Impossible pour un utilisateur de se connecter en SSH (Résolu)

sinbad83 · Le 29/10/2014, à 19:53

Bonjour à tous,
sur un serveur Trusty, l'un des utilisateurs ne peut plus se connecter en SSH:

Failed to add the host to the list of known hosts (/home/guy/.ssh/known_hosts).

le serveur lui demande son mot de passe

xxx@yyyyy's password: 
Permission denied, please try again.
xxx@yyyyy's password:

le serveur ne le reconnaît pas, alors qu'il accepte ce même login directement sur le serveur.
L'utilisateur fait bien partie des Allowusers dans /etc/ssh/sshd_config. J'ai supprimé son compte et recréé derrière. Sans succès.
Qu'est-ce-qui peut être à l'origine du problème ?

Dernière modification par sinbad83 (Le 03/11/2014, à 12:11)

jplemoine · Le 29/10/2014, à 20:00

problème de droit sur le fichier sus-cité et/ou le répertoire le contenant ?

mazarini · Le 29/10/2014, à 20:01

Eventuellement vérifier le propriétaire du fichier /home/guy/.ssh/known_hosts et les droits d'écritures.
Au pire supprimer ce fichier.

sinbad83 · Le 29/10/2014, à 20:11

@jplemoine, @mazarini,
je ne crois pas. J'ai fait un test sur un autre serveur, la réponse comportait la même chose mais là, le login passe.
Le fichier /home/guy/.ssh/known_hosts a exactement les mêmes droits des deux côtés.
J'ai créé pour cet utilisateur un autre login qui ne pose pas de problème pour qu'il puisse accéder à distance.

Dernière modification par sinbad83 (Le 29/10/2014, à 21:03)

mazarini · Le 30/10/2014, à 09:13

Il te reste la possibilité "d'echanger" les répertoires home des 2 utilisateurs. Tu devrais quand même supprimer le fichier /home/guy/.ssh/known_hosts (qui semble parfois être à tord un répertoire) pour commencer.

sinbad83 · Le 30/10/2014, à 11:22

Je viens de supprimer le fichier .ssh/known_hosts, le fameux login ne peut toujours pas se connecter. Je me connecte juste avec le mot de passe sans les réponses habituelles du SSH, le fichier known_hosts reste vide.

jplemoine · Le 30/10/2014, à 11:53

Y a pas une piste quelconque dans les logs (coté client et/ou serveur) ?
Ça ressemble à un blocage type pare-feu (ufw, iptable, config ssh,..)

sinbad83 · Le 30/10/2014, à 20:34

Merci jplemoine, on progresse. Je viens de voir dans /var/log/auth.log

Oct 30 19:10:56 yyy sshd[33468]: User jose from lre83-1-zzz.fbx.proxad.net not allowed because not listed in AllowUsers
Oct 30 19:10:56 yyy sshd[33468]: input_userauth_request: invalid user jose [preauth]
Oct 30 19:11:07 yyy sshd[33468]: error: Could not get shadow information for NOUSER
Oct 30 19:11:07 yyy sshd[33468]: Failed password for invalid user jose from zzz port 44834 ssh2

A 19:10:56, le message d'erreur est faux, jose est dans la liste des Allowusers de /etc/ssh/sshd_config...
A 19:11:07, l'utilisateur jose est donné comme invalide alors qu'il peut se loguer directement au serveur quand il est sur le réseau local...
Par contre, le fichier .ssh/known_hosts ne contient que 2 lignes, a priori la mienne et celle du second login de jose.
Je viens de me loguer avec succès en tant qu'autre identifiant listé dans Allowusers, mais il n'y apparaît pas de troisième ligne dans /etc/ssh/sshd_config. (elle apparaîtra plus tard ? mais ce n'est pas le problème)

Dernière modification par sinbad83 (Le 30/10/2014, à 20:49)

jplemoine · Le 30/10/2014, à 21:01

sinbad83 a écrit :

mais il n'y apparaît pas de troisième ligne dans /etc/ssh/sshd_config.

Attention : il y a une ligne par machine, pas par utilisateur...
Je ne sais pas pourquoi l'utilisateur jose est jugé comme invalide...
Mais c'est la piste à creuser.

sinbad83 · Le 30/10/2014, à 21:13

jplemoine a écrit :

sinbad83 a écrit :
mais il n'y apparaît pas de troisième ligne dans /etc/ssh/sshd_config.
Attention : il y a une ligne par machine, pas par utilisateur...
Je ne sais pas pourquoi l'utilisateur jose est jugé comme invalide...
Mais c'est la piste à creuser.

Donc, jose (ou plutôt son portable) figure déjà dans known_hosts créé avec son deuxième login. Par contre, pourquoi est-il déclaré invalide en connexion SSH ???

jplemoine · Le 30/10/2014, à 21:31

Je pense qu'il y a dans /etc/ssh/sshd_config, il y a une directive AllowUsers.
Il faut mettre la liste en séparant les utilisateurs par un espace.
Je ne sais pas si c'est "case sensitive" ou pas.

Dernière modification par jplemoine (Le 30/10/2014, à 21:31)

sinbad83 · Le 31/10/2014, à 00:31

Dans le fichier, j'ai mis comme toujours:

Allowusers toto titi tata jose tutu

en conformité le man de sshd_config
Tous en dehors de jose accèdent en SSH.

jplemoine · Le 31/10/2014, à 01:13

Il n'y a pas un équivalent de deny qui bloquerait des utilisateurs ?

mazarini · Le 31/10/2014, à 09:39

Eventuellement : http://brandonhutchinson.com/wiki/%22er … _NOUSER%22
C'est peut être un problème lors de la création du user, erreur sur le home ou sur le shell.

Autrement, j'utilise plutôt le AllowGroups et j'ajoute/enlève les users du groupe.

sinbad83 · Le 31/10/2014, à 11:13

@mazarini,
bravo, c'est toi qui a trouvé, mais j'avoue ne pas avoir tout compris... J'ai changé Allowusers pour mettre Allowgroups et la connexion de jose est passée.

Dernière modification par sinbad83 (Le 31/10/2014, à 11:17)

mazarini · Le 31/10/2014, à 13:43

En fait, pour l'utilisation normale de AllowGroups, c'est de faire un groupe (ssh-user par exemple) et d'associé à ce groupe les utilisateurs qui ont droit à à utiliser ssh. Un peu sur le modèle du groupe sudoers pour la commande sudo de Ubuntu pour l'administration.

Si tu n'as fait que remplacer AllowUsers par AllowGroups en laissant jose dans la liste des groupes autorisé, c'est qu'il y a un problème avec ton utilisateur jose (nom avec un blanc ou caractère invisible ?).

sinbad83 · Le 31/10/2014, à 19:44

Naturellement, j'avais commenté la ligne Allowusers dans sshd_config.
Pour la ligne Allowgroups, j'ai mis ssh, qui existait déjà et je me suis contenté de faire un copier-coller des utilisateurs de la ligne Allowusers et de remplacer les espaces de séparation par des virgules pour le groupe ssh dans /etc/group.
Comment savoir s'il y avait un caractère invisible avant ou après jose dans Allowusers ?

PS2 La connexion même si elle se fait pour les utilisateurs désignés ne se fait pas de façon normale.
Sur un autre serveur, j'obtiens:

~$ ssh@xx.yy.zz
The authenticity of host 'xx.yy.zz (xx.yy.zz)' can't be established.
ECDSA key fingerprint is xyz.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xx.yy.zz' (ECDSA) to the list of known hosts.
ggg@xx.yy.zz's password: 
Welcome to Ubuntu 14.04.1 LTS (GNU/Linux 3.13.0-37-generic x86_64)

Alors qu'ici:

~$ ssh zz.yy.xx
ggg@zz.yy.xx's password: 
Last login: Fri Oct 31 19:24:19 2014 from lre83-1-88-182-46-9.fbx.proxad.net
ggg@PServ:~$

Dernière modification par sinbad83 (Le 31/10/2014, à 20:36)

jplemoine · Le 31/10/2014, à 19:54

J'aurais tendance à dire que tu supprimes les espaces (ou ce qui semble en être) et tu les remets
1 -

Allowusers toto titi tata jose tutu

2 -

Allowusers toto titi tatajosetutu

3 -

Allowusers toto titi tata jose tutu

Mais si tu as fais un copier-coller de la ligne, je n'y crois pas plus que ça...

Sinon, tu peux aussi regarder le retour de

cat /etc/passwd | grep jose

normalement, il ne doit y avoir qu'une ligne qui commence au bord de la fenêtre et il y a un : juste après.

sinbad83 · Le 31/10/2014, à 20:46

Voilà ce que donne cat:

~$ cat /etc/passwd | grep jose
jose:x:1001:1001:José,,,:/home/jose:/bin/bash

Pour moi, ce n'est pas significatif puisqu'il se loguait déjà quand il était sur le réseau.

Je remets ici une constatation que j'avais rajoutée par la suite et que tu n'as pas dû voir:
La connexion, même si elle se fait pour les utilisateurs désignés, ne se fait pas de façon normale. J'ai pourtant réinstallé SSH.
Sur un autre serveur, j'obtiens:

~$ ssh@xx.yy.zz
The authenticity of host 'xx.yy.zz (xx.yy.zz)' can't be established.
ECDSA key fingerprint is xyz.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xx.yy.zz' (ECDSA) to the list of known hosts.
ggg@xx.yy.zz's password: 
Welcome to Ubuntu 14.04.1 LTS (GNU/Linux 3.13.0-37-generic x86_64)

Alors qu'ici:

~$ ssh zz.yy.xx
ggg@zz.yy.xx's password: 
Last login: Fri Oct 31 19:24:19 2014 from lre83-1-uu.vv.ww.xx.fbx.proxad.net
ggg@PServ:~$

Pour le test avec les différents titi toto tata, je relance SSH et je teste après chaque modification ou simplement réécrire pour supprimer des caractères parasites éventuels ?

Dernière modification par sinbad83 (Le 31/10/2014, à 21:07)

jplemoine · Le 31/10/2014, à 21:08

Sur les autres serveurs, si tu refait le test, tu auras le même message...
En fait, la première fois, il y a ce message, ça crée une ligne dans la liste des hôtes connus (the list of known hosts).
Une fois créée, elle est juste lue.
Donc, je pense que ce que ce n'est pas la bonne piste.

sinbad83 · Le 31/10/2014, à 21:19

@jplemoine, c'est toi qui a trouvé l'erreur,
j'ai supprimé les intervalles avant et après jose dans AllowUsers puis j'ai remis les intervalles, j'ai décommenté la ligne AllowUsers, recommenté AllowGroups, relancé SSH et testé la connexion de jose. La connexion se fait.
Je clos donc la discussion pour en démarrer une nouvelle sur le dialogue à la connexion SSH.

Dernière modification par sinbad83 (Le 03/11/2014, à 12:11)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 29/10/2014, à 19:53

Impossible pour un utilisateur de se connecter en SSH (Résolu)

#2 Le 29/10/2014, à 20:00

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#3 Le 29/10/2014, à 20:01

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#4 Le 29/10/2014, à 20:11

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#5 Le 30/10/2014, à 09:13

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#6 Le 30/10/2014, à 11:22

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#7 Le 30/10/2014, à 11:53

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#8 Le 30/10/2014, à 20:34

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#9 Le 30/10/2014, à 21:01

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#10 Le 30/10/2014, à 21:13

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#11 Le 30/10/2014, à 21:31

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#12 Le 31/10/2014, à 00:31

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#13 Le 31/10/2014, à 01:13

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#14 Le 31/10/2014, à 09:39

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#15 Le 31/10/2014, à 11:13

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#16 Le 31/10/2014, à 13:43

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#17 Le 31/10/2014, à 19:44

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#18 Le 31/10/2014, à 19:54

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#19 Le 31/10/2014, à 20:46

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#20 Le 31/10/2014, à 21:08

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

#21 Le 31/10/2014, à 21:19

Re : Impossible pour un utilisateur de se connecter en SSH (Résolu)

Pied de page des forums