[SSH] Clé Pub/Priv problème mot de passeFermé

Question

Bonjour,

j'ai un petit problème avec mon SSH et l'authentification.
J'ai généré des clés publiques et privées sans passphrase (pas sécurisé mais c'est voulu ;)), le seul problème c'est qu'il me demande mon mot de passe quand je tente de me connecter en ssh

La commande ssh devant etre exécutée par un cron, le mot de passe fait tout capoter, le problème c'est que si je modifie mon sshd_config et que je change le PasswordAuthentification à "no" il me génère une erreur : Permission denied (publickey)...

J'espère avoir bien exposé mon problème
Cordialement

yousaid · Answer

bonjour,
je pense que t'as oublie d'ajouter la clé publique génère sur le serveur ssh a ta machine cliente

debianhunter · Answer

Bonjour,

Cette page est particulierement bien detaillee. Afin de verifier pourquoi il te demande le password, un conseil donne sur cette page est d'essayer de se connecter comme suit:ssh -l remoteUserName  -o PreferredAuthentications=publickey serverName
Peux-tu essayer et nous dire si un password/passphrase t'est demande ?

Cordialement

Koozag · Answer

@yousaid
j'ai effectuer la commande ssh-copy-id -i ~/.ssh/id_rsa.pub utilisateur2@serveur
il me semble que c'est celle la et j'ai bien la clé dans le fichier authorisedkey

@debianhunter
je regarde la page et je te dit quoi, mais la volonté de mon maitre de stage (je suis en stage BTS IG 2ème année) est de n'avoir aucun mdp a rentrer ;)

Merci pour les conseils je vais suivre ça et je reviens dire ce qu'il en est

Manu · Answer

Bonjour,

J'ai un petit problème avec mon SSH et l'authentification.
J'ai généré des clés publiques et privées sans passphrase (pas sécurisé mais c'est voulu ;)), le seul problème c'est qu'il me demande mon mot de passe quand je tente de me connecter en ssh 

En général c'est parce qu'on n'a pas interdit l'authentification par mot de passe (ssh est paresseux, il préfère faire travailler l'utilisateur que se coltiner les clés).

Dans /etc/ssh/sshd_config mettre

PasswordAuthentication no

Mais attention : soyez sûr de vos clés, sinon vous resterez à la rue.

Manu

Koozag · Answer

@Manu
j'ai déjà tenté de mettre PasswordAuthentication no mais j'ai eu comme erreur : Permission denied (publickey)

bob031 · Answer

Bonjour,

est-ce que ssh est redémarré après chaque modification du fichier de configuration ssh ?

Koozag · Answer

Oui je redémarre SSH via la commande 
/etc/init.d/sshd restart

bob031 · Answer

et elle est sensée faire quoi ta commande ssh via le crontab ?

Koozag · Answer

Ma commande exécute ssh linux-A38A@10.190.0.170 '/home/linux-A38A/rsync-A38A.sh'

debianhunter · Answer

Bonjour Koozag,

J'ai genere une cle sans passphrase chez moi, ca ne change pas le comportement de la connection ; meme chose qu'avec passphrase (sauf qu'on ne nous demande pas de taper quoi que ce soit). Donc ca devrait marcher ;o)

Quelques points a verifier: 
1/ Cote serveur:
   a/  ssh -V pour s'assurer que cote serveur on utilise OpenSSH. Si c'est SSH Secure Shell, il faudra mettre la cle dans ~/.ssh2
   b/ cat /etc/ssh/sshd_config contient: RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile     .ssh/authorized_keysNote: Si ces lignes sont commentees, c'est OK car ce sont la les valeurs par defaut
   c/ ls -l ~linux-A38A/.ssh/autohorized_keys pour verifier l'existence du fichier et ses droits (0600 de preference), puiscat ~linux-A38A/.ssh/autohorized_keys pour verifier qu'il contient bien une entree correspondant a celle du fichier id_rsa.pub.
2/ Cote client
   a/ Si ta commande est lancee en root (ce que je presume car elle est lancee via cron), verifier que ~root/.ssh contient bien les fichiers id_rsa (cle privee) et id_rsa.pub (cle publique)

Fais-nous part des resultats (si tu peux copier-coller les resultats, ce serait super !)

hth

Cordialement

Koozag · Answer

Chaque nom d'hotes, d'utilisateurs, ip,... ne sont pas les originals ;)

1/ Cote serveur:
a/ 
[linux-A38A@serveur-linux-a38a ~]$ ssh -V
OpenSSH_5.2p1, OpenSSL 0.9.8k-fips 25 Mar 2009

b/
[root@serveur-linux-a38a linux-A38A]# cat /etc/ssh/sshd_config
#	$OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile	.ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication no
#PermitEmptyPasswords no


# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing, 
# and session processing. If this is enabled, PAM authentication will 
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication

# and ChallengeResponseAuthentication to 'no'.
UsePAM no
#UsePAM no

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem	sftp	/usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	ForceCommand cvs server

c/
[root@serveur-linux-a38a linux-A38A]# ls -l ~linux-A38A/.ssh/authorized_keys 
-rw------- 1 linux-A38A linux-A38A 415 févr. 17 08:57 /home/linux-A38A/.ssh/authorized_keys

d/
[root@serveur-linux-a38a linux-A38A]# cat ~linux-A38A/.ssh/authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAv6C5YDDQgCMVo4RRFE0go4mU8tP1+dukXDuPTbciCcdX41utWe/XWRZKTTBK8UepUnvnzXQJ0/MErXXXXXXXXXXXXXXXXXXRnWfHetk17v8ulSMQ2GrZVwHvwUeRo8U6iXHDXYB0gbStSxrVFLa3LJ+G3nP+TlcnjX2GXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXVNPwuj3+jEN2mC1jx12VFCUjQ22eLOEfDAkwDdc1u3hTQ509BnvViYLF2XVmttM2cnLjlXCCXU/R06pqb4BalWxK/3uPG7lRbc6mIcdfRevilTK2FPboFX3z2IgXkTJDwunGOY+eSQ== linux-A38A@localhost.localdomain

2/ Cote client
a/
[root@localhost linux-A38A]# ls -l ~/.ssh/
total 16
-rw-------  1 root root 1675 févr. 17 09:20 id_rsa
-rw-r--r--  1 root root  409 févr. 17 09:21 id_rsa.pub
-rw-r--r--. 1 root root  395 févr. 17 09:21 known_hosts
-rw-r--r--. 1 root root 1572 févr. 16 09:38 known_hosts~

voila (de nouveau ;p) les commandes ;)

debianhunter · Answer

Mmmh... Il n'y a rien qui me saute aux yeux. Je pensais a un moment a un OpenSSH < 3.0 pour lequel un fichier authorized_keys2 est necessaires pour les cles RSA, mais comme tu es en OpenSSH_5.2p1,ce ne peut etre ca. Peut-etre est-ce malgre tout quelque chose a essayer (creer un authorized_keys2 a la place de authorized_keys) ?

Dans ton post 5, tu indiques que tu as l'erreur : Permission denied (publickey) Il semblerait que l'utilisateur qui essaye de se connecter n'a pas de cle.
Qu'est-ce que tu as dans ton auth.log (uniquement relatif aux connections ;o) ) ?

Koozag · Answer

Bon tout fonctionne -_-'
Je ne sais absolument pas de quoi sa vient ....

Apparement un UsePam qui était en double ... bizarre o_O

Enfin ça fonctionne je ne sais absolument pas pourquoi ... Merci quand même pour l'aide apportée ...
EDIT : j'ai également fait la commande : export SSH_AUTH_SOCK = 0

En tout cas résolu, merci debianhunter ;)

[SSH] Clé Pub/Priv problème mot de passe

13 réponses

Discussions similaires

Newsletters