J'ai quelques serveurs qui sont accessibles en SSH, j'utilise des clés
privée/publique pour m'y connecter à partir de mon poste. Après
l'installation d'un nouveau serveur, ce dernier serveur peut se
connecter en SSH au ancien serveur SANS demande de mot de passe ni
installation de clé. Est-ce que c'est un pb de configuration ? voici mon
fichier de config :
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
RhostsRSAAuthentication
PermitEmptyPasswords no
ChallengeResponseAuthentication no
#PasswordAuthentication yes
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
------------------------------------ FIN /etc/ssh/sshd_config ----
Dans les log j'ai bien une connexion par clé publique mais il n'y a pas
eu d'échange de clé entre ces machines !
sshd[5258]: Accepted publickey for root from xx.xx.xx.x port xxxxx ssh2
Merci d'avance,
Julien
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Demande de mot de passe avec une clef ? Bizarre, ça, non?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Demande de mot de passe avec une clef ? Bizarre, ça, non?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Demande de mot de passe avec une clef ? Bizarre, ça, non?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Julien
Le mardi 06 octobre 2009 à 14:30 +0200, François TOURDE a écrit :
Le 14523ième jour après Epoch, écrivait:
> Donc : > - avec une clé publique de type ssh-rsa --> tout le monde peut se > connecter
Tout le monde, ou juste ton client?
Plusieurs clients (6) que je gère plus une autre machine qui n'a pas du tout été installé de la même façon !
Par contre, je fait toutes ces connexions à partir de la même machine (mon poste de travail).
Dès que la clé publique de mon poste de travail est dans l'authorized_keys du serveur je peux me connecter à ce serveur quelque soit le chemin utilisé ssh A puis de A ssh B ...
C'est le principe du ssh-agent ? propager la clé d'authentification de serveur en serveur ?
J'ai bien un ssh-agent qui tourne sur mon poste de travail : /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session /usr/bin/seahorse-agent --execute /usr/bin/gnome-session
Si un serveur (client pardon!) A ne peut pas se connecter automatiquement à un serveur B. Mais que mon poste de travail peut se connecter sur ces deux serveurs A et B. Alors grâce au ssh-agent, une fois connecter (automatiquement sur A) je peux me connecter automatiquement sur B !
Effectivement, après avoir tester, une fois connecter sur A si je vire la variable d'environement SSH_AUTH_SOCK (qui n'était pas vide) :
echo $SSH_AUTH_SOCK /tmp/ssh-xxxxxxxxx/agent.30158 SSH_AUTH_SOCK La connexion automatique est déactivée
Pour déactiver l'agent, sur la machine de départ (poste de travail) dans /etc/ssh/ssh_config ForwardAgent yes --> ForwardAgent no ou le commenté (config par défaut)
Merci François, merci a tous, Julien
Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui tourne, et qui serait l'émetteur de l'accréditation?
man ssh-agent
> - si je change un caractère de authorized_keys --> plus de connexion > auto
Donc, ton serveur est bon, et il reçoit la bonne clef.
> - avec une autre clé de type ssh-dss --> c'est normal, demande de mot de > passe, pas de connexion auto
Demande de mot de passe avec une clef ? Bizarre, ça, non?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le mardi 06 octobre 2009 à 14:30 +0200, François TOURDE a écrit :
Le 14523ième jour après Epoch,
julien@nura.eu écrivait:
> Donc :
> - avec une clé publique de type ssh-rsa --> tout le monde peut se
> connecter
Tout le monde, ou juste ton client?
Plusieurs clients (6) que je gère plus une autre machine qui n'a pas du
tout été installé de la même façon !
Par contre, je fait toutes ces connexions à partir de la même machine
(mon poste de travail).
Dès que la clé publique de mon poste de travail est dans
l'authorized_keys du serveur je peux me connecter à ce serveur quelque
soit le chemin utilisé ssh A puis de A ssh B ...
C'est le principe du ssh-agent ? propager la clé d'authentification de
serveur en serveur ?
J'ai bien un ssh-agent qui tourne sur mon poste de travail :
/usr/bin/ssh-agent /usr/bin/dbus-launch
--exit-with-session /usr/bin/seahorse-agent
--execute /usr/bin/gnome-session
Si un serveur (client pardon!) A ne peut pas se connecter
automatiquement à un serveur B. Mais que mon poste de travail peut se
connecter sur ces deux serveurs A et B. Alors grâce au ssh-agent, une
fois connecter (automatiquement sur A) je peux me connecter
automatiquement sur B !
Effectivement, après avoir tester, une fois connecter sur A si je vire
la variable d'environement SSH_AUTH_SOCK (qui n'était pas vide) :
echo $SSH_AUTH_SOCK
/tmp/ssh-xxxxxxxxx/agent.30158
SSH_AUTH_SOCK
La connexion automatique est déactivée
Pour déactiver l'agent, sur la machine de départ (poste de travail)
dans /etc/ssh/ssh_config ForwardAgent yes --> ForwardAgent no ou le
commenté (config par défaut)
Merci François, merci a tous,
Julien
Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui
tourne, et qui serait l'émetteur de l'accréditation?
man ssh-agent
> - si je change un caractère de authorized_keys --> plus de connexion
> auto
Donc, ton serveur est bon, et il reçoit la bonne clef.
> - avec une autre clé de type ssh-dss --> c'est normal, demande de mot de
> passe, pas de connexion auto
Demande de mot de passe avec une clef ? Bizarre, ça, non?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le mardi 06 octobre 2009 à 14:30 +0200, François TOURDE a écrit :
Le 14523ième jour après Epoch, écrivait:
> Donc : > - avec une clé publique de type ssh-rsa --> tout le monde peut se > connecter
Tout le monde, ou juste ton client?
Plusieurs clients (6) que je gère plus une autre machine qui n'a pas du tout été installé de la même façon !
Par contre, je fait toutes ces connexions à partir de la même machine (mon poste de travail).
Dès que la clé publique de mon poste de travail est dans l'authorized_keys du serveur je peux me connecter à ce serveur quelque soit le chemin utilisé ssh A puis de A ssh B ...
C'est le principe du ssh-agent ? propager la clé d'authentification de serveur en serveur ?
J'ai bien un ssh-agent qui tourne sur mon poste de travail : /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session /usr/bin/seahorse-agent --execute /usr/bin/gnome-session
Si un serveur (client pardon!) A ne peut pas se connecter automatiquement à un serveur B. Mais que mon poste de travail peut se connecter sur ces deux serveurs A et B. Alors grâce au ssh-agent, une fois connecter (automatiquement sur A) je peux me connecter automatiquement sur B !
Effectivement, après avoir tester, une fois connecter sur A si je vire la variable d'environement SSH_AUTH_SOCK (qui n'était pas vide) :
echo $SSH_AUTH_SOCK /tmp/ssh-xxxxxxxxx/agent.30158 SSH_AUTH_SOCK La connexion automatique est déactivée
Pour déactiver l'agent, sur la machine de départ (poste de travail) dans /etc/ssh/ssh_config ForwardAgent yes --> ForwardAgent no ou le commenté (config par défaut)
Merci François, merci a tous, Julien
Virer les fichiers rsa peut ne pas suffire. As-tu un agent ssh qui tourne, et qui serait l'émetteur de l'accréditation?
man ssh-agent
> - si je change un caractère de authorized_keys --> plus de connexion > auto
Donc, ton serveur est bon, et il reçoit la bonne clef.
> - avec une autre clé de type ssh-dss --> c'est normal, demande de mot de > passe, pas de connexion auto
Demande de mot de passe avec une clef ? Bizarre, ça, non?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
