Ubuntu-fr

GuyFawks

Serveur ssh access denied

Bonjour le monde,

Voilà, je suis en train de suivre un tuto de korben concernant la sécurisation de ssh ici.

Et je bloque sur l'étape d'authentification avec les clés publique et privée. J'ai bel et bien créé mes clés public et privée, et uploadée sur mon serveur, et ensuite comme mis dans le tuto je supprime la clé publique sur le client. je désactive les autres méthodes d'authentifications et je tente ensuite de me connecter et paf, j'ai un access denied.

Mais si je ne supprime pas la clé publique je n'ai aucun souci, j'arrive me connecter directement.

Voici mon /etc/ssh/sshd_config

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 1234
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 30s
PermitRootLogin no
StrictModes yes
MaxAuthTries 3

RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile	%h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

MaxStartups 2
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no

AllowGroups sshusers

Je vous remercie d'avance pour votre aide

Dernière modification par GuyFawks (Le 22/09/2014, à 13:59)

tiramiseb

Re : Serveur ssh access denied

Salut,

Pour commencer, tu n'as pas spécialement besoin de tuto pour mettre une clé SSH sur un serveur : la commande ssh-copy-id se charge de tout.

Ensuite, la suppression de la clé publique n'est pas nécessaire côté client ; en fait, on s'en fout.

Enfin, chez moi si je garde la clé publique alors mon keyring retient ma phrase de passe et ne me la demande pas, mais si je supprime la clé publique la phrase de passe m'est systématiquement demandée.

Concernant le tuto que tu donnes en lien, il fait des choses qui sont à mon sens inutiles :
- changer le port : c'est uniquement de la sécurité par l'obscurité, beurk
- interdire la connexion en root : je ne vois pas l'intérêt, au contraire ; en autorisant la connexion en root, on peut mettre la clé SSH publique sur l'utilisateur root et désactiver totalement son mot de passe, c'est plus sécurisé que d'avoir un mot de passe à root, à mon avis

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

GuyFawks

Re : Serveur ssh access denied

mais le truc, c'est que si je supprimme la clé publique, il me met le message "access denied (publickey)", donc je trouvais ça bizarre, sinon le changement de port je l'ai fait malgré tout, mais j'ai entendu parler de knocking port, mais j'ai du mal a comprendre le principe et le mettre en place.
il faut passer par iptables, et la à nouveau je ne suis pas pro en la matière...

Sinon merci pour l'eclaircissement

tiramiseb

Re : Serveur ssh access denied

si je supprimme la clé publique, il me met le message "access denied (publickey)"

Là je ne saurais malheureusement pas t'en dire plus, vu que chez moi le comportement n'est pas le même

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

GuyFawks

Re : Serveur ssh access denied

Un petit tour avec wireshark et c'est prêt, mais d'après certains, ce comportement est normal car il y a la possibilité d'ajouter des clé publiques, donc afin de savoir qui c'est, il se fie a la clé publique ? (c'est ce que j'ai compris en tout cas)
Mais pour être sur, tu emploies quel version de ssh ?

tiramiseb

Re : Serveur ssh access denied

Mais pour être sur, tu emploies quel version de ssh ?

Celle d'Ubuntu 14.04... La version 6.6p1-7.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

GuyFawks

Re : Serveur ssh access denied

Moi je suis sous Debian 7.6 et la version de ssh est la version 6.0_p1

tiramiseb

Re : Serveur ssh access denied

Tu parles du serveur ? Là j'ai donné la version de SSH utilisée sur mon poste de travail...
Sur mon serveur, j'ai également Debian 7.6, avec OpenSSH 6.0p1-4+deb7u2.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

GuyFawks

Re : Serveur ssh access denied

pour le poste de travail j'ai OpenSSH_6.6.1p1 avec ubuntu 14.04