[résolu] se connecter avec ssh - en utilisant la passphrase

sammmy · Décembre 27, 2006, 5:07

Iaorana à tou(te)s,

je deviens chêvre en tentant d’utiliser la fonction passphrase avec ssh.

Il n’y a pas moyen de pouvoir se connecter avec. Il n’accepte uniquement que le bon vieux mot de passe.

Je suis sous debian, j’ai laissé le /etc/ssh/ssh_config du client par défaut.
J’ai aussi forcé par PasswordAuthentication no, mais rien n’y fait.

J’ai bien entendu correctement copié ma clef publique sur le serveur dans ~/.ssh/authorized_keys

Je ne vois pas du tout où j’ai pu me planter.

J’ai lu moults docs sur léa-linux, sur linuxmecanic.frlinux.net, sur d’autres et ils me disent tous la même chose.

Et pourtant, lors de mon ssh user@serveur, c’est systématiquement le mot de passe qui est demandé et qui passe.

Rien d’autre.

J’appelle la Communauté à l’aide…

moi1392 · Décembre 27, 2006, 5:31

le problème viens souvent d’une erreur de copie (éditeur de texte qui font des retours à la ligne quand c’est trop long, …)

donc dans l’ordre,

lancer ssh-keygen -t rsa pour lancer la génération des clés publique/privé
copier la clé publique (~/.ssh/id_rsa.pub) entièrement et en une seule ligne dans le fichier ~/.ssh/authorized_keys du compte auquel on souhaite se connecter.
lancer une connexion ssh, ça devrait marcher.

sammmy · Décembre 27, 2006, 5:45

c’est ce que j’ai fait, j’ai utilisé la copie dudit fichier avec scp et je l’ai renommé.

normalement, pas de souci possible.

et pourtant si.

sammmy · Décembre 27, 2006, 5:51

les paramètres par défaut du /etc/ssh/ssh_config (coté client) et du /etc/ssh/sshd_config (coté serveur) pourraient-ils empêcher pas la connexion par passphrase ?

J’ai lu aussi, d’éventuels pbs de droits d’accès sur ~/.ssh/authorized_keys.
Mes droits sont en 600. Ca me semble correcte aussi.

moi1392 · Décembre 27, 2006, 5:54

bizarre, à part effacer les fichiers et retenter l’opération, je ne vois pas quoi faire…

vérifie aussi l’orthographe du fichier .ssh/authorized_keys, on ne sait jamais.

edit : je ne sais pas pour les fichiers de config, mais regarde aussi les droits sur le dossier .ssh, au cas ou.
sinon, pour mon authorized_keys, les droits sont à 644, et bien évidement à 400 pour mes fichier de clés perso.

mr_pouit · Décembre 27, 2006, 8:37

Bonsoir,

As-tu essayé avec ssh -v (-vv, -vvv) ?
Ça pourra te dire ce qui ne va pas.

sammmy · Décembre 29, 2006, 12:17

c’est vraiment bizarre … le client ssh cherche par défaut le fichier ~/.ssh/identity
Lorsque je copie ou créé un lien de id_rsa sur identity, j’ai une demande de passphrase suivie d’une demande de MdP (Mot de Passe).

Si j’enlève le fichier identity et que je force /etc/ssh/ssh_config avec IdentityFile ~/.ssh/id_rsa (ou autre d’ailleurs), je n’ai plus que la demande de MdP.

Je ne comprends pas trop ce que ça fait.

Je place à tout hasard une copie de la sortie de ssh -v user@serveur avec le identity en place (en partant de client@client) :

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to serveur [192.168.x.x] port 22.
debug1: Connection established.
debug1: identity file /home/client/.ssh/identity type -1
debug1: identity file /home/client/.ssh/id_rsa type 1
debug1: identity file /home/client/.ssh/id_dsa type 2
debug1: Enabling compatibility mode for protocol 2.0
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host ‘serveur’ is known and matches the DSA host key.
debug1: Found key in /home/client/.ssh/known_hosts:3
debug1: ssh_dss_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/client/.ssh/identity
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key ‘/home/client/.ssh/identity’:
debug1: read PEM private key done: type RSA
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Offering public key: /home/client/.ssh/id_rsa
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Offering public key: /home/client/.ssh/id_dsa
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
Password:
debug1: Authentication succeeded (keyboard-interactive).
debug1: channel 0: new [client-session]

J’ai le même résultat en “linkant” identity sur id_dsa

sammmy · Décembre 29, 2006, 4:53

pour le fun, j’ai tenté de me connecter du serveur sur le client (comme ssh implémente à la fois le client et le serveur).

J’ai donc créé mon id_rsa par ssh-keygen -t rsa sur /home/user/.ssh sur la machine serveur.

J’ai intégré id_rsa.pub dans authorized_keys de client@client.

Je teste. BAM, ça fonctionne ! :heink: il me demande la passphrase.
Ci-dessous, le résultat du ssh -v client@client

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to client [192.168.x.x] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type 1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host ‘client’ is known and matches the RSA host key.
debug1: Found key in /home/user/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/user/.ssh/identity
debug1: Offering public key: /home/user/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 149
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key ‘/home/user/.ssh/id_rsa’:
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.

Du coup, ni une ni deux, je copie le sshd_config du client sur le serveur (le ssh_config est vide dans les 2 cas).

Je retente … échec ! :sweet: Pas de demande de passphrase, juste une demande de MdP.

Voici le résultat du ssh -v user@serveur :

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to serveur [192.168.x.x] port 22.
debug1: Connection established.
debug1: identity file /home/client/.ssh/id_rsa type 1
debug1: identity file /home/client/.ssh/id_dsa type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host ‘serveur’ is known and matches the RSA host key.
debug1: Found key in /home/client/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: /home/client/.ssh/id_rsa
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Trying private key: /home/client/.ssh/id_dsa
debug1: Next authentication method: keyboard-interactive
Password:
debug1: Authentication succeeded (keyboard-interactive).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.

Je place aussi également le /etc/ssh/sshd_config désormais commun aux deux machines :

Plus que quelques heures et je deviens chèvre … :pt1cable:

KP2 · Décembre 29, 2006, 10:33

quelle est ta distrib ?

il est probable que pam soit la cause de tes problemes…
Fait ta manip avec “UsePAM no” pour tester si c’est bien ca. Si non, alors je sais pas. Si oui alors remet “UsePAM yes” et configure correctement pam (ou laisse “UsePAM no” mais c’est moins propre…)

sammmy · Décembre 30, 2006, 4:04

avec UsePAM no, ça ne change rien.

C’est tout de même bizarre qu’avec le meme fichier de config, je n’obtiens pas les memes résultats. :??:

grrrr ! Linux n’est pas encore totalement user-friendly :non:

fakbill · Décembre 30, 2006, 9:01

http://www.prendreuncafe.com/blog/post/200…serveur-distant

(mais je n’ai pas tout lu donc “ssh-agnet” a peut-être déjà été mentionné)

KP2 · Janvier 2, 2007, 10:17

ssh est un outil professionnel… le “user-friendly” n’est pas vraiment son objectif premier

sammmy · Janvier 2, 2007, 11:30

Certes !
Mais tout de même… il y a un fichier de configuration, il y a des options par défaut, le reste devrait suivre.
Hors là, je me heurte à un pb de config de base et je ne trouve pas ça normal.
Maintenant, je suis peux être incompétent (et ce ne serait pas la première fois), mais je vais perséverer.

Un jour ou l’autre, je vais y arriver et là, je demanderai 0.003% d’augmentation héhé !

sammmy · Janvier 2, 2007, 2:13

J’ai créé un utlisateur de test sur le serveur.
J’ai tenté de me connecter avec la passphrase et j’ai réussi.

J’ai comparé les logs de auth.log et je n’ai obtenu que ceci :

J’ai naturellement regardé les droits entre /home/user et /home/test, et ce sont les mêmes.
Pareil pour le répertoire .ssh et ce qu’il contient.

J’avais lu un post jadis sur des problèmes de droits.

Je vais le rechercher. Enfin, je suis content car cela ne vient pas de la config de ssh (sshd_config).

sammmy · Janvier 2, 2007, 5:42

:miam: yeah !

j’ai trouvé la solution, j’utilisais “StrictModes yes” dans /etc/ssh/sshd_config,
et mon répertoire /home/user était en écriture pour un groupe différent (ce qui me permettait une interopérabilité).
J’ai changé le droit en lecture et éxecution seules et la passphrase me fut finalement demandée.

Bon, maintenant, il faut que je revoie la stratégie de sécurité mise en place car ce changement de droit provoque une sacrée pénalisation pour les utilisateurs qui bossent.

Mais bon, c’est ok.

Encore merci à tous pour votre participation et vos liens qui m’ont bien éclairés sur le sujet.
Du coup, le serveur ssh est bien plus béton qu’avant.

nana.