Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 08/03/2010, à 19:54

Yop69

[RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Bonsoir,

Voila, je souhaite avoir une commande (un rsync pépiote) dans un fichier .sh qui devra pas me demander de mot de passe quand elle se connectera en ssh sur mon serveur.
J'ai donc créé la paire de clé, copié la clé public sur le serveur. Mais j'essaie en vain de me connecter sur mon serveur et j'ai toujours une demande de mot de passe sad

Pouvez vous m'aider ? A savoir que j'ai fait un verbose de la connexion ssh (mais je ne comprends pas tout)

http://www.yionel.fr/pastebin/index.php/view/17962863

Merci beaucoup pour votre aide !

Dernière modification par Yop69 (Le 08/03/2010, à 22:21)

Hors ligne

#2 Le 08/03/2010, à 20:18

mallain

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Bonsoir,

Afin de répondre au mieux à ta demande. Imaginons la situation suivante.

J'ai 2 éléments actifs

* Mon serveur identifié "serveur"
* Un poste local identifié "local"

Sur mon serveur, mon utilisateur s'appelle "user_server" sur mon poste local "user_local"

Je possède sur mon poste "local" une clé ssh. Elle se situe dans /home/user_local/.ssh/
2 fichiers sont présents.

* /home/user_local/.ssh/id_rsa : Clé privée qui doit resté sur le poste client
* /home/user_local/.ssh/id_rsa.pub : Clé publique qui peut être "diffusé"

Côté serveur

Première chose, configurons notre serveur SSH afin d'autoriser la connexion avec une clé SSH.
Pour se faire, on édite le fichier /etc/ssh/sshd_config, et on supprime le commentaire concernant la ligne "AuthorizedKeysFile"

user_server@server:~$ vi /etc/ssh/sshd_config

AuthorizedKeysFile     %h/.ssh/authorized_keys

Maintenant que c'est fait, nous "rechargerons" la configuration du serveur SSH, à travers cette commande.

sudo /etc/init.d/sshd reload

Côté client

Nous allons copier le contenu de notre clé publique dans le presse papier, et le déposer dans le fichier /home/user_server/.ssh/authorized_keys

On affiche le contenu de notre clé publique sur notre pc local.

cat ~/.ssh/id_rsa.pub

ssh-rsa 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 user_local@local

Je sélectionne le texte, et j'édite le fichier /home/user_server/.ssh/authorized_keys du serveur afin d'y insérer le contenu du presse papier.

vi /home/user_server/.ssh/authorized_keys

ssh-rsa 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 user_local@local

Maintenant, (normalement) en faisant ssh user_server@server, je serai connecté sans mot de passe sur le serveur.

En espérant avoir su t'aiguiller.

Mickaël.


Blog sur les nouvelles technologies : http://www.mickael-allain.fr

Hors ligne

#3 Le 08/03/2010, à 20:52

Yop69

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Merci beaucoup pour ton aide, malheursement j'en suis au même point sad
J'ai décommenter
AuthorizedKeysFile     %h/.ssh/authorized_keys
Je pensais que c'était ça mais non, il me demande toujours mon mot de passe :'(

Hors ligne

#4 Le 08/03/2010, à 21:14

Gage

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Dans ton fichier /etc/ssh/sshd_config, vérifie les méthodes autorisées. Si l'authentification par mot de passe est possible, normal qu'il commence par te demander ton mot de passe. En plus, pour peu que ton mot de passe ne soit pas follement solide, c'est une sacrée grosse faille.
En exemple, mon fichier de configuration :

gage@Monordi $: cat /etc/ssh/sshd_config
#	$OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#AddressFamily any
ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2            # Pense à désactiver le protocole 1, il est obsolète et ne devrait plus être utilisé que si on n'a pas le choix (genre quand on se connecte depuis une très vieille machine pas à jour).

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

LoginGraceTime 2m
PermitRootLogin no                  #Comme ça, tu es sûr qu'aucun petit malin ne tentera de pirater ton compte root. Enfin, encore faudrait-il qu'il ait la clef.
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile	.ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no                        # C'est là que ça se passe
PermitEmptyPasswords no                         # Ça évite de te faire pirater un compte qui ne serait pas pourvu de mot de passe. Genre le compte root sous Ubuntu. Bon, en fait on s'en fiche parce que l'authentification par mot de passe est interdite. Note que si cette option a été réglée à "yes" par le passé, avec l'authentification par mot de passe activée et un routeur qui redirigeait le port 22 vers ton serveur, ta machine est, à l'heure actuelle, foutue et tu n'as plus qu'à réinstaller le système.

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing, 
# and session processing. If this is enabled, PAM authentication will 
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem	sftp	/usr/lib/ssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	ForceCommand cvs server

Par ailleurs, une façon assez simple de mettre ta clé sur l'ordinateur serveur sans te fatiguer consiste à exécuter :

ssh-copy-id -i ma_clé.pub mon_login@mon_serveur

Le serveur va alors te demander le mot de passe, tu le donnes, puis côté serveur, tu actives l'authentification par clé et désactives celle par mot de passe.

Dernière modification par Gage (Le 08/03/2010, à 21:23)


Ça, ce sont les sources. Le mouton que tu veux est dedans.
Merci, c'est tout à fait comme ça que je le voulais ! Crois-tu qu'il faille beaucoup de ressources à ce mouton ? Parce que ma config est toute petite...
Ça devrait aller. Tu peux te compiler un petit mouton.
Pas si petit que ça. Tiens ! il s'est mis en veille...

Hors ligne

#5 Le 08/03/2010, à 21:25

nesthib

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

tu peux désactiver l'authentification par clé en modifiant ce paramètre dans le fichier de configuration de sshd (/etc/ssh/sshd_config sur le serveur)

PasswordAuthentication no

puis relance le serveur ssh

sudo /etc/init.d/ssh restart

si cela ne fonctionne pas poste le contenu de ton fichier de config


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#6 Le 08/03/2010, à 21:33

Yop69

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Gage> Le problème c'est que mon serveur je l'attaque de l'extérieur sur différents pc que je ne connais pas forcément smile. Donc mot de passe obligé et crois moi ya pas de faille car c'est un sacré mot de passe.
Je ne peux donc pas désactiver l'authentification par mot de passe hmm

et oui la commande ssh-copy-id c'est celle que j'ai faite (avec "-p xxx user@ip" )

nesthib> Pourquoi désactiver l'authentification par clé ? c'est ce que je veux smile

Voici mon fichier sshd_config :
http://www.yionel.fr/pastebin/index.php/view/63145141

Hors ligne

#7 Le 08/03/2010, à 21:44

nesthib

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

@Yop69 : ben justement si tu comprends un minimum l'anglais password = mot de passe wink
essaie et tu verras, plus de possibilité d'authentification par mot de passe mais l'authentification par clé reste toujours possible.

ou alors tu as mal formulé ta question, peut-être as-tu affecté une passphrase à ta clé auquel cas il est normal de devoir l'entrer pour la déverrouiller


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#8 Le 08/03/2010, à 21:53

Gage

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Sinon, une autre possibilité, que je n'ai pas essayée chez moi, donc je ne fais que décrire sans avoir testé, est de désactiver l'authentification par mot de passe au niveau de l'ordi où tu as une clé. Ça se passe dans ton fichier ~/.ssh/ssh_config :

PasswordAuthentification no

Ça, ce sont les sources. Le mouton que tu veux est dedans.
Merci, c'est tout à fait comme ça que je le voulais ! Crois-tu qu'il faille beaucoup de ressources à ce mouton ? Parce que ma config est toute petite...
Ça devrait aller. Tu peux te compiler un petit mouton.
Pas si petit que ça. Tiens ! il s'est mis en veille...

Hors ligne

#9 Le 08/03/2010, à 22:04

nesthib

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

^^ un poil en retard Gage

NB. moi j'ai testé et ça fonctionne parfaitement smile


GUL Bordeaux : GirollServices libres : TdCT.org
Hide in your shell, scripts & astuces :  applications dans un tunnelsmart wgettrouver des pdfinstall. auto de paquetssauvegarde auto♥ awk
  ⃛ɹǝsn xnuᴉꞁ uʍop-ǝpᴉsdn

Hors ligne

#10 Le 08/03/2010, à 22:18

Gage

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Non, parce que toi tu proposes de désactiver l'authentification pas mot de passe sur le serveur, ce qui aboutirait à refuser toute authentification par mot de passe (enfin, c'est ce qu'il a compris. En fait, tu lui donnais déjà le choix, mais ça n'était pas d'une clarté limpide tongue). Moi, je propose de la désactiver sur les postes clients où il y a une clef.

Mais, à la réflexion, ça ne devrait rien résoudre. En effet, par défaut, ssh essaie l'authentification par mot de passe en dernier recours, seulement après avoir essayé les autres méthodes, notamment l'authentification par clef. Je pense donc à un problème de l'authentification par clef.

Peux-tu donc poster les retours de :
Côté serveur :

cat /etc/ssh/sshd_config
cat $HOME/.ssh/authorized_keys

Et côté client :

cat /etc/ssh/ssh_config
cat $HOME/.ssh/ssh_config
cat $HOME/.ssh/id_rsa.pub
cat $HOME/.ssh/known_hosts

Le tout entre des balises code (une par fichier, c'est plus simple à lire), afin que ça soit accessible sans passer par un énième pastebin qui applique une coloration syntaxique foireuse parce qu'il croit que c'est du bash.

Dernière modification par Gage (Le 08/03/2010, à 22:20)


Ça, ce sont les sources. Le mouton que tu veux est dedans.
Merci, c'est tout à fait comme ça que je le voulais ! Crois-tu qu'il faille beaucoup de ressources à ce mouton ? Parce que ma config est toute petite...
Ça devrait aller. Tu peux te compiler un petit mouton.
Pas si petit que ça. Tiens ! il s'est mis en veille...

Hors ligne

#11 Le 08/03/2010, à 22:21

Yop69

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

j'ai trouvé \o/ \o/

cela venait des droits du fichiers authorized_keys sur le serveur qui doit etre a 600 alors que moi il appartenait à root lol avec des droits foireux.

Je suis super content ^^

Merci à vous !!

Hors ligne

#12 Le 08/03/2010, à 22:22

Gage

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Ah bah forcément, si tu interdis à ssh de lire les clés autorisées, faut pas s'attendre à ce qu'il les trouve... tongue.


Ça, ce sont les sources. Le mouton que tu veux est dedans.
Merci, c'est tout à fait comme ça que je le voulais ! Crois-tu qu'il faille beaucoup de ressources à ce mouton ? Parce que ma config est toute petite...
Ça devrait aller. Tu peux te compiler un petit mouton.
Pas si petit que ça. Tiens ! il s'est mis en veille...

Hors ligne

#13 Le 08/03/2010, à 22:44

Yop69

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Gage a écrit :

Le tout entre des balises code (une par fichier, c'est plus simple à lire), afin que ça soit accessible sans passer par un énième pastebin qui applique une coloration syntaxique foireuse parce qu'il croit que c'est du bash.

Euh c'est surtout moi qui me suis vautré en lui disant que c'est du bash lol

Hors ligne

#14 Le 08/03/2010, à 22:57

Gage

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Bien, tu seras donc fouetté.


Ça, ce sont les sources. Le mouton que tu veux est dedans.
Merci, c'est tout à fait comme ça que je le voulais ! Crois-tu qu'il faille beaucoup de ressources à ce mouton ? Parce que ma config est toute petite...
Ça devrait aller. Tu peux te compiler un petit mouton.
Pas si petit que ça. Tiens ! il s'est mis en veille...

Hors ligne

#15 Le 09/03/2010, à 17:10

mallain

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Re,

Je viens de publier un petit billet à ce sujet sur mon blog. Authentification SSH sans mot de passe avec une clé SSH de type RSA

En y insérant un petit clin d'œil à Yop69 pour le coup des droits ;-)

Bonne continuation à tous.

Mickaël.


Blog sur les nouvelles technologies : http://www.mickael-allain.fr

Hors ligne

#16 Le 09/03/2010, à 18:28

Yop69

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

:-) cool

Hors ligne

#17 Le 14/03/2011, à 22:42

lalounator

Re : [RESOLU] ssh et clé. Je ne veux pas de mot de passe grrr

Yop69 a écrit :

cela venait des droits du fichiers authorized_keys sur le serveur qui doit etre a 600 alors que moi il appartenait à root lol avec des droits foireux.

mec tu viens de me sauver la life, j'avais exactement le même problème que je viens de résoudre

béni soit ce forum et ses utilisateurs
béni soit GNU/Linux


lalounator

Hors ligne