sshd_config

"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:

T> # To disable tunneled clear text passwords, change to no here!
T> PasswordAuthentication no

Vous avez relancé sshd après la modification ?

--

Guy Decoux

In article (Dans l'article) <rfc64ctng7z.fsf@moulon.inra.fr>,
ts <decoux@moulon.inra.fr> wrote (écrivait) :

"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:

T> # To disable tunneled clear text passwords, change to no here!
T> PasswordAuthentication no

Vous avez relancé sshd après la modification ?

oui
(l'ordi est redémarré régulierement)

--
Mon CV : http://tDeContes.hd.free.fr/divers/emploi/
http://palestine-hn.org/
http://www.aapel.org/bdp/BLpas_concerne.html

"don't put your PC out of the window, put windows out of your PC"
"petit Free qui devient grand, gêne les requins blancs"

Bonjour,

le 03/12/2006 à 16:14, Thomas a écrit dans le message
<fantome.forums.tDeContes-49F6FF.16142903122006@news-3.proxad.net> :

% cat /etc/sshd_config
Protocol 2
PermitRootLogin no
#RSAAuthentication yes
#PubkeyAuthentication yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

et je viens de faire le test, en desactivant mon agent,
ca me demande ma phrase de passe pour la clé rsa, je fais "entrée", ca
me demande mon mot de passe, je le tape ... et ca rentre !!!

au secours !!! qu'est ce qu'il se passe ?

Quel OS ?
Tu utilises PAM ?
Que vaut ChallengeResponseAuthentication ?

(gigantesque trou de secu !)

Bof (à moins que tu ais un mot de passe vraiment trop simple).

--
Benoit Izac

Ce cher Thomas <fantome.forums.tDeContes@free.fr.invalid> a dit :

bonjour :-)


% cat /etc/sshd_config
Protocol 2
PermitRootLogin no
#RSAAuthentication yes
#PubkeyAuthentication yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

et je viens de faire le test, en desactivant mon agent,
ca me demande ma phrase de passe pour la clé rsa, je fais "entrée", c a
me demande mon mot de passe, je le tape ... et ca rentre !!!

au secours !!! qu'est ce qu'il se passe ?
(gigantesque trou de secu !)

Non, l'authentification par mot de passe que tu vois n'est pas une
authentification avec passe en clair.

SSHd peut recuperer le mot de passe de plusieurs facons, et celle que tu as
desactivee est l'une d'entre elles.

Pour t'en convaincre, recommence en tapant 3 fois "Entree" au lieu du mot de
passe. Essaie avec et sans l'option ci-dessus..

--
Hugues - Debianiste avant tout - http://www.hiegel.fr/~hugues/Linux/

In article (Dans l'article) <86mz650xcm@message.id>,
Benoit Izac <use.reply.to@INVALID.ADDRESS> wrote (écrivait) :

Bonjour,

le 03/12/2006 à 16:14, Thomas a écrit dans le message
<fantome.forums.tDeContes-49F6FF.16142903122006@news-3.proxad.net> :

% cat /etc/sshd_config
Protocol 2
PermitRootLogin no
#RSAAuthentication yes
#PubkeyAuthentication yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

et je viens de faire le test, en desactivant mon agent,
ca me demande ma phrase de passe pour la clé rsa, je fais "entrée", ca
me demande mon mot de passe, je le tape ... et ca rentre !!!

au secours !!! qu'est ce qu'il se passe ?

Quel OS ?

mac os x 10.4

Tu utilises PAM ?

qq c'est ?

Que vaut ChallengeResponseAuthentication ?

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

je suppose qu'en voyant "key" j'ai cru qu'il s'agissait des clés rsa, en
oubliant qu'il y avait PubkeyAuthentication pour ca
(RSAAuthentication c'est seulement pour le protocole v1, c'est ca ?)
ca veut dire quoi exactement "s/key" ?

je crois que j'ai commencé à faire du ssh avec mac os x 10.2,
à cette epoque ce systeme d'authentification n'existait pas encore dans
ssh ?

(gigantesque trou de secu !)

Bof (à moins que tu ais un mot de passe vraiment trop simple).

heureusement je pense que mes mdp n'etaient pas trop simples,
mais comme je pensais que pour rentrer le seul moyen etait d'avoir ma
clé privée, je ne me souciais plus de ca ...

est ce que je risque d'avoir d'autres surprises comme celles là ?
quelle est la liste des commandes de /etc/sshd_config que je dois
verifier, pour etre sur que personne ne peut rentrer sans avoir ma clé
privée ?

--
Mon CV : http://tDeContes.hd.free.fr/divers/emploi/
http://palestine-hn.org/
http://www.aapel.org/bdp/BLpas_concerne.html

"don't put your PC out of the window, put windows out of your PC"
"petit Free qui devient grand, gêne les requins blancs"

In article (Dans l'article) <87fybw7uvf.fsf@hiegel.fr>,
Hugues <hugues@contact.me> wrote (écrivait) :

Ce cher Thomas <fantome.forums.tDeContes@free.fr.invalid> a dit :

bonjour :-)


% cat /etc/sshd config
Protocol 2
PermitRootLogin no
#RSAAuthentication yes
#PubkeyAuthentication yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

et je viens de faire le test, en desactivant mon agent,
ca me demande ma phrase de passe pour la clé rsa, je fais "entrée", ca
me demande mon mot de passe, je le tape ... et ca rentre !!!

au secours !!! qu'est ce qu'il se passe ?
(gigantesque trou de secu !)

Non, l'authentification par mot de passe que tu vois n'est pas une
authentification avec passe en clair.

ah bon :-)

SSHd peut recuperer le mot de passe de plusieurs facons, et celle que tu as
desactivee est l'une d'entre elles.

ok
cela dit, j'aimerais desactiver tout ce avec quoi il suffit de connaitre
le mdp pour rentrer, meme si il ne transite pas en clair

Pour t'en convaincre, recommence en tapant 3 fois "Entree" au lieu du mot de
passe. Essaie avec et sans l'option ci-dessus..

(gssapi-with-mic,publickey,gssapi,keyboard-interactive)
(gssapi-with-mic,publickey,gssapi,password,keyboard-interactive)

effectivement, la difference c'est "password" (et j'ai vu ce que ca me
demandait en plus) :-)

ce que je veux, c'est "publickey",

maintenant, il reste "gssapi-with-mic,gssapi,keyboard-interactive"
qu'est ce que c'est ? est ce necessaire ? comment supprime t on ca ?


ps :
y a t il moyen de voir si il y a eu des tentatives d'intrusions avec
mauvais mdp ?
est ce que ssh fait des logs ?

--
Mon CV : http://tDeContes.hd.free.fr/divers/emploi/
http://palestine-hn.org/
http://www.aapel.org/bdp/BLpas_concerne.html

"don't put your PC out of the window, put windows out of your PC"
"petit Free qui devient grand, gêne les requins blancs"

Bonjour,

le 06/12/2006 à 16:20, Thomas a écrit dans le message
<fantome.forums.tDeContes-D3A958.16200506122006@news-2.proxad.net> :

% cat /etc/sshd_config
Protocol 2
PermitRootLogin no
#RSAAuthentication yes
#PubkeyAuthentication yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

et je viens de faire le test, en desactivant mon agent,
ca me demande ma phrase de passe pour la clé rsa, je fais "entrée", ca
me demande mon mot de passe, je le tape ... et ca rentre !!!

au secours !!! qu'est ce qu'il se passe ?

Quel OS ?

mac os x 10.4

Il existe fr.comp.os.mac-os.x pour ton système.

Tu utilises PAM ?

qq c'est ?

google est en panne ? Premier lien avec « unix pam » :
<http://www-igm.univ-mlv.fr/~dr/XPOSE2003/augereau/2.html>

Que vaut ChallengeResponseAuthentication ?

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

je suppose qu'en voyant "key" j'ai cru qu'il s'agissait des clés rsa,
en oubliant qu'il y avait PubkeyAuthentication pour ca
(RSAAuthentication c'est seulement pour le protocole v1, c'est ca ?)

Oui.

ca veut dire quoi exactement "s/key" ?

<http://en.wikipedia.org/wiki/S/Key>

je crois que j'ai commencé à faire du ssh avec mac os x 10.2, à cette
epoque ce systeme d'authentification n'existait pas encore dans ssh ?

(gigantesque trou de secu !)

Bof (à moins que tu ais un mot de passe vraiment trop simple).

heureusement je pense que mes mdp n'etaient pas trop simples, mais
comme je pensais que pour rentrer le seul moyen etait d'avoir ma clé
privée, je ne me souciais plus de ca ...

est ce que je risque d'avoir d'autres surprises comme celles là ?
quelle est la liste des commandes de /etc/sshd_config que je dois
verifier, pour etre sur que personne ne peut rentrer sans avoir ma clé
privée ?

La première chose à faire est de lire sshd_config(5) en détail. La
deuxième est de comprendre chaque option. Un bon point de départ pour
sshd_config :

ChallengeResponseAuthentication no
GSSAPIAuthentication no
HostbasedAuthentication no
KerberosAuthentication no
PasswordAuthentication no
Protocol 2
PubkeyAuthentication yes


Ensuite il ne reste plus qu'a essayer (ne pas oublier de redémarrer
sshd). Par exemple :

% mv ~/.ssh/id_rsa ~/.ssh/id_rsa_ # déplace ta clé privée
% ssh localhost # on essaye sans clé
Permission denied (publickey). # ça ne demande pas de mot de
# passe et ça échoue
% ssh -i .ssh/id_rsa_ localhost # on lui indique la bonne clé
# ici tu es connecté
% exit # on quitte la session
% mv ~/.ssh/id_rsa_ ~/.ssh/id_rsa # on remet la clé à sa place

--
Benoit Izac

On Wed, 06 Dec 2006 16:47:00 +0100
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:

y a t il moyen de voir si il y a eu des tentatives d'intrusions avec
mauvais mdp ?
est ce que ssh fait des logs ?

Oui, en théorie ça part avec les logs d'erreur d'authentification.

(note : je n'ai pas de MacOS X sous la main, donc les détails sont à
vérifier)

Par exemple, dans mon syslog.conf j'ai une ligne (par défaut dans mon
freebsd ... ) :

auth.info;authpriv.info /var/log/auth.log

Et si je regarde le fichier auth.log, je vois passer (pas de besoin de
provoquer l'erreur, il y a tellement de tentative de connexion ... ) :

Sep 11 23:22:22 melkor sshd[26038]: Invalid user techno from
65.111.169.85

Sep 12 13:08:55 melkor sshd[75174]: User root from 63.214.236.159 not
allowed because none of user's groups are listed in AllowGroups

Sep 12 13:08:56 melkor sshd[75174]: Failed keyboard-interactive/pam for
invalid user root from 63.214.236.159 port 4216 ssh

Et beaucoup d'autre comme ça (d'ailleurs, j'ai un petit script qui
s'appelle bruteforceblocker qui rajoute dans une black-liste toutes les
IP d'où trop de tentative de connexions infructueuses ont eu lieu.)

--
Ferengi Rule of Acquisition #125:
You can't make a deal if you're dead.
-- ST:DS9, "The Siege of AR-558"

In article (Dans l'article) <20061207064224.4b7458d0@localhost>,
Marwan Burelle <feanor@kh405.net> wrote (écrivait) :

On Wed, 06 Dec 2006 16:47:00 +0100
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:

y a t il moyen de voir si il y a eu des tentatives d'intrusions avec
mauvais mdp ?
est ce que ssh fait des logs ?

Oui, en théorie ça part avec les logs d'erreur d'authentification.

(note : je n'ai pas de MacOS X sous la main, donc les détails sont à
vérifier)

Par exemple, dans mon syslog.conf j'ai une ligne (par défaut dans mon
freebsd ... ) :

auth.info;authpriv.info /var/log/auth.log

Et si je regarde le fichier auth.log, je vois passer (pas de besoin de
provoquer l'erreur, il y a tellement de tentative de connexion ... ) :

Sep 11 23:22:22 melkor sshd[26038]: Invalid user techno from
65.111.169.85

Sep 12 13:08:55 melkor sshd[75174]: User root from 63.214.236.159 not
allowed because none of user's groups are listed in AllowGroups

Sep 12 13:08:56 melkor sshd[75174]: Failed keyboard-interactive/pam for
invalid user root from 63.214.236.159 port 4216 ssh

est ce qu'il y a tout ca sur mac ?


xpost et suivi sur fr.comp.os.mac-os.x

--
Mon CV : http://tDeContes.hd.free.fr/divers/emploi/
http://palestine-hn.org/
http://www.aapel.org/bdp/BLpas_concerne.html

"don't put your PC out of the window, put windows out of your PC"
"petit Free qui devient grand, gêne les requins blancs"

In article (Dans l'article) <863b7sn3ed@message.id>,
Benoit Izac <use.reply.to@INVALID.ADDRESS> wrote (écrivait) :

Bonjour,

le 06/12/2006 à 16:20, Thomas a écrit dans le message
<fantome.forums.tDeContes-D3A958.16200506122006@news-2.proxad.net> :

% cat /etc/sshd_config
Protocol 2
PermitRootLogin no
#RSAAuthentication yes
#PubkeyAuthentication yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

et je viens de faire le test, en desactivant mon agent,
ca me demande ma phrase de passe pour la clé rsa, je fais "entrée", ca
me demande mon mot de passe, je le tape ... et ca rentre !!!

au secours !!! qu'est ce qu'il se passe ?

Quel OS ?

mac os x 10.4

Il existe fr.comp.os.mac-os.x pour ton système.

je sais pas si ils aprécieraient des questions sur ssh, alors que ca
marche à peu pres pareil sur tous les unix

Tu utilises PAM ?

qq c'est ?

google est en panne ? Premier lien avec « unix pam » :
<http://www-igm.univ-mlv.fr/~dr/XPOSE2003/augereau/2.html>

merci :-)

je demande, mais de toutes facons il y a "#UsePAM no"

Que vaut ChallengeResponseAuthentication ?

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

je suppose qu'en voyant "key" j'ai cru qu'il s'agissait des clés rsa,
en oubliant qu'il y avait PubkeyAuthentication pour ca

ca veut dire quoi exactement "s/key" ?

<http://en.wikipedia.org/wiki/S/Key>

merci :-)

heureusement je pense que mes mdp n'etaient pas trop simples, mais
comme je pensais que pour rentrer le seul moyen etait d'avoir ma clé
privée, je ne me souciais plus de ca ...

est ce que je risque d'avoir d'autres surprises comme celles là ?
quelle est la liste des commandes de /etc/sshd_config que je dois
verifier, pour etre sur que personne ne peut rentrer sans avoir ma clé
privée ?

La première chose à faire est de lire sshd_config(5) en détail. La
deuxième est de comprendre chaque option.

j'y arrive pas

quand je commence avec un outil, je peux pas lire et comprendre toute la
doc avant de commencer à l'utiliser
intellectuellement c'est pas possible (pour moi)

là j'ai essayé de faire comme t'as dit, tout lire pour rien laisser au
hasard,
mais des que je suis arrivé dans les Kerberos* , je commencais à plus
rien comprendre (alors du coup, la suite je l'ai fait en vitesse rapide)

en fait quand je regarde la doc, je lis ce que je comprends,
et le reste je me dis que si je comprends pas c'est probablement parce
que ca sert pour des fonctionnalités avancées dont je n'ai pas forcément
besoin :-)
le pb, c'est quand, parmis ces qq commandes que je ne comprends pas,
certaines touchent à la sécurité et me concernent directement des le
debut ...

Un bon point de départ pour
sshd_config :

ChallengeResponseAuthentication no
GSSAPIAuthentication no
HostbasedAuthentication no
KerberosAuthentication no
PasswordAuthentication no
Protocol 2
PubkeyAuthentication yes

merci bcp, c'est juste ce dont j'avais besoin :-)))

j'espere que t'as listé là tous les moyens de se connecter
exhaustivement, de maniere à ce qu'il n'y en aient pas d'autres qui
aient pu m'echaper :-)

(aussi, ca me permet d'aller voir, et comprendre, la doc de chaque
commande que tu me donnes, sans etre obligé de comprendre la doc entiere
:-) )



il y a un truc tres bizarre :


dans /etc/sshd_config il y avait "#GSSAPIAuthentication no"
alors j'ai pensé que j'avais rien besoin de changer, puisque par defaut
c'etait à "no"
mais apres avoir verifié tout le reste, ca donnais encore
Permission denied (gssapi-with-mic,publickey,gssapi).

alors j'ai effacé le # avant "GSSAPIAuthentication no", et ca a donné
Permission denied (publickey).


et dans man sshd_config il y a :

GSSAPIAuthentication
Specifies whether user authentication based on GSSAPI is allowed.
The default is ``no''. Note that this option applies to protocol
version 2 only.

puis il y a GSSAPICleanupCredentials, HostbasedAuthentication, HostKey,
puis ...

GssapiAuthentication
Specifies whether authentication based on GSSAPI may be used,
either using the result of a successful key exchange, or using
GSSAPI user authentication. The default is ``yes''. Note that
this option applies to protocol version 2 only.


c'est apple qui s'est planté, ou c'est pareil sur les autres
plateformes ?



ps :

(avec la liste de commandes que tu m'as donnée c'est pas forcément
nécéssaire, mais)

indépendamment du contenu de /etc/sshd_config,
est ce que, si ca repond
Permission denied (publickey).
en cas d'echec, on est *sur* que "pour rentrer, le seul moyen est
d'avoir ma clé privée" (mon but) ?

--
Mon CV : http://tDeContes.hd.free.fr/divers/emploi/
http://palestine-hn.org/
http://www.aapel.org/bdp/BLpas_concerne.html

"don't put your PC out of the window, put windows out of your PC"
"petit Free qui devient grand, gêne les requins blancs"