des plus simples :
-
$iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain INBOUND (0 references)
target prot opt source destination
Chain LOG_FILTER (0 references)
target prot opt source destination
Chain LSI (0 references)
target prot opt source destination
Chain LSO (0 references)
target prot opt source destination
Chain OUTBOUND (0 references)
target prot opt source destination
Mon sshd_config :
--
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthenticati=
on
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
# PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
ClientAliveInterval 60
#MaxStartups 10:30:60
Banner /etc/issue.linuxlogo
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
--
Franck Delage
Création et hébergements de sites web
www.web82.net
--YiEDa0DAkWCtVeE4
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline
--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkuQ1lAACgkQXLHx8YKDYqFwvACdHrYUnBwktuiKgV3ERNcNGZg8
g2UAoMTbWPe9MVE0saole8Rp4Pqyyw/3
=i/ki
--END PGP SIGNATURE--
--YiEDa0DAkWCtVeE4--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305100049.GA23278@debianfixe
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Salut à la liste.
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à
l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon téléphone Androïd ou "connection timed out" lorsque
je le fais de mon serveur.
Voici ma config réseau :
J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cett=
e connection
arrive dans mon routeur Linksys, que j'ai bien sûr configuré pour qu'il
route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce
routeur est désactivé.
J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec
celle-ci que j'essaye de me connecter. De toutes façons quand j'essaye
avec l'ip actuelle, le résultat est le même.
Petite précision dont j'ignore si elle est utile : le signal satellite
redescend sur Turin, aussi mon ip est-elle italienne.
Merci beaucoup de votre aide, je sèche !
Franck.
--
Voici les données :
Je suis sous Lenny/Squeeze.
Ma config Iptables est des plus simples :
-
$iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain INBOUND (0 references)
target prot opt source destination
Chain LOG_FILTER (0 references)
target prot opt source destination
Chain LSI (0 references)
target prot opt source destination
Chain LSO (0 references)
target prot opt source destination
Chain OUTBOUND (0 references)
target prot opt source destination
Mon sshd_config :
--
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthenticati=
on
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
# PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
ClientAliveInterval 60
#MaxStartups 10:30:60
Banner /etc/issue.linuxlogo
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
--
Franck Delage
Création et hébergements de sites web
www.web82.net
--YiEDa0DAkWCtVeE4
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline
--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkuQ1lAACgkQXLHx8YKDYqFwvACdHrYUnBwktuiKgV3ERNcNGZg8
g2UAoMTbWPe9MVE0saole8Rp4Pqyyw/3
=i/ki
--END PGP SIGNATURE--
--YiEDa0DAkWCtVeE4--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305100049.GA23278@debianfixe
Poser une question
Salut,
Je ne sais pas pour ton problème, mais
ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
besoin.
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
trop lesquelles.
s.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Awai, mais si un type possède des connaissances et les utilise pour cracker
SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi*
les connaissances voulues pour l'aider à cracker le compte root...
faire un backup complet du système à distance par exemple.
--
Q: What is printed on the bottom of beer bottles in Minnesota?
A: Open other end.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root.
Mais je pensais plus à toutes ces cochonneries qui traînent sur le net
et dont on voit les traces dans le auth.log, dont le dernier date de pas
si longtemps :
Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from
X.X.X.X port 48428 ssh2
Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de
lui donner ponctuellement ces droits via sudo ? Cela limiterait les
risques non ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avant de compliquer les choses (cell-umts-fiber-sat), essaye d'abord à partir
d'une machine normale connectée par un ADSL normal.
...
Ha bah ceci explique cela...... (niark niark)
appelle-nous quand tu seras sec, crapaud, y'a une bouteille de schnaps qui t'attend:)
et sans aucune sécurité
...
pas trop normal que cette ligne soit restée commentée: ce fichier contient
les clés permettant, une fois enregistrées, de se connecter sans avoir à
rentrer de mot de passe.
Beaucoup d'ISP font du filtrage, à savoir si c'est vraiment "pour protéger",
ou juste pour faire chier le client...
Par exemple, il-y-a 2 ans, il m'a été impossible de faire passer un OpenVPN
(port 1194) sur une livebox pro (bloqué, et évidemment ft voulait à tout prix
placer son option pro-vpn, à la bagatelle de €20HT/mois), il a fallu le
déplacer sur le 443 (et déblocage instantané!)
D'après ce que j'ai pu observer, le port 22 est presque aussi souvent bloqué
que le 25.
Si une telle manip ne marche pas, tu devras demander qq explications techniques
à ton ISP: la plupart passent à travers un réseau privé qui filtre/jette
bcp de choses avant d'arriver chez toi, histoire de te vendre des Sces connexes
(y'en a même qui te fournissent une adresse IP externe privée, comme ça aucune
échappatoire.)
--
There is a multi-legged creature crawling on your shoulder.
-- Spock, "A Taste of Armageddon", stardate 3193.9
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
fail2ban peut limiter le nombre de tentatives.
Thierry
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/