#1 Le 14/05/2008, à 18:17
- vince06fr
mise à jour de sécurité ssh et cle d'hote[Résolu]
J'utilise ssh pour transferer des fichiers à travers mon réseau local, je n'ai donc jamais installé de clefs et n'utilise que la connexion par mot de passe, hors depuis la mise à jour de sécurité de ce matin, je ne peux plus utiliser ssh pour me connecter à mon serveur et j'obtiens l'erreur suivante
Erreur : La vérification de la clé de l'hôte a échoué
Sélectionnez un autre visionneur et essayez à nouveau.
Comment faire pour rétablir la connexion par mot de passe???
Dernière modification par vince06fr (Le 14/05/2008, à 21:53)
Hors ligne
#2 Le 14/05/2008, à 18:36
- wblitz
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
ça t'affiche quoi la commande suivante (dans un terminal) :
ssh -vvv login@ton_serveur
"Un optimiste, c'est un homme qui plante deux glands et qui s'achète un hamac" - Jean de Lattre de Tassigny
Pensez à mettre [RÉSOLU] dans le sujet de vos posts une fois qu'ils le sont...
quelques docs
Hors ligne
#3 Le 14/05/2008, à 21:22
- vince06fr
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
voilà :
ssh -vvv vince@192.168.1.2
OpenSSH_4.7p1 Debian-8ubuntu1, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 192.168.1.2 [192.168.1.2] port 22.
debug1: Connection established.
debug1: identity file /home/vince/.ssh/identity type -1
debug1: identity file /home/vince/.ssh/id_rsa type -1
debug1: identity file /home/vince/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.7p1 Debian-8ubuntu1.1
debug1: match: OpenSSH_4.7p1 Debian-8ubuntu1.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 129/256
debug2: bits set: 475/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: filename /home/vince/.ssh/known_hosts
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
ac:4d:aa:29:f9:65:c9:ac:e7:83:f2:86:1b:ac:fd:d7.
Please contact your system administrator.
Add correct host key in /home/vince/.ssh/known_hosts to get rid of this message.
Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.
Host key verification failed.
Visiblement la mise à jour a changé la clef RSA et il faut corriger ça dans /home/vince/.ssh/known_hosts, mais vu que mes connaissance sur ssh et les clefs RSA sont très limitée, et que je manque cruellement de temps pour me plonger dans la doc, un peu d'aide serait bienvenue
Hors ligne
#4 Le 14/05/2008, à 21:27
- ®om
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
Vu que la mise à jour regénère automatiquement les clés pour la machine, il ne reste plus qu'à modifier les clés persos :
Sur les pc clients :
ssh-keygen -t dsa
rm ~/.ssh/known_hosts
Sur les pc serveurs :
rm ~/.ssh/authorized_keys
Puis, pour une authentification par clés, à partir du poste client :
scp ~/.ssh/id_dsa.pub leserveur:.ssh/authorized_keys
Merci, j'avais oublié de les regénérer depuis ce matin
Dernière modification par ®om (Le 14/05/2008, à 21:31)
Hors ligne
#5 Le 14/05/2008, à 21:53
- vince06fr
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
Merci beaucoup ça marche!!
La manip n'est pas compliqué en fait, il faudrait peut-être editer le wiki car ton explication très claire
Hors ligne
#6 Le 14/05/2008, à 22:57
- ®om
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
Voilà : http://doc.ubuntu-fr.org/ssh#correction_vulnerabilite_ssh
Dernière modification par ®om (Le 15/05/2008, à 10:15)
Hors ligne
#7 Le 15/05/2008, à 09:04
- wblitz
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
juste pour préciser, il n'y avait besoin que d'une chose dans ton cas, c'était de virer la ligne 1 du fichier ~/.ssh/known_host côté client, comme l'indiquait la sortie de la commande :
Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.
pas besoin donc de regénérer systématiquement une clé perso
"Un optimiste, c'est un homme qui plante deux glands et qui s'achète un hamac" - Jean de Lattre de Tassigny
Pensez à mettre [RÉSOLU] dans le sujet de vos posts une fois qu'ils le sont...
quelques docs
Hors ligne
#8 Le 15/05/2008, à 10:14
- ®om
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
juste pour préciser, il n'y avait besoin que d'une chose dans ton cas, c'était de virer la ligne 1 du fichier ~/.ssh/known_host côté client, comme l'indiquait la sortie de la commande :
Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.pas besoin donc de regénérer systématiquement une clé perso
Oui, mais avec la mise à jour, il blacklistait les clés (justement parce qu'elles étaient compromises), d'où l'utilité de les regénérer.
Hors ligne
#9 Le 15/05/2008, à 10:40
- wblitz
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
il blacklistait les clés
c'est le client qui générait une erreur de vérification de la clé du serveur par rapport à celle mémorisée dans le fichier "/home/vincent/.ssh/known_host", sur le client donc :
ssh -vvv vince@192.168.1.2
Add correct host key in /home/vince/.ssh/known_hosts to get rid of this message.
RSA host key for 192.168.1.2 has changed
je maintiens donc : seul le fichier know_hosts côté client avait besoin d'être modifié.
Dernière modification par wblitz (Le 15/05/2008, à 10:41)
"Un optimiste, c'est un homme qui plante deux glands et qui s'achète un hamac" - Jean de Lattre de Tassigny
Pensez à mettre [RÉSOLU] dans le sujet de vos posts une fois qu'ils le sont...
quelques docs
Hors ligne
#10 Le 15/05/2008, à 12:54
- ®om
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
Oui, ok, mais quand tu fais:
ssh-vulnkey
tu constates que tes clés persos sont "compromised", d'où l'utilité de les regénérer...
Hors ligne
#11 Le 15/05/2008, à 13:42
- fugitif
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
Pour contrôler toutes vos clefs il suffis de taper
sudo ssh-vulnkey -a
S'il y a un COMPROMISED sur une de vos clef il faut régénérer la clef.
Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits
Hors ligne
#12 Le 15/05/2008, à 18:05
- ®om
Hors ligne
#13 Le 15/05/2008, à 19:28
- x-one
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
J'ai eu le même probleme avec un itouch et avec mon mac, pour ma part j'ai opté pour une solution un peu plus radicale: j'ai supprimé completement le fichier know_host en ayant pris soin d'en faire une sauvegarde avant au cas ou... et ça marche nikel !
Hors ligne
#14 Le 16/05/2008, à 12:17
- fugitif
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
lol
Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits
Hors ligne
#15 Le 27/05/2008, à 18:51
- Elemmire
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
Pour info, lorsque vous avez un message tu type :
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for mon_server has changed,
and the key for the according IP address 192.168.1.193
has a different value. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/elemmire/.ssh/known_hosts:51
vous avez 3 facons de résoudre le problème :
- facon "bourrin" :
echo > ~/.ssh/known_hosts
- facon "simple" : J'édite le fichier ~/.ssh/known_hosts et je supprime la ligne indiqué dans le message (ici dans l'exemple la ligne 51)
- maniere plus élégante :
ssh-keygen -R mon_server
ssh-keygen -R 192.168.1.193
ce qui a pour effet de ne supprimer les clés qui ne sont plus valides
aprés quand vous vous reconnectez à une machine faudra répondre à la question :
The authenticity of host 'mon_server (192.168.1.193)' can't be established.
RSA key fingerprint is e3:0c:3d:be:bd:b2:7e:4b:71:8k:5a:9f:5d:41:a6:87.
Are you sure you want to continue connecting (yes/no)?
voila pour la petite histoire.
Dernière modification par Elemmire (Le 11/06/2008, à 17:10)
Hors ligne
#16 Le 10/06/2008, à 17:57
- sboudbliff
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
je viens tout juste d'avoir le même problème:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
j'ai supprimé la ligne indiqué dans le message (dans mon cas, la ligne 5)
Offending key in /home/xxxx/.ssh/known_hosts:5
et à la reconnection il enregistre la nouvelle clef du serveur
merci beaucoup
Hors ligne
#17 Le 09/07/2009, à 09:16
- asheenlevrai
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
juste pour préciser, il n'y avait besoin que d'une chose dans ton cas, c'était de virer la ligne 1 du fichier ~/.ssh/known_host côté client, comme l'indiquait la sortie de la commande :
Offending key in /home/vince/.ssh/known_hosts:1
RSA host key for 192.168.1.2 has changed and you have requested strict checking.pas besoin donc de regénérer systématiquement une clé perso
Hello, mon problème est que la connexion ssh fonctionne (transfert de fichier via nautilus en utilisant ssh://usrname@IP:22) par mot de passe en local (LAN), mais depuis quelques temps (depuis 9.04), ca ne fonctionne plus en WAN... j'obtiens l'erreur:
Erreur : La vérification de la clé de l'hôte a échoué
Sélectionnez un autre visionneur et essayez à nouveau.
(j'utilise un compte DynDNS et tout est paramétré comme il faut)
étant tombé sur ce post je me suis dit que j'allais "commenter" la 1ere ligne de mon fichier known_host (coté client) pour tester... mais mon fichier commence comme ca:
|1|2eEtCoI/FUezCW/PqCie47gtep0=|CppCEx8sbSDgmtM1dh9o6Fl3WOg= ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAzR41WL5VSZIa7WUurmicLk26hBJmdlMS5XrUBDPIG9vv82a5mKQ0wvy1rbYMMK65DpcPz8DkFH47unBkf3ZKtgCPXXCxL563CtiOCe6VNBJcduo3uXaU3CEnGzqet0q2INdehFTsKqd1etxFsu0g+WMC4e4hWsPjB28iUYOlbk0Ct/edYO9ouRig8oIVdZBVtzHavyfYcBds1uh84gu+n0sbQWQ42jk+zyT0K0c0ylQ34RPTwv0DH9eApnrt+LGvPp5WhFOqaceWNb/6N039hckWl/QB+cc4UYGt6acSycQ7KIk9KdI/5FbcCvADD3OCJWSikLjU+T4osyZNY81CGx==
|1|MRrCRaL1nM3KrIRXZ+BmylWFftE=|htDrTRXNoK9v/mY+y7ax8jh1tOw= ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAzR41WL5VSZIa7WUurmicLk26hBJmdlMS5XrUBDPIG9vv82a5mKQ0wvy1rbYMMK65DpcPz8DkFH47unBkf3ZKtgCPXXCxL563CtiOCe6VNBJcduo3uXaU3CEnGzqet0q2INdehFTsKqd1etxFsu0g+WMC4e4hWsPjB28iUYOlbk0Ct/edYO9ouRig8oIVdZBVtzHavyfYcBds1uh84gu+n0sbQWQ42jk+zyT0K0c0ylQ34RPTwv0DH9eApnrt+LGvPp5WhFOqaceWNb/6N039hckWl/QB+cc4UYGt6acSycQ7KIk9KdI/5FbcCvADD3OCJWSikLjU+T4osyZNY81CGx==
|1|DCdcp0clgueMZ5pgWTj0TI3govY=|+16+rSnxRL1E+Rxc/v0cdURTOtQ= ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAzR41WL5VSZIa7WUurmicLk26hBJmdlMS5XrUBDPIG9vv82a5mKQ0wvy1rbYMMK65DpcPz8DkFH47unBkf3ZKtgCPXXCxL563CtiOCe6VNBJcduo3uXaU3CEnGzqet0q2INdehFTsKqd1etxFsu0g+WMC4e4hWsPjB28iUYOlbk0Ct/edYO9ouRig8oIVdZBVtzHavyfYcBds1uh84gu+n0sbQWQ42jk+zyT0K0c0ylQ34RPTwv0DH9eApnrt+LGvPp5WhFOqaceWNb/6N039hckWl/QB+cc4UYGt6acSycQ7KIk9KdI/5FbcCvADD3OCJWSikLjU+T4osyZNY81CGx==
Je ne sais donc pas trop si c'est normal, et ce que je dois "commenter"
merci d'avance pour votre aide
Asheen
Dernière modification par asheenlevrai (Le 09/07/2009, à 09:20)
Hors ligne
#18 Le 09/07/2009, à 10:04
- vince06fr
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
au pire tu utilise la méthode bourrin : tu efface le contenu de ton fichier know_host et ça devrait aller => de nouvelles clefs vont etre généré à tes prochaines connexions
au cas tu en fait une sauvegarde avant d'effectuer les manips
Hors ligne
#19 Le 29/07/2009, à 16:30
- asheenlevrai
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
la méthode bourrin semble fonctionner pour moi :-)
je vous tiens au courant si je note d'éventuels effets secondaires...
merci encore
Asheen
Hors ligne
#20 Le 01/11/2010, à 21:17
- al_boon
Re : mise à jour de sécurité ssh et cle d'hote[Résolu]
merci wblitz cela fonctionne bien
viva ubuntu ^^ et deux personnes converties !!
ps: il est pas beau mon fils ? (cf mon avatar)
Hors ligne