Openssh et public_key authentification

Le
Olivier Achard
Bonjour,
Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
avec authentification clé publique. Le serveur me demande
systématiquement un mot de passe. J'ai fait les vérifications
préconisées par la faq de Openssh sans succès :

3.14 - I copied my public key to authorized_keys but public-key
authentication still doesn't work.

Typically this is caused by the file permissions on $HOME, $HOME/.ssh or
$HOME/.ssh/authorized_keys being more permissive than sshd allows by
default.

In this case, it can be solved by executing the following on the server.

$ chmod go-w $HOME $HOME/.ssh
$ chmod 600 $HOME/.ssh/authorized_keys

If this is not possible for some reason, an alternative is to set
StrictModes no in sshd_config, however this is not recommended.

Quelqu'un a-t'il le même problème ?
Merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean Baptiste Favre
Le #9673451
Oui,
Tous ceux qui appliquent les correctifs de sécurité sans regarder ce
qu'il y a dedans :-s
En l'occurence, ta clef publique est sûrement considérée comme
vulnérable et blacklistée par SSH.
Tu trouveras la confirmation dans /var/log/auth.log

Bonne journée,
JB


Olivier Achard a écrit :
Bonjour,
Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
avec authentification clé publique. Le serveur me demande
systématiquement un mot de passe. J'ai fait les vérifications
préconisées par la faq de Openssh sans succès :

3.14 - I copied my public key to authorized_keys but public-key
authentication still doesn't work.

Typically this is caused by the file permissions on $HOME, $HOME/.ssh or
$HOME/.ssh/authorized_keys being more permissive than sshd allows by
default.

In this case, it can be solved by executing the following on the server.

$ chmod go-w $HOME $HOME/.ssh
$ chmod 600 $HOME/.ssh/authorized_keys

If this is not possible for some reason, an alternative is to set
StrictModes no in sshd_config, however this is not recommended.

Quelqu'un a-t'il le même problème ?
Merci




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Raphael Hertzog
Le #9673431
On Fri, 16 May 2008, Olivier Achard wrote:
Bonjour,
Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
avec authentification clé publique.


[...]
Quelqu'un a-t'il le même problème ?



C'est que ta clé publique est "blacklistée" par la récente mise à jour de
sécurité. Ta paire de clé n'est pas fiable car générée avec une version de
la bibliothèque openssl défectueuse (et toutes ces mauvaises clés
circulent dans la nature et sont déjà employée par des script-kiddies pour
essayer d'accéder à vos comptes SSH, il est impératif que tous les
utilisateurs qui ont installé des mauvaises clés SSH dans des
.ssh/authorized_keys les enlèvent partout et surtout sur les serveurs
non-Debian qui n'ont pas la mise à jour de sécurité qui blackliste ces
clés!)

Les annonces de sécurité:
http://www.debian.org/security/2008/dsa-1571
http://www.debian.org/security/2008/dsa-1576

Quelques explications en Français:
http://roland.entierement.nu/blog/2008/05/15/branle-bas-sshssl.html

Cordialement,
--
Raphaël Hertzog

Le best-seller français mis à jour pour Debian Etch :
http://www.ouaza.com/livre/admin-debian/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Olivier Achard
Le #9673421
Jean Baptiste Favre a écrit :
Oui,
Tous ceux qui appliquent les correctifs de sécurité sans regarder ce
qu'il y a dedans :-s
En l'occurence, ta clef publique est sûrement considérée comme
vulnérable et blacklistée par SSH.
Tu trouveras la confirmation dans /var/log/auth.log

Bonne journée,
JB


Olivier Achard a écrit :

Bonjour,
Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
avec authentification clé publique. Le serveur me demande
systématiquement un mot de passe. J'ai fait les vérifications
préconisées par la faq de Openssh sans succès :

3.14 - I copied my public key to authorized_keys but public-key
authentication still doesn't work.

Typically this is caused by the file permissions on $HOME, $HOME/.ssh or
$HOME/.ssh/authorized_keys being more permissive than sshd allows by
default.

In this case, it can be solved by executing the following on the server.

$ chmod go-w $HOME $HOME/.ssh
$ chmod 600 $HOME/.ssh/authorized_keys

If this is not possible for some reason, an alternative is to set
StrictModes no in sshd_config, however this is not recommended.

Quelqu'un a-t'il le même problème ?
Merci








J'avais bien recrée mes nouvelles clés et vérifié avec ssh_vulnkey.
En désespoir de cause, j'ai décidé de tout désinstaller puis réinstaller
(j'ai un peu honte).
La réinstallation côté client a suffit pour récupérer un fonctionnement
normal.
Merci,

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
Le #9670151
On 2008-05-16 10:36:23 +0200, Olivier Achard wrote:
J'avais bien recrée mes nouvelles clés et vérifié avec ssh_vulnkey.
En désespoir de cause, j'ai décidé de tout désinstaller puis réinstaller
(j'ai un peu honte).
La réinstallation côté client a suffit pour récupérer un fonctionnement
normal.



C'est peut-être dû à un problème de blacklists incomplètes. Il y a
eu des mises à jour, si bien que certaines choses peuvent subitement
se mettre à ne plus fonctionner.

Moi, le problème que j'ai eu, c'est qu'une des clés qui aurait dû être
recréée automatiquement (clé associée à la machine, dans /etc/ssh) ne
l'a pas été:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bugH1860

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme