Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 30/06/2016, à 10:39

Oni_Shadow

[résolu] SSH par clef

J'ai un petit soucis, j'ai l'impression (et pas que l'impression puisque je me fais jeter par le serveur)que ma connexion par clef ne fonctionne pas, j'ai pourtant l’impression  que tout est correct.
j'ai généré une clef par

ssh-keygen -t rsa

utiliser le script

ssh-copy-id -i

vérifié que ma clef publique ((local_user)/.ssh/id_rsa.pub) était bien dans (serveur_user)/.ssh/authorized_keys ; elle l'est !
mais lorsque je me connecte par ssh on me demande le mot de passe du compte du serveur, et si par hasard je désactive la connexion par mot de passe, je n'ai plus moyen de me connecter...
que peut-il bien manquer ?

Dernière modification par Oni_Shadow (Le 30/06/2016, à 18:21)


Rouillé

Hors ligne

#2 Le 30/06/2016, à 11:07

pires57

Re : [résolu] SSH par clef

On doit deviner les fichiers de conf?
Fourni les infos nécessaire smile


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#3 Le 30/06/2016, à 11:18

sinbad83

Re : [résolu] SSH par clef

Bonjour,
regarde sur le serveur la réponse à

tail -f /var/log/auth.log &

La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#4 Le 30/06/2016, à 11:19

Oni_Shadow

Re : [résolu] SSH par clef

Oui, pardon !
Sur serveur :
ssh_config

# cat /etc/ssh/ssh_config 

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
#   IdentityFile ~/.ssh/id_ed25519
#   Port 22
#   Protocol 2
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

sshd_config

cat /etc/ssh/sshd_config 
# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Chez moi... que dois-je afficher ?
le ssh_config donne

cat /etc/ssh/ssh_config                                                    

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
#   IdentityFile ~/.ssh/id_ed25519
#   Port 22
#   Protocol 2
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

À noté que croyant mes modification la cause du probleme j'ai remis le sshd_config à ses valeurs par défaut, sans succès, mais il ságit donc des paramêtres par défaut.


Rouillé

Hors ligne

#5 Le 30/06/2016, à 11:24

Oni_Shadow

Re : [résolu] SSH par clef

sinbad83 a écrit :

Bonjour,
regarde sur le serveur la réponse à

tail -f /var/log/auth.log &

heuu, voila ! smile

tail -f /var/log/auth.log &
[2] 20183
oslight@serveur:~$ Jun 30 12:20:53 serveur sshd[20055]: pam_unix(sshd:session): session closed for user oslight
Jun 30 12:20:53 serveur systemd-logind[810]: Removed session 78.
Jun 30 12:21:01 serveur sshd[20130]: Authentication refused: bad ownership or modes for directory /home/oslight/.ssh
Jun 30 12:21:07 serveur sshd[20130]: Accepted password for oslight from 192.168.1.19 port 44752 ssh2
Jun 30 12:21:07 serveur sshd[20130]: pam_unix(sshd:session): session opened for user oslight by (uid=0)
Jun 30 12:21:07 serveur systemd-logind[810]: New session 79 of user oslight.
Jun 30 12:21:42 serveur sshd[20164]: Received disconnect from 192.168.1.19 port 44752:11: disconnected by user
Jun 30 12:21:42 serveur sshd[20164]: Disconnected from 192.168.1.19 port 44752
Jun 30 12:21:42 serveur sshd[20130]: pam_unix(sshd:session): session closed for user oslight
Jun 30 12:21:42 serveur systemd-logind[810]: Removed session 79.

Rouillé

Hors ligne

#6 Le 30/06/2016, à 12:28

pires57

Re : [résolu] SSH par clef

Tu pourrais déjà commencer par modifier cette valeur dans sshd_config

#PasswordAuthentication yes

Tu le décommentes (enlève le #) puis modifie sa valeur (remplace "yes" par "no"

Pourrais tu me donner le retour de la commande suivante :

ls -al /home/oslight/

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#7 Le 30/06/2016, à 12:56

Oni_Shadow

Re : [résolu] SSH par clef

le soucis c'est que quand je mets

PasswordAuthentication no

je ne peux plus me connecter... c'est pour cela que j'ai remis la config d'origine.

oslight@serveur:~$ ls -la ~
total 48
drwxr-xr-x 5 oslight oslight 4096 Jun 25 16:41 .
drwxr-xr-x 3 root    root    4096 Jun 25 11:36 ..
-rw------- 1 oslight oslight 9977 Jun 30 12:21 .bash_history
-rw-r--r-- 1 oslight oslight  220 Jun 25 11:36 .bash_logout
-rw-r--r-- 1 oslight oslight 3771 Jun 25 11:36 .bashrc
drwx------ 2 oslight oslight 4096 Jun 25 11:38 .cache
drwxrwxr-x 2 oslight oslight 4096 Jun 25 18:59 .nano
-rw-r--r-- 1 oslight oslight  675 Jun 25 11:36 .profile
drwxrwxrwx 2 oslight root    4096 Jun 25 19:03 .ssh
-rw-r--r-- 1 oslight oslight    0 Jun 25 11:38 .sudo_as_admin_successful
-rw-r--r-- 1 root    root      29 Jun 25 12:32 test

Rouillé

Hors ligne

#8 Le 30/06/2016, à 13:04

donut

Re : [résolu] SSH par clef

Tu te connecte avec le bon utilisateur ?

Dans le authorized_keys du serveur tu as bien un truc du genre : ssh-rsa fdsfjdf9083434... machin@bidule ?


https://utux.fr (blog perso)

Hors ligne

#9 Le 30/06/2016, à 13:27

Oni_Shadow

Re : [résolu] SSH par clef

donut a écrit :

Tu te connecte avec le bon utilisateur ?

Dans le authorized_keys du serveur tu as bien un truc du genre : ssh-rsa fdsfjdf9083434... machin@bidule ?

Oui, bien sûr smile


Rouillé

Hors ligne

#10 Le 30/06/2016, à 13:30

bobe

Re : [résolu] SSH par clef

Jun 30 12:21:01 serveur sshd[20130]: Authentication refused: bad ownership or modes for directory /home/oslight/.ssh

Faut corriger le groupe et les droits sur le dossier .ssh et sur .ssh/id_rsa aussi sans doute.

chgrp oslight /home/oslight/.ssh
chmod 0700 /home/oslight/.ssh
chown oslight:oslight /home/oslight/.ssh/id_rsa
chmod 0600 /home/oslight/.ssh/id_rsa

Hors ligne

#11 Le 30/06/2016, à 13:53

pires57

Re : [résolu] SSH par clef

je ne sais pas  quelle doc / tuto tu as suivi mais en tout cas il est de qualité plus que médiocre. on ne donne jamais de droit 777, encore moins sur un répertoire caché.
Le post de bobe est effectivement la bonne méthode.


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#12 Le 30/06/2016, à 14:27

Oni_Shadow

Re : [résolu] SSH par clef

pires57 a écrit :

je ne sais pas  quelle doc / tuto tu as suivi mais en tout cas il est de qualité plus que médiocre. on ne donne jamais de droit 777, encore moins sur un répertoire caché.
Le post de bobe est effectivement la bonne méthode.

Je n'ai suivi aucun tuto qui indiquaient de changer les droits, j'ai simplement regardé la doc d'ici... et je n'ai pas souvenir d'avoir modifié quoi que ce soit de ce type, la seul chose pouvant avoir une influence sur les droits doit être quelques édit en mode root , mais rien qui ne justifie un passage à 777!
Je suis peut-être novice dans les serveurs mais j'ai tout de même certaines notions de base linuxienne dont l'owenership fait parti. J'avoue ne pas comprendre l'origine de ce changement.


Rouillé

Hors ligne

#13 Le 30/06/2016, à 18:07

Oni_Shadow

Re : [résolu] SSH par clef

Et effectivement ça marche bien mieux avec les bon droits !
Merci beaucoup !
J'imagine toujours qu'il doit y avoir un soucis avec mes fichier config, mais in fine, ce sont des problèmes différents, suffisamment simples pour que je puisse les résoudre moi-même. sad


Rouillé

Hors ligne

#14 Le 30/06/2016, à 18:10

bobe

Re : [résolu] SSH par clef

Ajoute [résolu] au début du titre du topic stp ;-)

Hors ligne