[HS] Probleme SSH

mouss a écrit :

giggz wrote:

giggz a écrit :

giggz a écrit :

Jean-Michel OLTRA a écrit :

Bonjour,


Le dimanche 07 septembre 2008, giggz a écrit...

1:47 giggz@grut ~/.ssh % ssh grut
Permission denied (publickey).
Avez vous une idée ?

As tu copié les clés ?
As tu supprimé les anciennes entrées dans le fichier
.ssh/known_hosts ?

j'ai tout viré!

je peux faire :
ssh-copy-id -i ~/.ssh/id_dsa.pub user@serveur

mais pas :
ssh-copy-id -i ~/.ssh/id_dsa.pub user@laptop

même sanction :
Permission denied (publickey).

a+

la seule chose qui change entre les 2 fichiers de conf c'est :
ChallengeResponseAuthentication

sur le serveur où ça marceh je n'ai pas cette option.

sur le laptop j'ai :
ChallengeResponseAuthentication No

Bon et apparemment c'est ça qui fait la différence :

si je mets ChallengeResponseAuthentication yes sur le laptop j'obtiens
le même comportement que pour le serveur.

ici:

$ grep ChallengeResp /etc/ssh/sshd_config
ChallengeResponseAuthentication no

et je n'ai pas de problème.

rhaaa mes espoirs de résolution propre s'envolent...

es tu en stable, en sid ?

Bye

qqn sait à quoi correcspond exactement cette option j'ai trouvé des def
sur internet mais je n'ai po compris...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On 2008-09-07 10:26:52 +0200, giggz wrote:

si je mets ChallengeResponseAuthentication yes sur le laptop j'obtiens
le même comportement que pour le serveur.

Elle est à "no" sur au moins une de mes machines Debian; elle ne doit
pas être utile...

qqn sait à quoi correcspond exactement cette option j'ai trouvé des def
sur internet mais je n'ai po compris...

Le fichier de config officiel indique:

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

Donc c'est s/key, un système de mots de passe à usage unique (en gros,
on a une liste de mots de passe précalculée, et une fois qu'on a
utilisé un mot de passe, on passe au suivant). Un truc qu'on n'utilise
plus depuis des années. C'était utile avec telnet, car le mot de passe
était diffusé en clair sur le réseau.

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

mouss a écrit :

giggz wrote:

giggz a écrit :

giggz a écrit :

Jean-Michel OLTRA a écrit :

Bonjour,


Le dimanche 07 septembre 2008, giggz a écrit...

1:47 giggz@grut ~/.ssh % ssh grut
Permission denied (publickey).
Avez vous une idée ?

As tu copié les clés ?
As tu supprimé les anciennes entrées dans le fichier
.ssh/known_hosts ?

j'ai tout viré!

je peux faire :
ssh-copy-id -i ~/.ssh/id_dsa.pub user@serveur

mais pas :
ssh-copy-id -i ~/.ssh/id_dsa.pub user@laptop

même sanction :
Permission denied (publickey).

a+

la seule chose qui change entre les 2 fichiers de conf c'est :
ChallengeResponseAuthentication

sur le serveur où ça marceh je n'ai pas cette option.

sur le laptop j'ai :
ChallengeResponseAuthentication No

Bon et apparemment c'est ça qui fait la différence :

si je mets ChallengeResponseAuthentication yes sur le laptop j'obtiens
le même comportement que pour le serveur.

ici:

$ grep ChallengeResp /etc/ssh/sshd_config
ChallengeResponseAuthentication no

et je n'ai pas de problème.

Tu as donc modifié le comportement par défaut de ssh, non ? chez moi en
stable le yes est par défaut. Tu as une raison d'avoir mis
ChallengeResponseAuthentication no ?

qqn sait à quoi correcspond exactement cette option j'ai trouvé des def
sur internet mais je n'ai po compris...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le dimanche 07 septembre 2008 à 11:35 +0200, Jean-Michel OLTRA a écrit :

Bonjour,


Le dimanche 07 septembre 2008, Vincent Lefevre a écrit...


> Le .ssh/known_hosts n'a rien à voir avec les clés liées à l'utilisateur.

Où sont donc stockées les clés du client sur le serveur ssh, alors.

~/.ssh/authorized_keys

@+
Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,


Le dimanche 07 septembre 2008, Vincent Lefevre a écrit...

Le .ssh/known_hosts n'a rien à voir avec les clés liées à l'utilisateur.

Où sont donc stockées les clés du client sur le serveur ssh, alors.

Lorsqu'il y a un problème avec l'authentification de l'hôte, le
message d'erreur est tout autre.

Il me semble pourtant avoir eu un problème lié aux clés avec ce message
lorsque je suis passé en rsa en laissant mes clés dsa sur mes serveurs.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vincent Lefevre a écrit :

On 2008-09-07 10:08:48 +0200, giggz wrote:

si je mets PasswordAuthentication = yes sur mon laptop ok. mais pourquoi
ça marche direct sur mon serveur ? est ce à cause de la différence de
version de ssh ?

Tu peux savoir ce que fait ssh avec ssh -vvv.

voilà ce que j'ai dans le cas où je mets :
ChallengeResponseAuthentication no :

11:24 giggz@grut ~/TMP % cat ssh3.log
OpenSSH_5.1p1 Debian-2, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to thor [127.0.0.1] port 22.
debug1: Connection established.
debug1: identity file /home/giggz/.ssh/identity type -1
debug1: identity file /home/giggz/.ssh/id_rsa type -1
debug3: Not a RSA1 key file /home/giggz/.ssh/id_dsa.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace
debug2: key_type_from_name: unknown key type '-----END'
debug3: key_read: missing keytype
debug1: identity file /home/giggz/.ssh/id_dsa type 2
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: Remote protocol version 2.0, remote software version
OpenSSH_5.1p1 Debian-2
debug1: match: OpenSSH_5.1p1 Debian-2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-2
debug2: fd 4 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit:
diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit:
diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit:
hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 142/256
debug2: bits set: 503/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/giggz/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 3
debug1: Host 'thor' is known and matches the RSA host key.
debug1: Found key in /home/giggz/.ssh/known_hosts:3
debug2: bits set: 514/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/giggz/.ssh/identity ((nil))
debug2: key: /home/giggz/.ssh/id_rsa ((nil))
debug2: key: /home/giggz/.ssh/id_dsa (0xb85e6348)
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred
gssapi-keyex,gssapi-with-mic,gssapi,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/giggz/.ssh/identity
debug3: no such identity: /home/giggz/.ssh/identity
debug1: Trying private key: /home/giggz/.ssh/id_rsa
debug3: no such identity: /home/giggz/.ssh/id_rsa
debug1: Offering public key: /home/giggz/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,


Le dimanche 07 septembre 2008, Julien Valroff a écrit...

> Où sont donc stockées les clés du client sur le serveur ssh, alors.

~/.ssh/authorized_keys

Ah, c'est vrai, j'ai confondu. Mille excuses.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On 2008-09-07 11:11:14 +0200, giggz wrote:

rhaaa mes espoirs de résolution propre s'envolent...

es tu en stable, en sid ?

Il y a des machines en stable, d'autres en sid.

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On 2008-09-07 11:26:36 +0200, giggz wrote:
[...]

debug2: key: /home/giggz/.ssh/identity ((nil))
debug2: key: /home/giggz/.ssh/id_rsa ((nil))
debug2: key: /home/giggz/.ssh/id_dsa (0xb85e6348)
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred
gssapi-keyex,gssapi-with-mic,gssapi,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/giggz/.ssh/identity
debug3: no such identity: /home/giggz/.ssh/identity
debug1: Trying private key: /home/giggz/.ssh/id_rsa
debug3: no such identity: /home/giggz/.ssh/id_rsa
debug1: Offering public key: /home/giggz/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey
debug2: we did not send a packet, disable method

^^^^^^^^^^^^^^^^^^^^^^^^

Cette erreur est bizarre, alors que deux lignes au-dessus il est
dit qu'un paquet a été envoyé!

Tu peux toujours essayer avec une clé RSA pour voir si ça marche
mieux (je n'utilise que des clés RSA, et c'est ce qui est fait
par défaut).

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vincent Lefevre a écrit :

On 2008-09-07 11:26:36 +0200, giggz wrote:
[...]

debug2: key: /home/giggz/.ssh/identity ((nil))
debug2: key: /home/giggz/.ssh/id_rsa ((nil))
debug2: key: /home/giggz/.ssh/id_dsa (0xb85e6348)
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred
gssapi-keyex,gssapi-with-mic,gssapi,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/giggz/.ssh/identity
debug3: no such identity: /home/giggz/.ssh/identity
debug1: Trying private key: /home/giggz/.ssh/id_rsa
debug3: no such identity: /home/giggz/.ssh/id_rsa
debug1: Offering public key: /home/giggz/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey
debug2: we did not send a packet, disable method

^^^^^^^^^^^^^^^^^^^^^^^^

Cette erreur est bizarre, alors que deux lignes au-dessus il est
dit qu'un paquet a été envoyé!

Tu peux toujours essayer avec une clé RSA pour voir si ça marche
mieux (je n'utilise que des clés RSA, et c'est ce qui est fait
par défaut).

même message d'erreur...

bon je vais laisser le ChallengeResponseAuthentication yes par
défaut...tant pis...

Merci de tous ces efforts!
Bonne journée
Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org