Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fin de maintenance pour Fedora 32

#1 08/03/2021 01:35:59

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

[SSH] partage de bureau impossible, connexion suivant utilisateur

[édit: titre initial: "[SSH] connexion impossible par mot de passe, même en local"]

Bonjour,

Pour atteindre mon but d'établir un tunnel SSH entre deux ordis, je pense avoir deux problèmes. Le premier concerne l'accès au serveur SSH, le second semble être un problème de permission sur le port TCP 22. Le but de cette demande d'aide est de confirmer et résoudre le premier, que j'ai identifié après le second, en essayant de me connecter au serveur SSH depuis l'ordi1 qui a lancé le serveur. La résolution du second sera pour plus tard.
Je reste avec la connexion par mot de passe, sans clef. Voici les extraits du terminal pour aider au diagnostic. Je précise que l'installation de Fedora33 est récente et ne résulte pas d'une mise à jour depuis une version précédente.

Ajout des utilisateurs autorisés dans le fichier de configuration créé pour l'occasion:

#xed /etc/ssh/sshd_config.d/maconfiguration.conf

J'y mets les lignes:
   AllowUsers camiperdi camiperdi2
   PasswordAuthentication yes

Lancement du serveur en tant que camiperdi, et vérification de l'état:

$systemctl start sshd.service 
$systemctl list-units | grep ssh
  sshd.service                                                                              loaded active running   OpenSSH server daemon                                                             
  system-sshd\x2dkeygen.slice                                                               loaded active active    system-sshd\x2dkeygen.slice                                                       
  sshd-keygen.target                                                                        loaded active active    sshd-keygen.target
$systemctl status sshd.service
● sshd.service - OpenSSH server daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; vendor preset: enabled)
     Active: active (running) since Sun 2021-03-07 18:30:34 CET; 13min ago
       Docs: man:sshd(8)
             man:sshd_config(5)
   Main PID: 6796 (sshd)
      Tasks: 1 (limit: 18896)
     Memory: 2.1M
        CPU: 10ms
     CGroup: /system.slice/sshd.service
             └─6796 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
#lsof -i -n -P | grep LISTEN
systemd-r 1307 systemd-resolve   12u  IPv4  31962      0t0  TCP *:5355 (LISTEN)
systemd-r 1307 systemd-resolve   14u  IPv6  31965      0t0  TCP *:5355 (LISTEN)
systemd-r 1307 systemd-resolve   17u  IPv4  31968      0t0  TCP 127.0.0.53:53 (LISTEN)
cupsd     1469            root    9u  IPv6  36945      0t0  TCP [::1]:631 (LISTEN)
cupsd     1469            root   10u  IPv4  36946      0t0  TCP 127.0.0.1:631 (LISTEN)
sshd      6796            root    5u  IPv4  81365      0t0  TCP *:22 (LISTEN)
sshd      6796            root    7u  IPv6  81367      0t0  TCP *:22 (LISTEN)

Existence du second problème, depuis ordi2 en tant que camiperdi2, j'obtiens un refus de connexion, comme ceci (commande inspirée de la documentation du site):

$ssh -L 15000:adresse_ordi2:5902 camiperdi@adresserouteur
ssh: connect to host adresse_ordi1 port 22: Connection refused
$ssh -L 15000:adresse_ordi2:5902 camiperdi2@adresserouteur
ssh: connect to host adresse_ordi1 port 22: Connection refused

Je tente alors sur ordi1 (serveur) une connexion avec le mot de passe de camiperdi (celui de la session), mais invariablement j'ai un refus de permission:

$ssh localhost
The authenticity of host 'localhost (::1)' can't be established.
ECDSA key fingerprint is SHA256:c7ufmdN/Tht/xe0cq6YClH41z4Su6GDw+JYxK7Yd8Jw.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
camiperdi@localhost's password: 
camiperdi@localhost: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

(ok, c'était le premùier coup avec le are you sure qui apparaît, depuis j'ai ceci, en verbeux:)

$ssh -vvv camiperdi@localhost
OpenSSH_8.4p1, OpenSSL 1.1.1j  FIPS 16 Feb 2021
debug1: Reading configuration data /etc/ssh/ssh_config
debug3: /etc/ssh/ssh_config line 55: Including file /etc/ssh/ssh_config.d/50-redhat.conf depth 0
debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
debug2: checking match for 'final all' host localhost originally localhost
debug3: /etc/ssh/ssh_config.d/50-redhat.conf line 3: not matched 'final'
debug2: match not found
debug3: /etc/ssh/ssh_config.d/50-redhat.conf line 5: Including file /etc/crypto-policies/back-ends/openssh.config depth 1 (parse only)
debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
debug3: gss kex names ok: [gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-]
debug3: kex names ok: [curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512]
debug1: configuration requests final Match pass
debug1: re-parsing configuration
debug1: Reading configuration data /etc/ssh/ssh_config
debug3: /etc/ssh/ssh_config line 55: Including file /etc/ssh/ssh_config.d/50-redhat.conf depth 0
debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
debug2: checking match for 'final all' host localhost originally localhost
debug3: /etc/ssh/ssh_config.d/50-redhat.conf line 3: matched 'final'
debug2: match found
debug3: /etc/ssh/ssh_config.d/50-redhat.conf line 5: Including file /etc/crypto-policies/back-ends/openssh.config depth 1
debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
debug3: gss kex names ok: [gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-]
debug3: kex names ok: [curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512]
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/home/camiperdi/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/home/camiperdi/.ssh/known_hosts2'
debug2: resolving "localhost" port 22
debug2: ssh_connect_direct
debug1: Connecting to localhost [::1] port 22.
debug1: Connection established.
debug1: identity file /home/camiperdi/.ssh/id_rsa type -1
debug1: identity file /home/camiperdi/.ssh/id_rsa-cert type -1
debug1: identity file /home/camiperdi/.ssh/id_dsa type -1
debug1: identity file /home/camiperdi/.ssh/id_dsa-cert type -1
debug1: identity file /home/camiperdi/.ssh/id_ecdsa type -1
debug1: identity file /home/camiperdi/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/camiperdi/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/camiperdi/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/camiperdi/.ssh/id_ed25519 type -1
debug1: identity file /home/camiperdi/.ssh/id_ed25519-cert type -1
debug1: identity file /home/camiperdi/.ssh/id_ed25519_sk type -1
debug1: identity file /home/camiperdi/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/camiperdi/.ssh/id_xmss type -1
debug1: identity file /home/camiperdi/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.4
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.4
debug1: match: OpenSSH_8.4 pat OpenSSH* compat 0x04000000
debug2: fd 4 setting O_NONBLOCK
debug1: Authenticating to localhost:22 as 'camiperdi'
debug3: hostkeys_foreach: reading file "/home/camiperdi/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/camiperdi/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys from localhost
debug3: order_hostkeyalgs: have matching best-preference key type ecdsa-sha2-nistp256-cert-v01@openssh.com, using HostkeyAlgorithms verbatim
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ext-info-c
debug2: host key algorithms: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,ssh-ed25519,sk-ssh-ed25519@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: compression ctos: none,zlib@openssh.com
debug2: compression stoc: none,zlib@openssh.com
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug3: send packet: type 30
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug3: receive packet: type 31
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:c7ufmdN/Tht/xe0cq6YClH41z4Su6GDw+JYxK7Yd8Jw
debug3: hostkeys_foreach: reading file "/home/camiperdi/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/camiperdi/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys from localhost
debug1: Host 'localhost' is known and matches the ECDSA host key.
debug1: Found key in /home/camiperdi/.ssh/known_hosts:1
debug3: send packet: type 21
debug2: set_newkeys: mode 1
debug1: rekey out after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: SSH2_MSG_NEWKEYS received
debug2: set_newkeys: mode 0
debug1: rekey in after 4294967296 blocks
debug1: Will attempt key: /home/camiperdi/.ssh/id_rsa 
debug1: Will attempt key: /home/camiperdi/.ssh/id_dsa 
debug1: Will attempt key: /home/camiperdi/.ssh/id_ecdsa 
debug1: Will attempt key: /home/camiperdi/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /home/camiperdi/.ssh/id_ed25519 
debug1: Will attempt key: /home/camiperdi/.ssh/id_ed25519_sk 
debug1: Will attempt key: /home/camiperdi/.ssh/id_xmss 
debug2: pubkey_prepare: done
debug3: send packet: type 5
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,sk-ssh-ed25519@openssh.com,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,webauthn-sk-ecdsa-sha2-nistp256@openssh.com>
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password
debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup gssapi-with-mic
debug3: remaining preferred: publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available (default cache: KCM:)


debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available (default cache: KCM:)


debug2: we did not send a packet, disable method
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/camiperdi/.ssh/id_rsa
debug3: no such identity: /home/camiperdi/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /home/camiperdi/.ssh/id_dsa
debug3: no such identity: /home/camiperdi/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /home/camiperdi/.ssh/id_ecdsa
debug3: no such identity: /home/camiperdi/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/camiperdi/.ssh/id_ecdsa_sk
debug3: no such identity: /home/camiperdi/.ssh/id_ecdsa_sk: No such file or directory
debug1: Trying private key: /home/camiperdi/.ssh/id_ed25519
debug3: no such identity: /home/camiperdi/.ssh/id_ed25519: No such file or directory
debug1: Trying private key: /home/camiperdi/.ssh/id_ed25519_sk
debug3: no such identity: /home/camiperdi/.ssh/id_ed25519_sk: No such file or directory
debug1: Trying private key: /home/camiperdi/.ssh/id_xmss
debug3: no such identity: /home/camiperdi/.ssh/id_xmss: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
camiperdi@localhost's password:
Permission Denied

Je suis dans l'impasse après moultes tentatives et consultations de divers messages similaires. Qu'est-ce que je fais mal et n'ai pas compris? Le mot de passe à entrer est-il bien celui de la session de l'utilisateur qui a lancé le serveur SSH?

Ensuite j'ai temporairement remplacé pam_sss.so  par pam_ldap.so dans le fichier /etc/authselect/password-auth, mais là je ne comprends plus ce que je fais, et je n'aime pas.
Mais le statut a changé (bien que j'aie remis pam_sss.so...???), apparellent une connexion se fait, mais il y a une erreur d'affichage:

$ssh camiperdi@localhost
camiperdilocalhost's password: 
Last login: Sun Mar  7 22:33:30 2021 from ::1
Error opening display!

A l'aide, s'il vous plaît! Je ne comprends pas.

Dernière modification par Caminos perdidos (24/04/2021 14:20:42)

Hors ligne

#2 08/03/2021 10:41:59

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 317
Site Web

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

...

Déjà tes clefs ne semblent pas exister ou alors elles n'ont pas les bon droits...

Ensuite tu veux faire du ldap mais est ce que tu as bien un serveur ldap derrière?

Mais bon est ce que tu as bien fait des modifications dans /etc/ssh/sshd_config avant d'en rajouter/modifier dans /etc/ssh/sshd_config.d/? (sachant que le plus restrictif est pris en compte en priorité)

le port est il bien ouvert des deux cotés?


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC SSD: 1x 970 EVO NVME 500Go + 2x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Purepower 1000W 80+ platinium
AMD R3 2200g, Asus A320, 16Go DDR4 2400@2133Mhz, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue / AMD R5 2600 + 32Go DDR4 3000@2133Mhz+1xSSD Evo 500Go , 3x1To QVO RAID5 / On Cube Chieftec
AMD A6 9500, 8Go, 500Go SSD MX500

Hors ligne

#3 08/03/2021 14:42:52

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 815

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Je lis le début:

J'y mets les lignes:
   AllowUsers camiperdi camiperdi2
   PasswordAuthentication yes

Et ton UsePAM ?


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#4 11/03/2021 00:26:19

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

@VINDICATORs: effectivement, je n'ai pas généré de clefs SSH, je cherche dans un premier temps une connexion par mot de passe; ensuite, je ne cherche pas du tout à faire de ldap, c'était une tentative d'après ce que j'ai pu voir ailleurs sur le net.
Il me semble que le port est bien ouvert, d'après ceci:

#lsof -i -n -P | grep sshd
sshd      3228            root    5u  IPv6  59900      0t0  TCP [::1]:22->[::1]:33004 (ESTABLISHED)
sshd      3234       camiperdi    5u  IPv6  59900      0t0  TCP [::1]:22->[::1]:33004 (ESTABLISHED)
sshd      3713            root    5u  IPv6  64803      0t0  TCP [::1]:22->[::1]:33006 (ESTABLISHED)
sshd      3717       camiperdi    5u  IPv6  64803      0t0  TCP [::1]:22->[::1]:33006 (ESTABLISHED)
sshd      3784            root    4u  IPv4  63862      0t0  TCP *:22 (LISTEN)
sshd      3784            root    6u  IPv6  63864      0t0  TCP *:22 (LISTEN)
sshd      3786            root    5u  IPv6  65852      0t0  TCP [::1]:22->[::1]:33012 (ESTABLISHED)
sshd      3790       camiperdi    5u  IPv6  65852      0t0  TCP [::1]:22->[::1]:33012 (ESTABLISHED)

Quelle autre vérification dois-je faire sur les ports? Quand le service sshd est démarré, le port 22 reste fermé? mais aurais-je l'état LISTEN alors? Faut-il ouvrir autre chose pour le test en local?

Je n'ai fait aucune modification dans /etc/ssh/sshd_config qui est en fait complètement commenté par défaut (à part la ligne AuthorizedKeysFile ssh/authorized_keys et la ligne Subsystem sftp [...]).
Et j'ai donc la ligne commentée suivante: #UsePAM no
Ce qui me semble correct avec le PasswordAuthentication à yes, non?
J'ai essayé de décommenter la ligne UsePAM, et avec no ou yes (le fichier est bien rechargé quand je fais systemctl restart ssdh.service, n'est-ce pas?), j'obtiens toujours Error opening display! à la commande $ssh camiperdi@localhost.
Veuillez noter que je suis novice en matière de réseaux.

Dernière modification par Caminos perdidos (11/03/2021 00:30:42)

Hors ligne

#5 22/03/2021 00:36:47

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 815

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Quand on a pas de clés, on utilise les mots de passe.

UsePAM= yes
PasswordAuthentication= yes.

Cette solution est très dangereuse car craquable rapidement.

ssh-keygen -b 4096

te génèrera une clé RSA robuste. Il faut 1 an à tous les PC de la NSA pour décrypter ça.
Donc en changeant la clé tous les ans, t'es pénard. mais tes données intéressent elles la NSA à ce point ?


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#6 23/03/2021 02:37:01

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Merci pour tes conseils. Je veux bien générer une clé pour plus de sûreté, mais avant de passer à des tests à vraie distance où plus de sûreté est nécessaire je voulais tester de façon rudimentaire le ssh en local (sur l'ordi1 serveur lui-même), puis en réseau domestique au travers du routeur de mon FAI, mais j'ai l'impression que quelque chose cloche dès le départ.
Effectivement, je suis toujours avec mon problème. J'aurai plus de temps dans ~ 2 jours.

Dernière modification par Caminos perdidos (23/03/2021 02:38:01)

Hors ligne

#7 23/03/2021 09:59:24

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 815

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Dans le temps des mises au point, utilise si tu le veut les MDP. Je trouve ça chi..., mais tu peux. Tu peux aussi utiliser les clés + les mots de passe. Ça c'est très utile pour les mises en place. A la fin tu mets à "no" le UsaePAM et PasswordAuthentication. A ce moment tu es pleinement sécurisé sans MDP. J'en ai la preuve par un robot qui a trouvé la bonne IP et le bon port pour entrer. Mais il n'a pas la clé RSA 4096... Je lui souhaite bon courage.
Si ton PC final est distant, la sécurité voudrais que tu ai au moins 2 accès différents  (PC + telephone) ou (PC + PC) toujours opérationnel, avec tes clés, car si tu perds la liaison, avec l'autre tu reconnecteras...


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#8 24/04/2021 14:19:12

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Merci pour ces conseils. J'ai enfin eu du temps pour créer des clefs RSA (et ECDSA) pour SSH pour les utilisateurs sur la machine hôte ordi1 et la machine cliente ordi2. Je précise que les utilisateurs sont différents sur chaque machine, et qu'il n'ont pas de compte sur l'autre machine: user1 a ouvert une session sur ordi1, et user2 sur ordi2.
J'ai en effet réussi à établir une liaison ssh entre ces deux machines, mais pas encore de façon satisfaisante, Au passage, cela ne fonctionne parfois pas immédiatement et il faut retenter un peu.
J'ai copié la clef de user2 sur ordi1 comme ceci:

user2@ordi2$ssh-copy-id -i ~/.ssh/id_rsa.pub user1@ordi1
[...]
user1@ordi1's password: 
Error opening display!

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user1@ordi1'"
and check to make sure that only the key(s) you wanted were added.

Les deux méthodes de connexion suivantes permettent de se connecter depuis ordi2 sur ordi1 en tant que user1:

$ssh -L 15000:ordi2:5902 user1@ordi1
user1@ordi1's password: 
Last login: Thu Apr  8 00:11:17 2021 from ::1
Error opening display!
[user1@ordi1:2 ~ 00:21]

[i]2ème méthode:[/i]
$ssh -X user1@ordi1
Last login: Sat Apr 24 12:15:50 2021 from ordi2
[user1@ordi1:2 ~ 14:28]

Avec la dernière, j'arrive à ouvrir des programmes graphiques sur ordi1 en tant que user1 et à les afficher sur ordi2. Au final, cela revient au même de ce que j'arrive à faire aussi par VNC: afficher un terminal user1@ordi1 sur ordi2.
Mais je n'arrive pas à concrètement partager graphiquement le bureau de user1@ordi1 sur ordi2, ni à connecter user2 sur ordi1, comme le montre l'extrait suivant:

$ssh -X user1@ordi1
The authenticity of host 'ordi1 (ipordi1)' can't be established.
ECDSA key fingerprint is SHA256:c7ufmdN/Tht/xe0cq6YClH41z4Su6GDw+JYxK7Yd8Jx.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'ordi1' (ECDSA) to the list of known hosts.
user2@ordi1's password: 
Permission denied, please try again.

Quelles sont les étapes qui me manquent? Qu'est-ce que j'ai mal configuré? Est-ce que vous pouvez m'aider, relativement pas à pas car je ne suis pas un expert? Objectif: voir le bureau de user1@ordi1 sur ordi2.

Dernière modification par Caminos perdidos (24/04/2021 14:38:54)

Hors ligne

#9 24/04/2021 22:39:22

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 815

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Sur fedora et je ne sais pas pourquoi, il faut associer manuellement la clé privée.
Chez moi j'ai créé un fichier config dans .ssh

Host serveur
HostName serveur-maison
User thierry
Compression yes
ForwardX11 yes
IdentityFile ~/.ssh/id_rsa

Comme tu le vois la clé est explicitement envoyée.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#10 25/04/2021 19:34:06

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

J'ai créé sur le client un tel fichier (et dans le même temps sur le serveur j'ai interdit l'authentification par mot de passe pour éviter d'aboutir à la demande de mot de passe qui n'existe pas), mais cela ne résout pas le problème (je suis certain que ce fichier ~/.ssh/config est bien lu); voilà ce que j'obtiens:

$ssh -X user2@serveur
user2@serveur: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

Je ne pige pas (note: la clef ~/.ssh/id_rsa a les permissions 600). Qu'en penses-tu?

P.S.: est-ce que la documentation du site ne pourrait pas indiquer ce point: "Sur fedora, et on ne sait pas pourquoi, il faut associer manuellement la clé privée" ?;-)

Hors ligne

#11 25/04/2021 19:41:29

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 815

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Auparavant il faut transmettre au serveur ta clé. Si tu l'as fait, elle se retrouve erronée. Recommence et vérifie là. ( Pas d'espace et toute la clé sur 1 seule ligne)

ssh-copy-id <ton serveur>

Cette commande te demande les pass...

Sinon tu la copies directement en ayant accès au serveur.
Elle doit se retrouver dans authorized_key

chmod 700 /home/user
chmod 700 /home/user/.ssh
chmod 600 /home/user/.ssh/authorized_keys
chmod 600 /home/user/.ssh/id_rsa
chmod 644 /home/user/.ssh/id_rsa.pub

Dernière modification par thierryR (25/04/2021 19:53:50)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#12 25/04/2021 19:49:21

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Je l'avais déjà fait: dans mon post d'hier (user2@ordi2$ssh-copy-id -i ~/.ssh/id_rsa.pub user1@ordi1). Et sur le serveur ordi1, j'ai bien la clef publique de user2, qui se termine par == user2@ordi2, avec les permissions 600 pour user1.

Dernière modification par Caminos perdidos (25/04/2021 19:50:01)

Hors ligne

#13 25/04/2021 20:02:55

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

En voici le résultat:

OpenSSH_7.6p1, OpenSSL 1.1.0i-fips  14 Aug 2018
debug1: Reading configuration data /home/user2/.ssh/config
debug1: /home/user2/.ssh/config line 1: Applying options for serveur_ordi2
debug1: Reading configuration data /etc/ssh/ssh_config
debug3: /etc/ssh/ssh_config line 52: Including file /etc/ssh/ssh_config.d/05-redhat.conf depth 0
debug1: Reading configuration data /etc/ssh/ssh_config.d/05-redhat.conf
debug3: /etc/ssh/ssh_config.d/05-redhat.conf line 2: Including file /etc/crypto-policies/back-ends/openssh.config depth 1
debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
debug3: gss kex names ok: [gss-gex-sha1-,gss-group14-sha1-]
debug3: kex names ok: [curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1]
debug1: /etc/ssh/ssh_config.d/05-redhat.conf line 8: Applying options for *
debug3: /etc/ssh/ssh_config line 52: Including file /etc/ssh/ssh_config.d/fichierdeconfpersonnalisee.conf depth 0
debug1: Reading configuration data /etc/ssh/ssh_config.d/fichierdeconfpersonnalisee.conf
debug2: resolving "serveur_ordi2" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to serveur_ordi2 [ipserveur_ordi2] port 22.
debug1: Connection established.
debug1: identity file /home/user2/.ssh/id_rsa type 0
debug1: key_load_public: No such file or directory
debug1: identity file /home/user2/.ssh/id_rsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_7.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.4
debug1: match: OpenSSH_8.4 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to serveur_ordi2:22 as 'user2'
debug3: hostkeys_foreach: reading file "/home/user2/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/user2/.ssh/known_hosts:4
debug3: load_hostkeys: loaded 1 keys from serveur_ordi2
debug3: order_hostkeyalgs: prefer hostkeyalgs: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,ext-info-c
debug2: host key algorithms: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc,3des-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc,3des-cbc
debug2: MACs ctos: umac-128-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128@openssh.com,hmac-sha1,hmac-sha2-256,hmac-sha2-512
debug2: MACs stoc: umac-128-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128@openssh.com,hmac-sha1,hmac-sha2-256,hmac-sha2-512
debug2: compression ctos: zlib@openssh.com,zlib,none
debug2: compression stoc: zlib@openssh.com,zlib,none
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: compression ctos: none,zlib@openssh.com
debug2: compression stoc: none,zlib@openssh.com
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug1: kex: algorithm: curve25519-sha256@libssh.org
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: zlib@openssh.com
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: zlib@openssh.com
debug1: kex: curve25519-sha256@libssh.org need=32 dh_need=32
debug1: kex: curve25519-sha256@libssh.org need=32 dh_need=32
debug3: send packet: type 30
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug3: receive packet: type 31
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:c7ufmdN/Tht/xe0cq6YClH41z4Su6GDw+JYxK7Yd8Jw
debug3: hostkeys_foreach: reading file "/home/user2/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/user2/.ssh/known_hosts:4
debug3: load_hostkeys: loaded 1 keys from serveur_ordi2
debug3: hostkeys_foreach: reading file "/home/user2/.ssh/known_hosts"
debug3: record_hostkey: found key type ECDSA in file /home/user2/.ssh/known_hosts:1
debug3: load_hostkeys: loaded 1 keys from ipserveur_ordi2
debug1: Host 'serveur_ordi2' is known and matches the ECDSA host key.
debug1: Found key in /home/user2/.ssh/known_hosts:4
debug3: send packet: type 21
debug2: set_newkeys: mode 1
debug1: rekey after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: receive packet: type 21
debug1: SSH2_MSG_NEWKEYS received
debug2: set_newkeys: mode 0
debug1: rekey after 4294967296 blocks
debug2: key: /home/user2/.ssh/id_rsa (0x5631543aed30), explicit, agent
debug3: send packet: type 5
debug3: receive packet: type 7
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,sk-ssh-ed25519@openssh.com,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,webauthn-sk-ecdsa-sha2-nistp256@openssh.com>
debug3: receive packet: type 6
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug3: send packet: type 50
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic
debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup gssapi-keyex
debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-keyex
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug2: we did not send a packet, disable method
debug3: authmethod_lookup gssapi-with-mic
debug3: remaining preferred: publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available (default cache: KEYRING:persistent:1000)

debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available (default cache: KEYRING:persistent:1000)

debug2: we did not send a packet, disable method
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering public key: RSA SHA256:DEeoYXeFv8q12Gk0Tkyoh6D0U3xwchD+c4Iu/3zC+DU /home/user2/.ssh/id_rsa
debug3: send_pubkey_test
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.

J'apprécie ton aide en direct wink

Hors ligne

#14 25/04/2021 20:05:52

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 815

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

On dirait que tu as un problème par ici:

debug1: identity file /home/user2/.ssh/id_rsa type 0
debug1: key_load_public: No such file or directory

201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#15 25/04/2021 20:08:22

Caminos perdidos
Membre
Inscription : 20/06/2009
Messages : 74

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

En effet, mais je ne comprends pas, puisque j'ai bien un fichier "id_rsa.pub". Par contre en effet, je n'ai pas de fichier nommé "key_load_public".

Hors ligne

#16 25/04/2021 20:59:16

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 815

Re : [SSH] partage de bureau impossible, connexion suivant utilisateur

Il y a peut être un problème de users. User1 et User2 ne sont ils pas identiques.
S'ils sont bien différents, il faut être sur de là où tu copies la clé.
Vérifié aussi dans ta conf si tu n'as pas établi une liste blanche que sur 1 PC

Dernière modification par thierryR (25/04/2021 21:12:24)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.10.7-200.fc33.x86_64 x86_64 bits: 64 Desktop: KDE Plasma 5.20.5
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

Pied de page des forums