Ubuntu-fr

digita

[Resolu] ssh: permission denied depuis l exterieur

Bonjour a tous,
Un problème est en train de me rendre chèvre depuis déjà un certain temps et mes recherches sur le net ne donnent rien. (depuis google n'est plus mon ami  ).
Sur mon serveur Ubuntu dapper, j'ai sshd d'installé et qui tourne. Lorsque je me connecte dessus depuis ce meme serveur en faisant un petit :

ssh digita@127.0.0.1

Il n'y a aucun problème.
Cependant, quand j'utilise mon adresse ip publique ou mon nom de domaine:

ssh digita@mondomaine.com

alors là plus rien ne va.
Je suis invité a entrer mon mot de passe (conclusion: ça ne vient pas d'un problème par rapport a un routeur ou autre problème réseau) mais je me fais insulté comme ci dessous:

digita@digita-desktop:/$ ssh digita@mondomaine.com
digita@mondomaine.com's password:
Permission denied, please try again.
digita@mondomaine.com's password:
Permission denied, please try again.
digita@mondomaine.com's password:
Permission denied (publickey,password).
digita@digita-desktop:/$

J'en profite d'ailleur pour vous fournir mon fichier sshd_config:

Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
ListenAddress *
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
#UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
UseLogin yes
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication no
PubkeyAuthentication no
#AuthorizedKeysFile	%h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
UseLogin yes

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

Merci de votre aide, je suis au bord de la depression !
Bisous

Dernière modification par digita (Le 17/03/2007, à 23:58)

---

petit à petit on devient plus grand !

CorsicaBia

Re : [Resolu] ssh: permission denied depuis l exterieur

Salut !

Je veux pas te mettre la pression, mais si tu autorise les connexion depuis le web :

- On n'autorise JAMAIS une connexion en root (Danger !!!!)   PermitRootLogin no
- On n'autorise JAMAIS la connexion pas password, mais uniquement pas cle (rsa ou dsa)  PasswordAuthentication yes
- Si possible, on change le port d'écoute (par exemple 222) sinon, on va se faire scanner en continu....

Sinon, a première vue, ton fichier de config semble bon.

Amitiés de Corse

Uggy

Re : [Resolu] ssh: permission denied depuis l exterieur

- Je ne suis pas sur que cette syntaxe soit correcte: "ListenAddress *"  ? ? remet 0.0.0.0
- Fais un "ssh -v digita@mondomaine.com" pour activer le verbose client
- Quels sont les logs coté serveur ? ? ?? ??
- Est il possible que le serveur sshd sur lequel tu arrives quand tu te connecte de l'extérieur soit non pas celui de ta machine, mais celui d'un routeur? firewall ? boxAdsl ? et que donc il n'y ait pas de compte "digita" dessus ?

coca25

Re : [Resolu] ssh: permission denied depuis l exterieur

+1 pour CorsicaBia

sinon pour l'acces depuis l'adresse publique, ca depend aussi ce que tu as comme routeur vers l'exterieur.
s'il a un service ssh, à mon avis, tu te connectes sur le routeur et non sur ta machine.
change de port et rediriges celui ci vers ton adresse locale

EDIT: j'avais pas lu tout les post déjà dit par uggy

Dernière modification par coca25 (Le 17/03/2007, à 15:44)

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

Pour repondre à CorsicaBia, je suis au courant que la configuration actuelle de mon ssh est très peu sécure mais c'est volontaire: je pense que je n arrive pas à me connecter depuis l'exterieur justement à cause d'une  sécurité. Bon et puis en plus,ce serait quand même un comble si un méchant pirate arrivait à se connecter alors que moi même possédant les MdP n'y arrive pas ou alors qu'il m'expliqe .
Sinon, je fais les testes pour vous répondre coca25 et Uggy.
Et merci a vous tous pour votre aide.

---

petit à petit on devient plus grand !

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

* J'ai modifié mon sshd_config en suivant vos conseil c'est à dire en remplaçant <i>ListenAddress *</i>  par  <i>ListenAddress 0.0.0.0</i>, j'ai redemarrer le serveur sshd et toujours pareil.

*un ssh -v digita@mondomaine.com donne le résultat suivant:

digita@digita-desktop:~$ ssh -v digita@mondomaine.com
OpenSSH_4.2p1 Debian-7ubuntu3.1, OpenSSL 0.9.8a 11 Oct 2005
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to mondomaine.com [11.111.111.11] port 22.
debug1: Connection established.
debug1: identity file /home/digita/.ssh/identity type -1
debug1: identity file /home/digita/.ssh/id_rsa type -1
debug1: identity file /home/digita/.ssh/id_dsa type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_4.3 Debian 1:4.3p2-2
debug1: match: OpenSSH_4.3 Debian 1:4.3p2-2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.2p1 Debian-7ubuntu3.1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'mondomaine.com' is known and matches the DSA host key.
debug1: Found key in /home/digita/.ssh/known_hosts:3
debug1: ssh_dss_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/digita/.ssh/identity
debug1: Trying private key: /home/digita/.ssh/id_rsa
debug1: Trying private key: /home/digita/.ssh/id_dsa
debug1: Next authentication method: password
digita@mondomaine.com's password:
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
digita@mondomaine.com's password:
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
digita@mondomaine.com's password:
debug1: Authentications that can continue: publickey,password
debug1: No more authentication methods to try.
Permission denied (publickey,password).

*Je suis aller dans /var/log/auth.log et, lorsque je fais un <i>ssh digita@127.0.0.1</i>, la connection apparait dans le fichier mais ce n'est pas le cas avec un <i>ssh digita@mondomaine.com</i>.
Cela semble confirmer la théorie du serveur SSH sur ma <b>Freebox</b>. Cependant, je viens de desactiver le mode routeur et c'est toujours pareil (à vrai dire c'est normal me direz vous).
Cependant, sur mon routeur, j' ai effectué une redirection du port 22 vers la machine hebergeant le serveur sshd.

Je ne sais vraiment plus quoi faire !!!!

---

petit à petit on devient plus grand !

coca25

Re : [Resolu] ssh: permission denied depuis l exterieur

change le numéro de port en rajoutant une ligne:

Port 2222

à ton sshd_config
et redirige le port vers ton adresse locale

de plus, les box souvent (9box par exemple) et les routeurs en général détectent les connexions depuis le réseau local et les traitent différement

donc une fois le port redirigé, teste depuis un ordinateur de l'exterieur (si tu peux)

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

Je viens de changer le port 22 pour le port 2222 dans le sshd_config.
J'ai reconfigurer mon routeur pour qu'il route le 2222 vers le port 2222 du serveur hebergeant mon serveur sshd.
Le routeur fonctionne normalement correctement puisque je route deja vers un LAMP sur la même machine.
Je fais un teste en local sur la machine avec un

ssh digita@mondomaine.com

mais je rencontre toujours le même problème.
Je me suis ensuite connecté en ssh sur un serveur de mon université pour me connecter depuis celui ci sur ma machine en utilisant mondomaine.com mais je me fais insulté toujours de la même façon.

Dernière modification par digita (Le 17/03/2007, à 18:10)

---

petit à petit on devient plus grand !

CorsicaBia

Re : [Resolu] ssh: permission denied depuis l exterieur

Salut !

Juste pour info :
Si tu es en réseau, peux-tu d'une machine qui se trouve sur le même resau que ton serveur te connecter un utilisant lebonuser@ipdetonserveurssh

Amitiés de Corse

coca25

Re : [Resolu] ssh: permission denied depuis l exterieur

pour faire un test, il faut maintenant indiquer le numero de port (vu qu'il est different de 22)

ssh -p 2222 digita@mondomaine.com

CorsicaBia

Re : [Resolu] ssh: permission denied depuis l exterieur

Salut !

J'ai soudain un vieux doute. Essaye de te connecter non pas en digita@mondomaine, mais en root@mondomaine.com

Si cela ne marche pas, ajoute AllowUser root dans ta config ssh et ré-essaye avec root@mondomaine.com

Amitiés de Corse

PS : Ne pas oublier de relancer ssh quand tu fais une modif de ton fichier de configuration.

dexinou

Re : [Resolu] ssh: permission denied depuis l exterieur

salut,
décommente ceci :

#AuthorizedKeysFile    %h/.ssh/authorized_keys

reload ssh

Si ça ne marche toujours pas ça doit être un problème de résolution de ton domaine.
poste nous ton /etc/hosts

Dernière modification par dexinou (Le 17/03/2007, à 18:41)

---

Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

Je suis désolé mais j ai dû commettre une erreur en faisant le changement de port.
Bref, j'ai recommencé et en voila le resultat qui me semble explicite :

digita@digita-desktop:/$ ssh -p 2222 digita@mondomaine.com
ssh: connect to host mondomaine.com port 2222: Connection refused

et sinon

digita@digita-desktop:/$ ssh -p 2222 digita@127.0.0.1
Password:
Last login: Sat Mar 17 18:05:26 2007 from localhost on pts/4
Linux digita-desktop 2.6.15-28-386 #1 PREEMPT Thu Feb 1 15:51:56 UTC 2007 i686 GNU/Linux

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
digita@digita-desktop:~$

bref ça fonctionne en local.
Celà confirme bien que je dois me connecter a une autre machine que mon serveur non ?

Dernière modification par digita (Le 17/03/2007, à 19:15)

---

petit à petit on devient plus grand !

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

Pour CorsicaBia:
Je viens d essayer en root et c est toujours le même resultat.
J'ai donc tenté un

AllowUser root

dans le fichier sshd_config mais lorsque je redemarre le serveur il me fait une erreur :

digita@digita-desktop:~$ /etc/init.d/ssh restart
 * Restarting OpenBSD Secure Shell server... /etc/ssh/sshd_config: line 81: Bad configuration option: AllowUser
/etc/ssh/sshd_config: terminating, 1 bad configuration options
digita@digita-desktop:~$

Mais il me semble que pour pouvoir se logger en root sur le ssh c est la commande

PermitRootLogin yes

Je vais essayer de me brancher sur mon réseau local avec mon laptop pour tenter. Je vous tiens au courant.
Merci vous êtes géniaux de m'aider comme ça !!!

---

petit à petit on devient plus grand !

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

par rapport aux idées de dexinou:
Conformément à ton idée, j'ai decommenté AuthorizedKeysFile pour obtenir :

AuthorizedKeysFile    %h/.ssh/authorized_keys

j' ai fais un restart du serveur et toujours le même problème.
Je ne pense pas à un problème de <b>host</b> car que j'utilise mon nom de domaine ou mon adresse publique le résultat est le même. De plus, j heberge sur cette même machine un serveur apache qui fonctionne très biens avec mon nom de domaine.

---

petit à petit on devient plus grand !

coca25

Re : [Resolu] ssh: permission denied depuis l exterieur

mais maintenant que tu as changé le numéro de port et en utilisant l'option -p, tu as quelque chose au niveau du log?

CorsicaBia

Re : [Resolu] ssh: permission denied depuis l exterieur

Et avec un AllowUser digita

Au début du fil tu avais :
digita@digita-desktop:/$ ssh digita@mondomaine.com
digita@mondomaine.com's password:
Permission denied, please try again.

Là on dirait bien un soucis de permission. Le serveur ssh acceepte la connexion, mais refuse ton identifiant/password.

Mais dans tes derniers post tu a ce message :
digita@digita-desktop:/$ ssh -p 2222 digita@mondomaine.com
ssh: connect to host mondomaine.com port 2222: Connection refused

Là c'est le serveur qui refuse la connexion sur le port 2222. Tu n'aurais pas un firewall activé sur ton serveur ? Il faudrait ouvrir le port 2222 (au lieu du 22 précédement).

Amitiés de Corse

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

pour information depuis mon changement de port voila ce qu il se passe :

digita@digita-desktop:~$ ssh digita@127.0.0.1
ssh: connect to host 127.0.0.1 port 22: Connection refused

digita@digita-desktop:~$ ssh digita@mondomaine.com
digita@digitaloid.fr's password:
Permission denied, please try again.

Sinon, je n'ai pas installé de firewall d'installé.
Mais pour AllowUser ?? tu veux que je le mette dans sshd_config ?
Car sshd ne comprend pas ce parametre.

Dernière modification par digita (Le 17/03/2007, à 19:56)

---

petit à petit on devient plus grand !

Uggy

Re : [Resolu] ssh: permission denied depuis l exterieur

- Est il possible que le serveur sshd sur lequel tu arrives quand tu te connecte de l'extérieur soit non pas celui de ta machine, mais celui d'un routeur? firewall ? boxAdsl ? et que donc il n'y ait pas de compte "digita" dessus ?

Pour moi, tu te connectes sur l'équipement qui est devant....

Essaye avec un "telnet IP 22" (ou le port modifié) pour voir la version dans les 2 cas et regarde si tu as la meme banniere.
SSH-2.0-OpenSSH_4.3p2 Debian-5ubuntu1

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

Voilà, ça me semble interessant tt ça :

digita@digita-desktop:~$ telnet 127.0.0.1 22
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused

digita@digita-desktop:~$ telnet 127.0.0.1 2222
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_4.2p1 Debian-7ubuntu3.1

digita@digita-desktop:~$ telnet mondomaine.com 2222
Trying 11.111.111.11...
telnet: Unable to connect to remote host: Connection refused

digita@digita-desktop:~$ telnet mondomaine.com 22
Trying 11.111.111.11...
Connected to mondomaine.com.
Escape character is '^]'.
SSH-1.99-OpenSSH_4.3 Debian 1:4.3p2-2

Alors comme tu le dis si bien uggy, je pense que je me connecte a l' equipement qui est devant donc je suppose la Freebox.
Comment faire ?
Mon routeur est configuré comme suit:
Port:2222 Protocole:tcp Destination:adresse ip locale du serveur Port:2222

Dernière modification par digita (Le 17/03/2007, à 23:56)

---

petit à petit on devient plus grand !

Uggy

Re : [Resolu] ssh: permission denied depuis l exterieur

Tu es bien sur que "mondomaine.com" résout ton IP (et pas celle de quelqu'un d'autre)? ? ?
En tout cas tout ceci confirme bien que c'est pas la meme machine.

Uggy

Re : [Resolu] ssh: permission denied depuis l exterieur

Visiblement "ton domaine" pointe vers une IP en allemagne...
Et des freebox qui n'appartiennent pas a Iliad, et en Allemagne, je suis pas sur qu'il y en ait des masses....

inetnum:        87.106.0.0 - 87.106.255.255
org:            ORG-SA12-RIPE
netname:        DE-SCHLUND-20050810
descr:          Schlund+Partner AG
country:        DE

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

MDR Uggy !!
ça marche!!!!

    En fait sur mon adresse publique, il y avait deux serveurs ssh qui tournaient sur le meme port (22). Quand je me connectais, je me connectais sur l autre serveur. Celà dit je ne sais pas d'où sort ce serveur ssh "fantome". Celà demande investigation.

    Ensuite après avoir basculé sur le port 2222 mon serveur SSH, j ai continué a utilisé mon nom de domaine et non mon adresse ip publique. Or, pour mon nom de domaine, j utilise les service de 1&1 qui en fait ne fait     que de transferer le 80. Je me connectais donc sur le serveur de 1&1.

Un grand merci a tous pour votre aide précieuse. Celà faisait dejà des semaine que je galerais.

Dernière modification par digita (Le 17/03/2007, à 23:55)

---

petit à petit on devient plus grand !

Uggy

Re : [Resolu] ssh: permission denied depuis l exterieur

J'ai pas tout compris a ton histoire des 2 serveurs SSH sur le même port...
(en fait c'est pas possible....)mais bref...
Cool...

Dernière modification par Uggy (Le 18/03/2007, à 00:03)

digita

Re : [Resolu] ssh: permission denied depuis l exterieur

En fait je raconte des betises !
Je me connectais sur le ssh de mon fournisseur de nom de domain: 1&1 (je ne fais pas de pub: je ne suis d'ailleur pas tres satisfait de leurs services) et en fait je me trompais: n'ayant pas compris le fonctionnement de 1&1, je faisais un ping sur mon nom de domaine et croyais obtenir mon ip publique ...
Je sais ... je suis vraiment bête parfois !!

---

petit à petit on devient plus grand !