[ssh] clefs non reconnues par les serveurs et réciproquement (résolu)

Applications, problèmes de configuration réseau
Thomasb
yeomen
Messages : 275
Inscription : dim. 28 avr. 2019, 14:49

[ssh] clefs non reconnues par les serveurs et réciproquement (résolu)

Message par Thomasb »

Bonjour,
Impossible de me connecter quelque part sans donner mon mot de passe ni l'inverse. Est-ce qu'Arch est devenue très en avance sur OpenSSH ?
Il me semble que le serveur tourne avec la version 8.4 (ssh -v localhost), et Arch 8.8. Même une clef ed25519 ne passe pas.
Le fichier /etc/crypto-policies/back-ends/opensshserver.config du serveur contient :

Code : Tout sélectionner

Ciphers aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc,3des-cbc
MACs hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
GSSAPIKexAlgorithms gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-,gss-gex-sha1-,gss-group14-sha1-
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
HostKeyAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com,ssh-dss,ssh-dss-cert-v01@openssh.com
PubkeyAcceptedKeyTypes ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com,ssh-dss,ssh-dss-cert-v01@openssh.com
CASignatureAlgorithms ecdsa-sha2-nistp256,sk-ecdsa-sha2-nistp256@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,sk-ssh-ed25519@openssh.com,rsa-sha2-256,rsa-sha2-512,ssh-rsa,ssh-dss
et ssh-ed25519 apparaît dans la liste. Est-ce qu'il faut un paramétrage supplémentaire dans sshd_config ?
Dernière modification par Thomasb le lun. 21 févr. 2022, 22:34, modifié 1 fois.
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17187
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [ssh] clefs non reconnues par les serveurs et réciproquement

Message par benjarobin »

Bonjour,
ed25519 est une clé assez "récente", introduit dans OpenSSH 6.5...
Tout dépend quel client tu utilises et vers quel serveur tu essayes de te connecter. Après sans plus de détail difficile de savoir où est le problème.
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Thomasb
yeomen
Messages : 275
Inscription : dim. 28 avr. 2019, 14:49

Re: [ssh] clefs non reconnues par les serveurs et réciproquement

Message par Thomasb »

Par exemple, ssh -V renvoie sur le client Archlinux :

Code : Tout sélectionner

OpenSSH_8.8p1, OpenSSL 1.1.1m  14 Dec 2021
et le serveur Fedora :

Code : Tout sélectionner

OpenSSH_8.4p1, OpenSSL 1.1.1l  FIPS 24 Aug 2021
Si tu saurais lire les logs, je peux me connecter en ssh -vvvv ?
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17187
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [ssh] clefs non reconnues par les serveurs et réciproquement

Message par benjarobin »

Oui, tu peux donner ce genre de log.
As tu bien envoyé sur le serveur fedora la clé publique associé à ta clé privée ed25519 (elle se trouve bien dans authorized_keys ?) ?
As tu créé un fichier de configuration côté client pour indiquer quelle clé dois être utilisé pour se connecter au serveur fedora ?
Les droits sur les fichiers et dossiers côté client et serveur sont bon pour .ssh contenu dans le home du client et de l'user distant ?
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Thomasb
yeomen
Messages : 275
Inscription : dim. 28 avr. 2019, 14:49

Re: [ssh] clefs non reconnues par les serveurs et réciproquement

Message par Thomasb »

Les répertoires .ssh ont tous les droits 700, les clefs privées ont les droits 600 et le fichier authorized_keys a les droits 644.
Voici un lot de fichiers, pêle-mêle les configs et les logs : et la config ssh du client :

Code : Tout sélectionner

Host my7
    Hostname 172.168.1.7
    User user
    IdentityFile ~/.ssh/id_dsa_hp3
mais pour tester une clef, je ne m'en sers pas
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17187
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [ssh] clefs non reconnues par les serveurs et réciproquement

Message par benjarobin »

Il faudrait faire le ménage dans .ssh/authorized_keys, ... Comment c'est possible d'avoir plusieurs fois la même clé ? Elles sont toutes actives ?
Dans les logs tu as testé la clé id_dsa_hp2 qui est de type ssh-dss et non pas ed25519 comme tu l'indiques dans ton message...
Ce type de clé (ssh-dss) est clairement marqué comme non supporté (car pas dans PubkeyAcceptedAlgorithms)
Note : cela fait maintenant longtemps que ce type de clé est désactivé sous Arch : https://archlinux.fr/news/openssh-7-0p1 ... es-ssh-dss

Bref, tu devrais faire le ménage dans tes clés, supprimer toutes tes clé en ssh-dss, nettoyer authorized_keys, et recommencer le tout avec une clé ed25519

Arch accepte

Code : Tout sélectionner

rsa-sha2-512,rsa-sha2-256,ssh-rsa,ecdsa-sha2-nistp256,ssh-ed25519
tandis que ta Fedora accepte

Code : Tout sélectionner

ssh-ed25519,sk-ssh-ed25519@openssh.com,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,webauthn-sk-ecdsa-sha2-nistp256@openssh.com
Tu as donc en commun toutes les clés acceptées par Arch Linux
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Thomasb
yeomen
Messages : 275
Inscription : dim. 28 avr. 2019, 14:49

Re: [ssh] clefs non reconnues par les serveurs et réciproquement

Message par Thomasb »

En mettant un peu d'ordre, je devrais y voir plus clair... Merci
Répondre