[sshd] impossible de se connecter (RÉSOLU)

traaf · Message par **traaf** » mar. 28 juil. 2009, 23:56

Salut
je n'arrive pas à me connecter via ssh sur mes c sous archlinux

depuis le desktop, je me connecte sans problème à une divxbox sous ubuntu

mais entre le laptop et le desktop, pas moyen, dans un sens comme dans l'autre (les 2 sous arch)

# /etc/hosts.allow
sshd: 10.0.0.0/24

# /etc/hosts.deny
ALL: ALL: DENY

j'ai même essayé de passer la clé publique via clé usb, mais non...

Code : Tout sélectionner

ssh -p 22 -v traaf@10.0.0.10
OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 10.0.0.10 [10.0.0.10] port 22.
debug1: Connection established.
debug1: identity file /home/traaf/.ssh/id_rsa type -1
debug1: identity file /home/traaf/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.2
debug1: match: OpenSSH_5.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '10.0.0.10' is known and matches the RSA host key.
debug1: Found key in /home/traaf/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key: /home/traaf/.ssh/id_dsa
debug1: Server accepts key: pkalg ssh-dss blen 434
Connection closed by 10.0.0.10

capte pas

ddup1 · Message par **ddup1** » mer. 29 juil. 2009, 00:54

Et le log serveur il dit quoi ?

Car on voit bien ssh tenté une connexion par clé ?

mélodie · Message par **mélodie** » mer. 29 juil. 2009, 02:11

# /etc/hosts.allow
sshd: 10.0.0.0/24

Non, comme ça:

#
# /etc/hosts.allow
#
sshd: 192.168.0.0/255.255.255.0
distccd: 192.168.0.0/255.255.255.0
# End of file

(distccd si tu l'emploies, bien sûr)

j'ai même essayé de passer la clé publique via clé usb, mais non...

Non, comme ça ?

Message par **benjarobin** » mer. 29 juil. 2009, 03:23

Plus simplement tu peux juste pour tester mettre ALL, car la syntaxe me semple correct

mélodie · Message par **mélodie** » mer. 29 juil. 2009, 11:02

benjarobin a écrit :Plus simplement tu peux juste pour tester mettre ALL, car la syntaxe me semple correct

Douterais-tu de la qualité de mon LAN jeune homme ?

Nic0 · Message par **Nic0** » mer. 29 juil. 2009, 11:17

Bonjour,

Il est vrai qu'on a plus l'habitude de voir la façon dont montre mélodie, cependant, traaf montre bien qu'il veux ce connecter sur ce genre d'IP et je suppose qu'il as ses raisons,

Code : Tout sélectionner

ssh -p 22 -v traaf@10.0.0.10

Comme dis benjarobin, pour tester, un ALL est plus sûr.

Cela dis, je ne pense pas que le problème vienne de là, car si vraiment c'est le hosts.allow qui poserai soucis, dès la tentative de connection il aurais le droit à un "connection refusée" et non pas un échange de clé, et vérification de signature.

comme le dit ddup1, peut être regarder les autres logs.

traaf · Message par **traaf** » mer. 29 juil. 2009, 11:47

hello les zamis

alors, j'y ai collé du sshd: ALL partout

ca passe bien depuis le desktop vers le portable

Code : Tout sélectionner

ssh -p 22 -v traaf@10.0.0.41
OpenSSH_5.2p1, OpenSSL 0.9.8k 25 Mar 2009
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 10.0.0.41 [10.0.0.41] port 22.
debug1: Connection established.
debug1: identity file /home/traaf/.ssh/id_rsa type 1
debug1: identity file /home/traaf/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.2
debug1: match: OpenSSH_5.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '10.0.0.41' is known and matches the RSA host key.
debug1: Found key in /home/traaf/.ssh/known_hosts:6
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key: /home/traaf/.ssh/id_dsa
debug1: Server accepts key: pkalg ssh-dss blen 433
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
Last login: Wed Jul 29 11:19:46 2009 from 10.0.0.10

par contre, portable vers desktop, toujours idem

j'ai trouvé ceci dans le auth.log (coté desktop) qui me semble pas très net

Jul 29 11:04:00 Arch sudo: traaf : TTY=pts/2 ; PWD=/home/traaf ; USER=root ; COMMAND=/etc/rc.d/sshd restart
Jul 29 11:04:00 Arch sshd[5654]: Received signal 15; terminating.
Jul 29 11:04:01 Arch sshd[6179]: Server listening on 0.0.0.0 port 22.
Jul 29 11:05:28 Arch sshd[6181]: pam_access(sshd:account): failed to open accessfile=[/etc/security/access_ssh.conf]: No such file or directory
Jul 29 11:05:28 Arch sshd[6181]: pam_access(sshd:account): failed to parse the module arguments
Jul 29 11:23:59 Arch sudo: traaf : TTY=pts/0 ; PWD=/var/log ; USER=root ; COMMAND=/etc/rc.d/sshd start
Jul 29 11:23:59 Arch sshd[5196]: Server listening on 0.0.0.0 port 22.
Jul 29 11:24:05 Arch sshd[5198]: pam_access(sshd:account): failed to open accessfile=[/etc/security/access_ssh.conf]: No such file or directory
Jul 29 11:24:05 Arch sshd[5198]: pam_access(sshd:account): failed to parse the module arguments
Jul 29 11:44:37 Arch sshd[9431]: pam_access(sshd:account): failed to open accessfile=[/etc/security/access_ssh.conf]: No such file or directory
Jul 29 11:44:37 Arch sshd[9431]: pam_access(sshd:account): failed to parse the module arguments

youshe · Message par **youshe** » mer. 29 juil. 2009, 11:50

Je vais peut être dire une connerie mais en commentant dans /etc/host.deny la ligne ALL: ALL: DENY, ça change quelque chose ?

Fred

mélodie · Message par **mélodie** » mer. 29 juil. 2009, 11:54

Nic0 a écrit :Cela dis, je ne pense pas que le problème vienne de là

Tiens c'est curieux, j'avais passé mon modèle à FenDant, et depuis, chez lui, ça marche™ aussi. Alors que ni chez moi ni chez lui, le modèle en 10.0.0 etc... ne fonctionnait.

PS: le fichier hosts.deny chez moi est le même que celui de traaf

PS-2: dans un ifconfig, il y a un ethX, puis un lo, et dans le lo, inet addr:127.0.0.1 Mask:255.0.0.0

Une idée comme ça, (curiosité) ce n'est peut-être pas le 10.0.0.0/ qui gène, mais le 24 qui est après ? (D'où cela sort-il au juste ?)
Cela se pourrait-il que ça fonctionne avec une configuration du style '10.0.0.0/255.0.0.0' ?

Message par **tuxce** » mer. 29 juil. 2009, 11:59

@traaf, t'aurais pas fait un trafic de fichier de config inter distributions ?
si tu as modifié le sshd_config ou autre, tu peux les poster?

traaf · Message par **traaf** » mer. 29 juil. 2009, 12:01

youshe a écrit :Je vais peut être dire une connerie mais en commentant dans /etc/host.deny la ligne ALL: ALL: DENY, ça change quelque chose ?

Fred

non, ca change rien

mélodie · Message par **mélodie** » mer. 29 juil. 2009, 12:02

traaf a écrit :non, ca change rien

Et si tu essaies comme je propose ?

traaf · Message par **traaf** » mer. 29 juil. 2009, 12:04

tuxce a écrit :@traaf, t'aurais pas fait un trafic de fichier de config inter distributions ?
si tu as modifié le sshd_config ou autre, tu peux les poster?

pas de mélange, non (je crois pas)

je suis resté sur le wiki arch.fr et/ou arch.org
sshd_config

# $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22
#AddressFamily any
ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem sftp /usr/lib/ssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
AllowUsers traaf
Protocol 2
PermitRootLogin no

et le ssh_config

# $OpenBSD: ssh_config,v 1.25 2009/02/17 01:28:32 djm Exp $

# This is the ssh client system-wide configuration file. See
# ssh_config(5) for more information. This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options. For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
# ForwardAgent no
# ForwardX11 no
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
Protocol 2
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
HashKnownHosts yes
StrictHostKeyChecking ask

traaf · Message par **traaf** » mer. 29 juil. 2009, 12:06

mélodie a écrit :
traaf a écrit :non, ca change rien
Et si tu essaies comme je propose ?

pour l'instant, je laisse avec ALL, le temps de débloquer

c'est plus sur pour isoler le pépin, non ?

traaf · Message par **traaf** » mer. 29 juil. 2009, 12:15

mélodie a écrit :
Une idée comme ça, (curiosité) ce n'est peut-être pas le 10.0.0.0/ qui gène, mais le 24 qui est après ? (D'où cela sort-il au juste ?)

/24 indicates the subnet mask is 255.255.255.0

in binary, it has 24 1s and 8 0s

11111111111111111111111100000000

so a /16 would be 255.255.0.0

11111111111111110000000000000000

I tried to remain child-like, all I acheived was childish.

traaf · Message par **traaf** » mer. 29 juil. 2009, 12:22

ca avance :

sur le desktop, qui refuse ssh

Code : Tout sélectionner

cat /etc/pam.d/sshd
#%PAM-1.0
#auth		required	pam_securetty.so	#Disable remote root
auth		required	pam_unix.so
auth		required	pam_nologin.so
auth		required	pam_env.so
account		required	pam_unix.so
account		required	pam_time.so
account         required        pam_access.so           accessfile=/etc/security/access_ssh.conf
password	required	pam_unix.so
session		required	pam_unix_session.so
session		required	pam_limits.so

et sur le laptop, ou tout fonctionne :

Code : Tout sélectionner

cat /etc/pam.d/sshd 
#%PAM-1.0
#auth		required	pam_securetty.so	#Disable remote root
auth		required	pam_unix.so
auth		required	pam_nologin.so
auth		required	pam_env.so
account		required	pam_unix.so
account		required	pam_time.so
password	required	pam_unix.so
session		required	pam_unix_session.so
session		required	pam_limits.so

Nic0 · Message par **Nic0** » mer. 29 juil. 2009, 12:27

Rien de certain dans ce que je vais dire :

Ce que j'ai d'installé sur mon PC (je ne m'en suis finalement pas servis donc je ne saurais vraiment dire):

Code : Tout sélectionner

1 core/openssh 5.2p1-1 [installé] 
     A Secure SHell server/client

Je remarque que sur ton auth.log il cherche access_ssh.conf :

Code : Tout sélectionner

Jul 29 11:05:28 Arch sshd[6181]: pam_access(sshd:account): failed to open accessfile=[/etc/security/access_ssh.conf]: No such file or directory

Je viens de regardé dans mon fichier /etc/security et je n'ai également pas ce fichier mais un access.conf

Peut être un problème de nom de fichier ?

Edit : dans le /etc/pam.d/sshd ?

Code : Tout sélectionner

account         required        pam_access.so           accessfile=/etc/securit/access_ssh.conf

traaf · Message par **traaf** » mer. 29 juil. 2009, 12:37

ouep

j'ai commenté cette ligne, ca marche
je sais pas d'ou elle sort

j'avais aussi un pam_ssh installé depuis AUR ...
pourquoi ? aucune idée, il doit être là depuis longtemps
mais vu que je ne me connectais jamais en ssh sur ce pc avant cette semaine.... le problème restait ignoré

je m'en servais pour me connecter à d'autre machines seulement

reste à remettre mon hosts.allow en 10.0.0.0/24

LOL
je vous assure, ca marche

ddup1 · Message par **ddup1** » mer. 29 juil. 2009, 13:01

Mets Résolu alors dans le titre du post

Arch Linux

Archlinux.fr [Forums]

[sshd] impossible de se connecter (RÉSOLU)

[sshd] impossible de se connecter (RÉSOLU)

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter

Re: [sshd] impossible de se connecter