mise à jour de sécurité ssh et cle d'hote[Résolu]

vince06fr · Le 14/05/2008, à 18:17

J'utilise ssh pour transferer des fichiers à travers mon réseau local, je n'ai donc jamais installé de clefs et n'utilise que la connexion par mot de passe, hors depuis la mise à jour de sécurité de ce matin, je ne peux plus utiliser ssh pour me connecter à mon serveur et j'obtiens l'erreur suivante

Erreur : La vérification de la clé de l'hôte a échoué
Sélectionnez un autre visionneur et essayez à nouveau.

Comment faire pour rétablir la connexion par mot de passe???

Dernière modification par vince06fr (Le 14/05/2008, à 21:53)

wblitz · Le 14/05/2008, à 18:36

ça t'affiche quoi la commande suivante (dans un terminal) :

ssh -vvv login@ton_serveur

vince06fr · Le 14/05/2008, à 21:22

voilà :

 ssh -vvv vince@192.168.1.2
OpenSSH_4.7p1 Debian-8ubuntu1, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.1.2 [192.168.1.2] port 22.
debug1: Connection established.
debug1: identity file /home/vince/.ssh/identity type -1
debug1: identity file /home/vince/.ssh/id_rsa type -1
debug1: identity file /home/vince/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.7p1 Debian-8ubuntu1.1
debug1: match: OpenSSH_4.7p1 Debian-8ubuntu1.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 129/256
debug2: bits set: 475/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/vince/.ssh/known_hosts
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
ac:4d:aa:29:f9:65:c9:ac:e7:83:f2:86:1b:ac:fd:d7.
Please contact your system administrator.
Add correct host key in /home/vince/.ssh/known_hosts to get rid of this message.
Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.
Host key verification failed.

Visiblement la mise à jour a changé la clef RSA et il faut corriger ça dans /home/vince/.ssh/known_hosts, mais vu que mes connaissance sur ssh et les clefs RSA sont très limitée, et que je manque cruellement de temps pour me plonger dans la doc, un peu d'aide serait bienvenue

®om · Le 14/05/2008, à 21:27

Vu que la mise à jour regénère automatiquement les clés pour la machine, il ne reste plus qu'à modifier les clés persos :

Sur les pc clients :

ssh-keygen -t dsa
rm ~/.ssh/known_hosts

Sur les pc serveurs :

rm ~/.ssh/authorized_keys

Puis, pour une authentification par clés, à partir du poste client :

scp ~/.ssh/id_dsa.pub leserveur:.ssh/authorized_keys

Merci, j'avais oublié de les regénérer depuis ce matin

Dernière modification par ®om (Le 14/05/2008, à 21:31)

vince06fr · Le 14/05/2008, à 21:53

Merci beaucoup ça marche!!
La manip n'est pas compliqué en fait, il faudrait peut-être editer le wiki car ton explication très claire

®om · Le 14/05/2008, à 22:57

Voilà : http://doc.ubuntu-fr.org/ssh#correction_vulnerabilite_ssh

Dernière modification par ®om (Le 15/05/2008, à 10:15)

wblitz · Le 15/05/2008, à 09:04

juste pour préciser, il n'y avait besoin que d'une chose dans ton cas, c'était de virer la ligne 1 du fichier ~/.ssh/known_host côté client, comme l'indiquait la sortie de la commande :

Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.

pas besoin donc de regénérer systématiquement une clé perso

®om · Le 15/05/2008, à 10:14

wblitz a écrit :

juste pour préciser, il n'y avait besoin que d'une chose dans ton cas, c'était de virer la ligne 1 du fichier ~/.ssh/known_host côté client, comme l'indiquait la sortie de la commande :
Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.
pas besoin donc de regénérer systématiquement une clé perso

Oui, mais avec la mise à jour, il blacklistait les clés (justement parce qu'elles étaient compromises), d'où l'utilité de les regénérer.

wblitz · Le 15/05/2008, à 10:40

il blacklistait les clés

c'est le client qui générait une erreur de vérification de la clé du serveur par rapport à celle mémorisée dans le fichier "/home/vincent/.ssh/known_host", sur le client donc :

ssh -vvv vince@192.168.1.2
Add correct host key in /home/vince/.ssh/known_hosts to get rid of this message.
RSA host key for 192.168.1.2 has changed

je maintiens donc : seul le fichier know_hosts côté client avait besoin d'être modifié.

Dernière modification par wblitz (Le 15/05/2008, à 10:41)

®om · Le 15/05/2008, à 12:54

Oui, ok, mais quand tu fais:

ssh-vulnkey

tu constates que tes clés persos sont "compromised", d'où l'utilité de les regénérer...

fugitif · Le 15/05/2008, à 13:42

Pour contrôler toutes vos clefs il suffis de taper

sudo ssh-vulnkey -a

S'il y a un COMPROMISED sur une de vos clef il faut régénérer la clef.

®om · Le 15/05/2008, à 18:05

x-one · Le 15/05/2008, à 19:28

J'ai eu le même probleme avec un itouch et avec mon mac, pour ma part j'ai opté pour une solution un peu plus radicale: j'ai supprimé completement le fichier know_host en ayant pris soin d'en faire une sauvegarde avant au cas ou... et ça marche nikel !

fugitif · Le 16/05/2008, à 12:17

®om a écrit :

http://imgs.xkcd.com/comics/random_number.png

lol

Elemmire · Le 27/05/2008, à 18:51

Pour info, lorsque vous avez un message tu type :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for mon_server has changed,
and the key for the according IP address 192.168.1.193
has a different value. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/elemmire/.ssh/known_hosts:51

vous avez 3 facons de résoudre le problème :
- facon "bourrin" :

echo > ~/.ssh/known_hosts

- facon "simple" : J'édite le fichier ~/.ssh/known_hosts et je supprime la ligne indiqué dans le message (ici dans l'exemple la ligne 51)

- maniere plus élégante :

ssh-keygen -R mon_server
ssh-keygen -R 192.168.1.193

ce qui a pour effet de ne supprimer les clés qui ne sont plus valides

aprés quand vous vous reconnectez à une machine faudra répondre à la question :

The authenticity of host 'mon_server (192.168.1.193)' can't be established.
RSA key fingerprint is e3:0c:3d:be:bd:b2:7e:4b:71:8k:5a:9f:5d:41:a6:87.
Are you sure you want to continue connecting (yes/no)?

voila pour la petite histoire.

Dernière modification par Elemmire (Le 11/06/2008, à 17:10)

sboudbliff · Le 10/06/2008, à 17:57

je viens tout juste d'avoir le même problème:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

j'ai supprimé la ligne indiqué dans le message (dans mon cas, la ligne 5)

Offending key in /home/xxxx/.ssh/known_hosts:5

et à la reconnection il enregistre la nouvelle clef du serveur

merci beaucoup

asheenlevrai · Le 09/07/2009, à 09:16

wblitz a écrit :

juste pour préciser, il n'y avait besoin que d'une chose dans ton cas, c'était de virer la ligne 1 du fichier ~/.ssh/known_host côté client, comme l'indiquait la sortie de la commande :
Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.
pas besoin donc de regénérer systématiquement une clé perso

Hello, mon problème est que la connexion ssh fonctionne (transfert de fichier via nautilus en utilisant ssh://usrname@IP:22) par mot de passe en local (LAN), mais depuis quelques temps (depuis 9.04), ca ne fonctionne plus en WAN... j'obtiens l'erreur:

Erreur : La vérification de la clé de l'hôte a échoué
Sélectionnez un autre visionneur et essayez à nouveau.

(j'utilise un compte DynDNS et tout est paramétré comme il faut)

étant tombé sur ce post je me suis dit que j'allais "commenter" la 1ere ligne de mon fichier known_host (coté client) pour tester... mais mon fichier commence comme ca:

|1|2eEtCoI/FUezCW/PqCie47gtep0=|CppCEx8sbSDgmtM1dh9o6Fl3WOg= ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAzR41WL5VSZIa7WUurmicLk26hBJmdlMS5XrUBDPIG9vv82a5mKQ0wvy1rbYMMK65DpcPz8DkFH47unBkf3ZKtgCPXXCxL563CtiOCe6VNBJcduo3uXaU3CEnGzqet0q2INdehFTsKqd1etxFsu0g+WMC4e4hWsPjB28iUYOlbk0Ct/edYO9ouRig8oIVdZBVtzHavyfYcBds1uh84gu+n0sbQWQ42jk+zyT0K0c0ylQ34RPTwv0DH9eApnrt+LGvPp5WhFOqaceWNb/6N039hckWl/QB+cc4UYGt6acSycQ7KIk9KdI/5FbcCvADD3OCJWSikLjU+T4osyZNY81CGx==
|1|MRrCRaL1nM3KrIRXZ+BmylWFftE=|htDrTRXNoK9v/mY+y7ax8jh1tOw= ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAzR41WL5VSZIa7WUurmicLk26hBJmdlMS5XrUBDPIG9vv82a5mKQ0wvy1rbYMMK65DpcPz8DkFH47unBkf3ZKtgCPXXCxL563CtiOCe6VNBJcduo3uXaU3CEnGzqet0q2INdehFTsKqd1etxFsu0g+WMC4e4hWsPjB28iUYOlbk0Ct/edYO9ouRig8oIVdZBVtzHavyfYcBds1uh84gu+n0sbQWQ42jk+zyT0K0c0ylQ34RPTwv0DH9eApnrt+LGvPp5WhFOqaceWNb/6N039hckWl/QB+cc4UYGt6acSycQ7KIk9KdI/5FbcCvADD3OCJWSikLjU+T4osyZNY81CGx==
|1|DCdcp0clgueMZ5pgWTj0TI3govY=|+16+rSnxRL1E+Rxc/v0cdURTOtQ= ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAzR41WL5VSZIa7WUurmicLk26hBJmdlMS5XrUBDPIG9vv82a5mKQ0wvy1rbYMMK65DpcPz8DkFH47unBkf3ZKtgCPXXCxL563CtiOCe6VNBJcduo3uXaU3CEnGzqet0q2INdehFTsKqd1etxFsu0g+WMC4e4hWsPjB28iUYOlbk0Ct/edYO9ouRig8oIVdZBVtzHavyfYcBds1uh84gu+n0sbQWQ42jk+zyT0K0c0ylQ34RPTwv0DH9eApnrt+LGvPp5WhFOqaceWNb/6N039hckWl/QB+cc4UYGt6acSycQ7KIk9KdI/5FbcCvADD3OCJWSikLjU+T4osyZNY81CGx==

Je ne sais donc pas trop si c'est normal, et ce que je dois "commenter"

merci d'avance pour votre aide

Asheen

Dernière modification par asheenlevrai (Le 09/07/2009, à 09:20)

vince06fr · Le 09/07/2009, à 10:04

au pire tu utilise la méthode bourrin : tu efface le contenu de ton fichier know_host et ça devrait aller => de nouvelles clefs vont etre généré à tes prochaines connexions
au cas tu en fait une sauvegarde avant d'effectuer les manips

asheenlevrai · Le 29/07/2009, à 16:30

la méthode bourrin semble fonctionner pour moi :-)

je vous tiens au courant si je note d'éventuels effets secondaires...

merci encore

Asheen

al_boon · Le 01/11/2010, à 21:17

merci wblitz cela fonctionne bien

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 14/05/2008, à 18:17

mise à jour de sécurité ssh et cle d'hote[Résolu]

#2 Le 14/05/2008, à 18:36

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#3 Le 14/05/2008, à 21:22

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#4 Le 14/05/2008, à 21:27

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#5 Le 14/05/2008, à 21:53

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#6 Le 14/05/2008, à 22:57

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#7 Le 15/05/2008, à 09:04

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#8 Le 15/05/2008, à 10:14

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#9 Le 15/05/2008, à 10:40

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#10 Le 15/05/2008, à 12:54

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#11 Le 15/05/2008, à 13:42

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#12 Le 15/05/2008, à 18:05

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#13 Le 15/05/2008, à 19:28

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#14 Le 16/05/2008, à 12:17

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#15 Le 27/05/2008, à 18:51

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#16 Le 10/06/2008, à 17:57

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#17 Le 09/07/2009, à 09:16

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#18 Le 09/07/2009, à 10:04

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#19 Le 29/07/2009, à 16:30

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

#20 Le 01/11/2010, à 21:17

Re : mise à jour de sécurité ssh et cle d'hote[Résolu]

Pied de page des forums