Forum Linux.redhat Connection root en SSH impossible -> RESOLU

• # USER => ROOT

  Posté par hitmanu le 27 mai 2013 à 16:58. Évalué à 0.

  

  A tu essayer en utilisateur et en suite root, dans certain cas il faut procéder ainsi.;)

  Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

  • [^] # Re: USER => ROOT

    Posté par bibitte le 27 mai 2013 à 17:47. Évalué à 0.

    

    C'est même comme ça qu'il est conseillé de faire!

    ça prend que quelques secondes de plus et c'est plus sécurisant.

    Je n'ai pas les compétences pour connaitre exactement tout les raisons si quelqu'un les connais ca serai intéressant des les donner

    J'imagine que c'est au moins parce que root est un login qui est forcement présent sur la machine donc si c'est ouvert tu n'as que le password à trouver et pas le couple login/password, et en plus si c'est bloqué ça fait 2 password a casser minimum (ou un password+exploit local) pour accéder aux droits root contre 1 seul password si c'est ouvert.

    • [^] # Re: USER => ROOT

      Posté par Anonyme le 27 mai 2013 à 18:10. Évalué à 1.

      

      en général tu n'attribues pas de mot de passe au root qui ne peut donc pas se connecter directement à la machine que ce soit en local ou à distance.
      SUDO est utilisé pour donner le droit à certains utilisateurs d'executer certains processus avec des droits particuliers: l'administrateur de la machine se connecte donc sous un compte lambda qui a ensuite le droit de passer root si SUDO est configuré pour.

      • [^] # Re: USER => ROOT

        Posté par 태 (site web personnel) le 27 mai 2013 à 18:38. Évalué à 5.

        

        Ne pas attribuer de mot de passe à root est un comportement (une mode) récent(e) pour les distributions linux (un peu moins de 10 ans) et pas totalement heureux. A priori, c'est tout bénef puisque ça empêche cet idiot d'utilisateur de prendre le risque d'avoir un compte root piratable (enfin empêche…). Mais j'y vois plusieurs inconvénients :

        1. fsck qui tourne mal. Quand ma machine s'arrête brutalement, il arrive fréquemment que le boot suivant s'arrête en me disant "je ne peux pas corriger tout seul les erreurs sur le disque, connecte-toi en root et lance fsck à la mimine". Si ton compte root n'est accessible qu'en sudo, c'est mort.
        2. mauvaise config utilisateur. Si pour une raison ou une autre (chsh foireux, mise à jour du shell foireuse, désinstallation désinvolte du shell par défaut (ça va de pair avec un chsh, sur les debian et dérivés, il faut vraiment le vouloir pour désinstaller bash)), l'utilisateur qui a le droit de faire sudo ne peut plus lancer un shell, il ne peut pas se connecter en root pour résoudre le problème.
        3. Oubli du mot de passe du compte sudoer. Si le mot de passe root n'est pas oublié, c'est corrigeable (et inversement).
        4. sudo cassé. Contrairement aux deux premiers, ça ne m'est jamais arrivé. J'imagine que les distributions font super gaffe à ça.

        Évidemment, dans tous les cas, il y a encore un moyen de réparer (cd ou clef de rescue), mais ça enlève le moyen "facile" de corriger pour se prémunir d'une connexion locale en root (donc le méchant peut de toute façon tout casser sans se connecter en root) ou d'une mauvaise config de ssh. J'estime que c'est dommage.

        • [^] # Re: USER => ROOT

          Posté par Joris Dedieu (site web personnel) le 28 mai 2013 à 15:54. Évalué à 1.

          

          Mais j'y vois plusieurs inconvénients :

          Tu oublie la fstab foirée …

          Évidemment, dans tous les cas, il y a encore un moyen de réparer

          Oui c'est dans ces cas ou on t'explique de mettre init=/bin/bash en paramètre du noyau. Franchement faut avoir confiance dans sa carte d'accès distant

      • [^] # Re: USER => ROOT

        Posté par Fred355 le 28 mai 2013 à 10:20. Évalué à -1.

        

        Le compte root a un mot de passe et fonctionne (mais pas en connection ssh en directe)

• # Vague

  Posté par Sébastien Maccagnoni (site web personnel) le 27 mai 2013 à 17:33. Évalué à 1.

  

  Quelle est l'erreur précise que tu obtiens ?

  Es-tu sûr d'utiliser le bon mot de passe ?

  SSH autorise-t-il les mots de passe ?

  • [^] # Re: Vague

    Posté par hitmanu le 27 mai 2013 à 18:16. Évalué à 1.

    

    Il a dit;

    j'obtiens un access denied

    Je suppose que ssh lui interdit de devenir ROOT sans passer par son USER.

    Mais;

    j'ai bien le PermitRootLogin positionné à yes

    La t'il fait du bon coté ?

    Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

    • [^] # Re: Vague

      Posté par Sébastien Maccagnoni (site web personnel) le 28 mai 2013 à 08:37. Évalué à 1.

      

      Il a dit;

      j'obtiens un access denied

      Je suppose que ssh lui interdit de devenir ROOT sans passer par son USER.

      Moi je ne suppose rien. Cette erreur est tellement vague, ça peut être n'importe quoi.

      j'ai bien le PermitRootLogin positionné à yes

      La t'il fait du bon coté ?

      Ça c'est une très bonne question, je la plussoie.

      • [^] # Re: Vague

        Posté par Fred355 le 28 mai 2013 à 10:07. Évalué à -1.

        

        Merci de vos réponses
        Mon compte root fonctionne tres bien, mais je dois passer par un utilisateur intermediaire pour l'utiliser. L'ouverture en mode SSH directe en root n'est pas possible.
        La verification que j'ai effectué porte sur le fichier /etc/ssh/sshd_config
        Le PermitRootLogin est positionné à yes

        • [^] # Re: Vague

          Posté par gst le 28 mai 2013 à 17:25. Évalué à 1.

          

          La verification que j'ai effectué porte sur le fichier /etc/ssh/sshd_config

          sur le serveur ?

• # Détails

  Posté par Lol Zimmerli (site web personnel, Mastodon) le 27 mai 2013 à 19:48. Évalué à 1.

  

  Lance la commande ssh avec -vvv qu'on ait un peu plus de détails

  En console, tu peux te logguer sous root ?

  La gelée de coings est une chose à ne pas avaler de travers.

  • [^] # Re: Détails

    Posté par Fred355 le 28 mai 2013 à 10:10. Évalué à 0.

    

    Voici le resultat du ssh -vvv
    OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
    debug1: Reading configuration data /root/.ssh/config
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: Applying options for *
    debug2: ssh_connect: needpriv 0
    debug1: Connecting to inbstas4 [192.168.34.9] port 22.
    debug1: Connection established.
    debug1: permanently_set_uid: 0/0
    debug1: identity file /root/.ssh/identity type -1
    debug1: identity file /root/.ssh/id_rsa type -1
    debug1: identity file /root/.ssh/id_dsa type -1
    debug1: loaded 3 keys
    debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3
    debug1: match: OpenSSH_4.3 pat OpenSSH*
    debug1: Enabling compatibility mode for protocol 2.0
    debug1: Local version string SSH-2.0-OpenSSH_4.3
    debug2: fd 3 setting O_NONBLOCK
    debug1: SSH2_MSG_KEXINIT sent
    debug1: SSH2_MSG_KEXINIT received
    debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-gro up14-sha1,diffie-hellman-group1-sha1
    debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
    debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour1 28,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-c tr,aes192-ctr,aes256-ctr
    debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour1 28,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-c tr,aes192-ctr,aes256-ctr
    debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open ssh.com,hmac-sha1-96,hmac-md5-96
    debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open ssh.com,hmac-sha1-96,hmac-md5-96
    debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
    debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
    debug2: kex_parse_kexinit:
    debug2: kex_parse_kexinit:
    debug2: kex_parse_kexinit: first_kex_follows 0
    debug2: kex_parse_kexinit: reserved 0
    debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-gro up14-sha1,diffie-hellman-group1-sha1
    debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
    debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour1 28,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-c tr,aes192-ctr,aes256-ctr
    debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour1 28,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-c tr,aes192-ctr,aes256-ctr
    debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open ssh.com,hmac-sha1-96,hmac-md5-96
    debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@open ssh.com,hmac-sha1-96,hmac-md5-96
    debug2: kex_parse_kexinit: none,zlib@openssh.com
    debug2: kex_parse_kexinit: none,zlib@openssh.com
    debug2: kex_parse_kexinit:
    debug2: kex_parse_kexinit:
    debug2: kex_parse_kexinit: first_kex_follows 0
    debug2: kex_parse_kexinit: reserved 0
    debug2: mac_init: found hmac-md5
    debug1: kex: server->client aes128-cbc hmac-md5 none
    debug2: mac_init: found hmac-md5
    debug1: kex: client->server aes128-cbc hmac-md5 none
    debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
    debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
    debug2: dh_gen_key: priv key bits set: 123/256
    debug2: bits set: 538/1024
    debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
    debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
    debug3: check_host_in_hostfile: filename /root/.ssh/known_hosts
    debug3: check_host_in_hostfile: match line 1
    debug3: check_host_in_hostfile: filename /root/.ssh/known_hosts
    debug3: check_host_in_hostfile: match line 1
    debug1: Host 'inbstas4' is known and matches the RSA host key.
    debug1: Found key in /root/.ssh/known_hosts:1
    debug2: bits set: 527/1024
    debug1: ssh_rsa_verify: signature correct
    debug2: kex_derive_keys
    debug2: set_newkeys: mode 1
    debug1: SSH2_MSG_NEWKEYS sent
    debug1: expecting SSH2_MSG_NEWKEYS
    debug2: set_newkeys: mode 0
    debug1: SSH2_MSG_NEWKEYS received
    debug1: SSH2_MSG_SERVICE_REQUEST sent
    debug2: service_accept: ssh-userauth
    debug1: SSH2_MSG_SERVICE_ACCEPT received
    debug2: key: /root/.ssh/identity ((nil))
    debug2: key: /root/.ssh/id_rsa ((nil))
    debug2: key: /root/.ssh/id_dsa ((nil))
    debug1: Authentications that can continue: publickey,gssapi-with-mic,password
    debug3: start over, passed a different list publickey,gssapi-with-mic,password
    debug3: preferred gssapi-with-mic,publickey,keyboard-interactive,password
    debug3: authmethod_lookup gssapi-with-mic
    debug3: remaining preferred: publickey,keyboard-interactive,password
    debug3: authmethod_is_enabled gssapi-with-mic
    debug1: Next authentication method: gssapi-with-mic
    debug3: Trying to reverse map address 192.168.34.9.
    debug1: Unspecified GSS failure. Minor code may provide more information
    Unknown code krb5 195

    debug1: Unspecified GSS failure. Minor code may provide more information
    Unknown code krb5 195

    debug1: Unspecified GSS failure. Minor code may provide more information
    Unknown code krb5 195

    debug2: we did not send a packet, disable method
    debug3: authmethod_lookup publickey
    debug3: remaining preferred: keyboard-interactive,password
    debug3: authmethod_is_enabled publickey
    debug1: Next authentication method: publickey
    debug1: Trying private key: /root/.ssh/identity
    debug3: no such identity: /root/.ssh/identity
    debug1: Trying private key: /root/.ssh/id_rsa
    debug3: no such identity: /root/.ssh/id_rsa
    debug1: Trying private key: /root/.ssh/id_dsa
    debug3: no such identity: /root/.ssh/id_dsa
    debug2: we did not send a packet, disable method
    debug3: authmethod_lookup password
    debug3: remaining preferred: ,password
    debug3: authmethod_is_enabled password
    debug1: Next authentication method: password

    • [^] # Re: Détails

      Posté par Joris Dedieu (site web personnel) le 28 mai 2013 à 16:03. Évalué à 2.

      

      Et de l'autre côté dans le logs y-a quoi ?
      Tu as regardé du côté de SELinux aussi ?

  • [^] # Re: Détails

    Posté par Fred355 le 28 mai 2013 à 10:11. Évalué à 0.

    

    Sinon oui je peux me logguer sous root mais indirectement

  • [^] # Re: Détails

    Posté par Fred355 le 28 mai 2013 à 10:18. Évalué à 0.

    

    et quand je mets le mot de passe avec ssh -vvv vopici la réponse
    debug3: packet_send2: adding 64 (len 55 padlen 9 extra_pad 64)
    debug2: we sent a password packet, wait for reply
    debug1: Authentications that can continue: publickey,gssapi-with-mic,password
    Permission denied, please try again.

    je suis certain du mot de passe

    • [^] # Re: Détails

      Posté par bibitte le 28 mai 2013 à 11:57. Évalué à 2. Dernière modification le 28 mai 2013 à 11:59.

      

      question bête (mais un truc dans le genre ça nous est tous arrivé):
      Tu a changé la conf pour mettre PermitRootLogin yes.
      As tu relancé le demon SHH après ça pour qu'il recharge la conf?

      deuxième question bête le fichier de conf que tu a changé c'est bien celui du serveur?

      • [^] # Re: Détails

        Posté par biband le 28 mai 2013 à 12:56. Évalué à 0.

        

        Bonjour,

        Peut-être vérifier aussi le fichier /etc/security/access.conf ? Le compte root n'est peut-être autorisé à ce connecter que sur la console ?

        My two cents

        • [^] # Re: Détails

          Posté par Fred355 le 28 mai 2013 à 14:20. Évalué à 0.

          

          Merci du conseil
          J'ai verifié le fichier /etc/security/access.conf
          Toutes les lignes sont en commentaire.
          J'ai comparé avec un serveur qui fonctionne, le fichier a le meme contenu.
          Fred

      • [^] # Re: Détails

        Posté par Fred355 le 28 mai 2013 à 14:19. Évalué à 0.

        

        Bonjour
        oui le service sshd a été redemarré (service sshd restart)
        Le fichier de conf est bien sur le serveur dans /etc/ssh/sshd_config

        • [^] # Re: Détails

          Posté par Fred355 le 28 mai 2013 à 16:08. Évalué à 1.

          

          J'ai trouvé la source du probleme
          Dans le fichier /etc/ssh/sshd_conf, j'ai 2 lignes
          AllowUsers Test
          AllowGroups Test
          En mettant en commentaire ces 2 lignes et j'ai fait un reload du service sshd (service sshd reload) -> CA FONCTIONNE

          Si l'une de ces 2 lignes n'est pas en commentaire, ça ne fonctionne plus.

          En tout cas merci de vos conseils et de votre aide

• # RESOLU

  Posté par Fred355 le 28 mai 2013 à 16:55. Évalué à 1.

  

  J'ai trouvé la source du probleme
  Dans le fichier /etc/ssh/sshd_conf, j'ai 2 lignes
  AllowUsers Test
  AllowGroups Test
  En mettant en commentaire ces 2 lignes et j'ai fait un reload du service sshd (service sshd reload) -> CA FONCTIONNE

  Si l'une de ces 2 lignes n'est pas en commentaire, ça ne fonctionne plus.

  En tout cas merci de vos conseils et de votre aide

  • [^] # Re: RESOLU

    Posté par fearan le 29 mai 2013 à 10:29. Évalué à 2.

    

    a plus qu'a changer le titre et mettre [résolu] dedans ;) et éditer le corps pour préciser la solution :D ça permet de faciliter les recherches ensuite si d'aventure une autre personne aurait le même problème.

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.