Bonjour,
Je ne parviens pas à me connecter avec ma clé ssh sur un serveur fraichement installé sous CentOS 8 :-( (mes connaissances en CentOS 8 sont toutes aussi fraiches que l'installation du serveur).
Pourtant, j'ai bien ma clé ssh publique dans le ~centos/.ssh/authorized_keys et d'après ce que je peux trouver sur ggl, cela devrait suffire.
J'ai tenté l'adaptation des AllowUsers et PubkeyAuthentication dans /etc/ssh/sshd_config suivi d'un systemctl restart sshd mais sans effet.
Souci supplémentaire, la page https://wiki.centos.org/TipsAndTricks/SshTips/SshKeyAuthentication me retourne un beau :
"Vous n'êtes pas autorisé à lire cette page."
qui persiste même après la création d'un compte et l'identification sur wiki.centos.org avec ce compte.
Tout indice pour résoudre ces problèmes seraient les bienvenus.
Cordialement,
Laurent Barme.
Regarde les droits de tes clés publiques Essaye de forcer l'utilisation de ta clé avec le -i
i identity_file Selects a file from which the identity (private key) for public key authentication is read. The default is ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk and ~/.ssh/id_rsa. Identity files may also be specified on a per-host basis in the configuration file. It is possible to have multiple -i options (and multiple identities specified in configuration files). If no certificates have been explicitly specified by the CertificateFile directive, ssh will also try to load certificate information from the filename obtained by appending -cert.pub to identity filenames.
Cordialement, Regards, Hugo SIMANCAS Directeur Technique Associé https://www.data-expertise.com/ Support technique : 09 78 23 20 29 Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57 | Mobile : 06 95 44 29 64
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de Laurent Barme Envoyé : vendredi 24 juillet 2020 11:55 À : FRsAG frsag-bounces@frsag.org; frsag@frsag.org Objet : [FRsAG] Ou trouver de la doc sur CentOS 8 ?
Bonjour,
Je ne parviens pas à me connecter avec ma clé ssh sur un serveur fraichement installé sous CentOS 8 :-( (mes connaissances en CentOS 8 sont toutes aussi fraiches que l'installation du serveur).
Pourtant, j'ai bien ma clé ssh publique dans le ~centos/.ssh/authorized_keys et d'après ce que je peux trouver sur ggl, cela devrait suffire.
J'ai tenté l'adaptation des AllowUsers et PubkeyAuthentication dans /etc/ssh/sshd_config suivi d'un systemctl restart sshd mais sans effet.
Souci supplémentaire, la page https://antiphishing.vadesecure.com/2/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVydGlzZS... me retourne un beau :
"Vous n'êtes pas autorisé à lire cette page."
qui persiste même après la création d'un compte et l'identification sur wiki.centos.org avec ce compte.
Tout indice pour résoudre ces problèmes seraient les bienvenus.
Cordialement,
Laurent Barme.
_______________________________________________ Liste de diffusion du FRsAG https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVydGlzZS...
Les informations contenues dans ce courrier électronique sont confidentielles et protégées par le secret professionnel. En tout état de cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des copies, le divulguer ou le diffuser. La présence de cette note prouve également que ce message électronique a été vérifié par un logiciel anti-virus.
Le 24/07/2020 à 12:06, Vincent Tondellier via FRsAG a écrit :
Ils sont bons : [centos@cen ~]$ ls -ld .ssh/ drwx------. 2 centos centos 28 24 juil. 10:14 .ssh/ [centos@cen ~]$ ls -l .ssh/authorized_keys -rw------- 1 centos centos 727 24 juil. 10:14 .ssh/authorized_keys
Sinon la doc centos, c'est celle de redhat ...
Super l'ouverture ! Si je comprends bien, pour avoir accès à la doc sur les "SSH Tips and Tricks", il faut payer RedHat ?
On vendredi 24 juillet 2020 12:28:07 CEST, Laurent Barme wrote:
Je dirais comme Julien : selinux (il manque le . a la fin des droits)
Non, la majorité de la doc redhat est accessible publiquement sans compte :
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/
Seule une partie des kb et des articles de blog sont derrière un paywall
Bonjour,
Quelle type de clé ? Es-tu sûr qu'elle est bien prise en charge par le serveur SSH et qu'elle n'est pas dépréciée ?
Le ven. 24 juil. 2020 à 11:55, Laurent Barme 2551@barme.fr a écrit :
On vendredi 24 juillet 2020 12:51:20 CEST, Laurent Barme wrote:
Je parviens enfin à me connecter avec une autre clé ssh de même type mais avec un -C lb@<ndd>
Attention avec le -C/-oCompression=yes, j'ai déjà vu plein de gens se plaindre que les transferts de fichier rsync/scp/sftp étaient très lent. Oui, gzip c'est lent ...
C'est dingue : il faut impérativement une adresse mail en commentaire de la clé !
Il faut simplement respecter le format de fichier, comme expliqué dans la page de man : "Public keys consist of the following space-separated fields: options, keytype, base64-encoded key, comment. The options field is optional."
Et ce n'est pas un email, c'est un simple commentaire libre dont le format par défaut est $USER@$HOST qui a généré la clé. Bien pratique pour savoir qui a les accès. "The comment field is not used for anything (but may be convenient for the user to identify the key)"
On vendredi 24 juillet 2020 12:38:44 CEST, Laurent Barme wrote:
Il faut un type de clé spécial pour CentOS 8 ?
A ma connaissance le OpenSSH des centos n'est pas trop patché, les algos supportés sont donc ceux dispo dans la version de OpenSSH (8.0p1) : RSA, ECC, et (recommandé) Ed25519
Le 24/07/2020 à 14:59, Vincent Tondellier via FRsAG a écrit :
En l'occurrence, le -C dont je parle est celui de l'option de ssh-keygen ; a priori je ne vois pas trop de rapport avec gzip...
Ok, c'est logique mais la page mail ne précise pas que le commentaire _doit_ être de la forme user@host et les nombreux exemples que l'on peut trouver sur Internet prennent une adresse mail comme exemple de commentaire
Sous Debian, la valeur de -C peut être un simple texte.
Je constate que sous CentOS il _faut_ que ce "simple commentaire libre" contienne un @ et c'est ça qui me parait surprenant.
On vendredi 24 juillet 2020 15:21:39 CEST, Laurent Barme wrote:
Vu le contexte j'ai compris le -C de la commande ssh qui active la compression gzip du protocole ssh
Ce n'est pas du tout ce que je constate. Le commentaire de mes clés est uniquement mon login, partout, que ce soit debian, centos 7 / 8, openwrt ...
Par exemple sur une centos 8 de test : $ ssh root@centos8 Enter passphrase for key 'xxx/.ssh/id_ed25519': Last login: Fri Jul 24 14:42:51 2020 from x [root@centos8 ~]# cat /etc/centos-release CentOS Linux release 8.1.1911 (Core) [root@centos8 ~]# cat .ssh/authorized_keys ssh-ed25519 AAAAxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx tondellier
Et je viens de tester aussi, le commentaire ne semble même pas obligatoire.
Merci Vincent pour tes retours.
Le 24/07/2020 à 16:07, Vincent Tondellier via FRsAG a écrit :
A part que j'ai une clé de type RSA et :
# cat /etc/centos-release CentOS Linux release 8.2.2004 (Core)
Je ne vois pas pourquoi je n'observe pas la même chose que toi : Je ne peux pas me connecter avec ma clé privée habituelle qui n'a pas de @ dans son commentaire (je ne prend un Permission denied (publickey).) mais je peux me connecter avec une autre clé privée qui a un @ dans son commentaire.
Et j'ai pensé à cette solution car je me souviens d'un échange (il y a longtemps) avec un technicien d'un support qui m'affirmait que le commentaire devait être une adresse mail valide.
Peut-être est que le problème est ailleurs...
Je viens de refaire un essai avec une nouvelle clé en ed25519 et un commentaire sans @ et là ça marche !?
Quoiqu'il en soit, je parviens bien à me connecter avec une clé ssh sur mon serveur en CentOS 8 et ça me va.
Et je viens de tester aussi, le commentaire ne semble même pas obligatoire. _______________________________________________
Je n'ai pas testé sans commentaire ; cela me semble utile de savoir à quelle clé on a affaire.
Hello,
Je ne pense pas non plus que le problème vient du commentaire qui est juste... un commentaire.
As-tu checké les droits sur la clé et le dossier .ssh/ côté client ?
Il faut aussi que les droits soient restrictifs sur la clé privée et le dossier qui la contient, sinon le client SSH refusera de l'utiliser. Dans ce cas, il devrait te l'indiquer si tu te connectes avec :
ssh -vvv <ton_host>
Si ton problème est du côté du serveur sur lequel tu essayes de te connecter, c'est dans l'auth.log que tu verras l'erreur.
Bonjour,
J'ai fini par trouver l'origine de mon problème de connexion avec ma clé ssh :
Il manquait un s en tout début de la clé dans .ssh/authorized_keys ; une sélection incomplète de copier/coller quoi :-\
On peut donc évidemment mettre ce qu'on veut comme commentaire...
Désolé pour le bruit et merci à tous pour votre aide.
Laurent Barme.
Le 24/07/2020 à 20:36, Grégory Durand via FRsAG a écrit :