[Résolu] premier pas sur ssh

Tioneb · Le 17/06/2006, à 14:09

Salut,

je m'essaie à faire un faire un server ssh mais je n'arrive pas à trouver des réponses sur qq questions:

-l'utilsateur peut-il être un utilisateur déjà existant (mon compte sur le serveur) ?
-lorsque je recharge le server il me répond qu'il ne peut pas charger les clés alors que je les ai créer

ssh-keygen -t dsa

- faut il se placer dans le group ssh dans le fichier group ?
bref les premiers pas sont à l'aveugle j'aurais bien aimé un coup de main ou un tuto mieux que celui de la doc
merci

Dernière modification par Tioneb (Le 18/06/2006, à 13:11)

lut!n · Le 17/06/2006, à 14:16

salut !
les clés que tu crées, elles sont pour le serveur ou pour l'utilisateur ? car normalement, une paire de clef DSA/RSA est crée au moment de l'install d'OpenSSH-server. Sinon, le chemin des clé doit se regler dans /etc/ssh/sshd_config
sinon pour l'utilisateur: En fait la connexion ne se fait pas en fonction du nom d'utilisateur distant, mais en fonction de celui du serveur. Par exemple tu ne peux te connecter qu'a des comptes existants sur le serveur (si tu veux faire un ssh tioneb@ton_serveur, le compte tioneb doit exister sur le serv; par contre tu peux faire un ssh machin_truc@ton_serveur meme si machin_truc n'existe pas sur la machine distante)
Bref je ne sais pas vraiment si j'ai été clair, mais n'hésites pas si tu des questions

Tioneb · Le 17/06/2006, à 14:42

ok pour l'utilisateur c'est cool

les clés
bon alors j'ai les clés du host dans le repertoire /etc/ssh

moduli      sshd_config       ssh_host_dsa_key.pub  ssh_host_rsa_key.pub
ssh_config  ssh_host_dsa_key  ssh_host_rsa_key

et celles que j'ai créées sont pour le client je suppose elle sont dans ~/.ssh/
le chemin dans la config pointe sur celle ds /etc/ssh/ donc c'est un peu obscur

lut!n · Le 17/06/2006, à 14:46

oui c'est bon. Tu as donc dans ta config serv les clés du serv (ssh_host_*). le probleme des clés non autorisés vient souvent de problemes de reglages sur le serv. En fait si tu actives l'auth. par systeme de clés, il faut que tu restreigne les clés autorisées en modifiant le fichier authorized_keys de ton serv (une ligne correspond a ca dans la config, il faut créer le fichier)
dans ce fichier, tu insere les clés de ~/.ssh/ de la machine distante. Normalement si de part et d'autre l'auth. par clés est activée, ca doit rouler

Je retrouve la config de mon ancien serv et je t'en fait part si tu veux

Dernière modification par lut!n (Le 17/06/2006, à 14:47)

Tioneb · Le 17/06/2006, à 14:52

ok alors je crois que j'ai fait boulette en fait j'ai créer la clé privé sur le server et non sur le client !!! j'ai fait le

ssh-keygen -t -dsa sur le server

alors que si je comprends il faut le faire sur le client ...

qd tu dis insérer les clés je copie la clé (ASCII) ou juste le chemin ?

lut!n · Le 17/06/2006, à 14:58

il faut recopier l'intégralité de la clé. En fait tu recopie la clé PUBLIQUE de la machine distante dans le authorized_keys du serveur
quelques minutes je te mets le reglage de mon serveur commenté, tu pourras partir dessus

Config du serv a écrit :

# $OpenBSD: sshd_config,v 1.65 2003/08/28 12:54:34 markus Exp $
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
Port 110 a configurer toi-meme
#Protocol 2,1
Protocol 2
#ListenAddress 0.0.0.0
#ListenAddress ::
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key precise le path des clés du serveur ssh
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768
# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
LogLevel DEBUG
# Authentication:
#LoginGraceTime 2m
PermitRootLogin no
# The following setting overrides permission checks on host key files
# and directories. For security reasons set this to "yes" when running
# NT/W2K, NTFS and CYGWIN=ntsec.
StrictModes no
RSAAuthentication no
PubkeyAuthentication yes autorise l'auth. par clés publiques
AuthorizedKeysFile /etc/ssh/keys fichier des clés ssh autorisées. y mettre les clés PUBLIQUES des machines distantes autorisées
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication yes
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no desactive l'auth. par mote de passe (plus sur)
#PermitEmptyPasswords no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCreds yes
# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication'
#UsePAM yes
AllowTcpForwarding yes active la redirection des ports
GatewayPorts yes si pas sur, mettre non
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
KeepAlive yes
#UseLogin yes
#UsePrivilegeSeparation no
#PermitUserEnvironment no
Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
PidFile /var/run/sshd.pid
MaxStartups 10:30:60
# default banner path
Banner /etc/banner.txt message d'accueil du serv
# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server pour préciser le chemin de sftp, a vérifier chez toi car ca vient de breezy

Config de la machine distante a écrit :

# $OpenBSD: ssh_config,v 1.20 2005/01/28 09:45:53 dtucker Exp $
# This is the ssh client system-wide configuration file. See
# ssh_config(5) for more information. This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.
# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.
# Site-wide defaults for some commonly used options. For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.
Host *
# ForwardAgent no
# ForwardX11 no
# ForwardX11Trusted yes
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
HostbasedAuthentication yes autorise la connection par reconnaissance de l'hote
# BatchMode no
CheckHostIP yes
AddressFamily any
# ConnectTimeout 0
StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
IdentityFile ~/.ssh/id_rsa chemin de la clé sur la machine distante, a toi de voir si tu utilises dsa ou rsa
# IdentityFile ~/.ssh/id_dsa
Port 110
Protocol 2
Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# EscapeChar ~
SendEnv LANG LC_*
HashKnownHosts yes

Dernière modification par lut!n (Le 17/06/2006, à 15:14)

Tioneb · Le 17/06/2006, à 21:24

alors

-j'ai fait ma paire de clés sur la machine distante, j'ai copié le contenu de la clé publique dans le ficher /etc/ssh/keys sur le server

-ouvert le port 22 dans iptables pour mon réseau interne
-modifier les fichiers de config ssh et sshd respectivement sur le client et le serveur mais
....
sur le client un ssh moi@server ne retourne rien et lance le curseur en plan ...

lut!n · Le 17/06/2006, à 21:47

mets le log de ssh -v toi@serv. C'est la sortie "verbose", ca aidera a piger

Tioneb · Le 18/06/2006, à 00:31

je ni ai même pas pensé

OpenSSH_4.2p1 Debian-7ubuntu3, OpenSSL 0.9.8a 11 Oct 2005
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to ibm300pl [192.168.69.1] port 22.
debug1: connect to address 192.168.69.1 port 22: Connection timed out
ssh: connect to host ibm300pl port 22: Connection timed out

un pb de connexion donc ...
mais mon iptables est bien ouvert sur le 22 en interne

   13   780 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW,RELATED,ESTABLISHED,UNTRACKED

les pacquets sont bien reçu par le server mais ne sont pas interprétés par le server...
conf du server

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 3600
#ServerKeyBits 1024

# Logging
#SyslogFacility AUTH
LogLevel DEBUG

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile	/etc/ssh/keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication yes
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
IgnoreUserKnownHosts no

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM no

Dernière modification par Tioneb (Le 18/06/2006, à 11:25)

lut!n · Le 18/06/2006, à 11:57

Salut
Sur quoi tu te base pour dire que les paquets sont recus par le serveur ???? tu devrais essayer de faire des ping sur tes differentes machines, histoire de voir ou ca bloque . En general quand ca timeout, c'est tout simplement que ca na ping pas - surtout en local.

Verifie bien que le port 22 est ouvert sur les deux machines (et evidemment qu'il est spécifié dans la conf de la machine distante), et sinon je doute au niveau des plages d'adresses autorisées ... 0.0.0.0/0 ???? j'aurais plutot dit 192.168.0.0/255 ou un truc du genre non ? les ip lan en general ce n'est pas 0.0.xxxxx
Enfin voila, c'est ce qui me vient a l'esprit mais le pb est peut-etre ailleurs ..
bonne chance

Tioneb · Le 18/06/2006, à 12:18

- le nombre de paquets arrivés par le port 22 augmentent après mes essais de connexions à distance

iptables -nvL

retourne les paquets passés par certaines règles
-les pings fonctionnent et même plus ... je me sers du server déjà pour mon réseau interne
- 0.0.0.0/0 ça signifie n'importe quelle adresses

tu ne vois rien d'anormal sur le sshd_config ??

lut!n · Le 18/06/2006, à 12:25

Honnetement la je ne vois pas trop ...
sauf si le serveur ssh n'est pas démarré Plus serieusemement essayer un /etc/init.d/ssh stop puis /etc/init.d/ssh start sur le serveur, histoire de voir.
parceque si c'etait un probleme de config serveur, tu serais surement fait jeter, mais pas par timeout. verifie aussi que le nom avec lequel tu te connectes existe bien sur le serveur, meme si je suppose que c'est deja fait

Tioneb · Le 18/06/2006, à 12:30

le server tourne un joli

netstat -taupe

me le montre avec comme proprio le root et son LISTEN en port 22
un ti pb avec les clés me retournerait qq chose d'autre ??
c'est dommage je coince un peu alors que je commence à en avoir réellement besoin!!
merci qd même lut!n après tout ce ne sont que les premiers pas

Tioneb · Le 18/06/2006, à 13:13

c'est définitif je suis gole!

j'avais autorisé l'entrée sur le server par le port 22 mais pas la sortie des infos ... maintenant ça marche bien
merci lut!n pour le coup de pouce au départ!
au fait peut-on cumuler les deux types de clés dsa et rsa ? sécurité qd tu nous tiens

lut!n · Le 18/06/2006, à 16:12

pour dsa + ras je ne sais pas, mais franchement je ne suis pas sur que ce soit utile. A la limite genere une clé plus longue (ssh-keygen -b xxxx) (xxxx > 512, c'est la longueur en bits de la clé), mais en mettre 2 je ne pense pas que ce soit genial

Dernière modification par lut!n (Le 18/06/2006, à 16:13)

Tioneb · Le 18/06/2006, à 17:49

non t'as raison ça va aller et puis la clé est déjà en 1024 par défaut maintenant ça devrait aller !!

lut!n · Le 18/06/2006, à 19:05

Je dis ca en passant, mais si tu te sens la motive de completer le wiki (qui n'est pas tres clair), n'hésites pas. je vais essayer d'éviter etant donné que chaque fois que j'esplique quelquechose c'est la galere (cf un certaint post-fleuve dans "environnements de bureau )
Sinon, il est dit dans le wiki d'utiliser scp pour le transfert de fichiers. [troll]SCP, c'est le mal[/troll]. Honnetement, sftp c'est plus mieux (meme si on ne peut pas reprendre les transferts), il vaut mieux eviter scp

Dernière modification par lut!n (Le 18/06/2006, à 19:06)

Tioneb · Le 18/06/2006, à 23:25

clair je veux monter un server sftp pour potes pour les fotos et vidéos de nos soirées ou l'alcool coule à flots alors parfois c'est graveleux !!! donc sftp et clés
si j'ai le courage j'irai mettre ma pierre au wiki
tch'o

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/06/2006, à 14:09

[Résolu] premier pas sur ssh

#2 Le 17/06/2006, à 14:16

Re : [Résolu] premier pas sur ssh

#3 Le 17/06/2006, à 14:42

Re : [Résolu] premier pas sur ssh

#4 Le 17/06/2006, à 14:46

Re : [Résolu] premier pas sur ssh

#5 Le 17/06/2006, à 14:52

Re : [Résolu] premier pas sur ssh

#6 Le 17/06/2006, à 14:58

Re : [Résolu] premier pas sur ssh

#7 Le 17/06/2006, à 21:24

Re : [Résolu] premier pas sur ssh

#8 Le 17/06/2006, à 21:47

Re : [Résolu] premier pas sur ssh

#9 Le 18/06/2006, à 00:31

Re : [Résolu] premier pas sur ssh

#10 Le 18/06/2006, à 11:57

Re : [Résolu] premier pas sur ssh

#11 Le 18/06/2006, à 12:18

Re : [Résolu] premier pas sur ssh

#12 Le 18/06/2006, à 12:25

Re : [Résolu] premier pas sur ssh

#13 Le 18/06/2006, à 12:30

Re : [Résolu] premier pas sur ssh

#14 Le 18/06/2006, à 13:13

Re : [Résolu] premier pas sur ssh

#15 Le 18/06/2006, à 16:12

Re : [Résolu] premier pas sur ssh

#16 Le 18/06/2006, à 17:49

Re : [Résolu] premier pas sur ssh

#17 Le 18/06/2006, à 19:05

Re : [Résolu] premier pas sur ssh

#18 Le 18/06/2006, à 23:25

Re : [Résolu] premier pas sur ssh

Pied de page des forums