Partage
  • Partager sur Facebook
  • Partager sur Twitter

génération des Clés ssh hôtes

ssh-keygen -A versus ssh-keygen -t ed25519

    3 mai 2019 à 17:21:40

    Bonjour,


    Lorsque je génère avec OpenSSH_6.7p1 Debian-5+deb8u8, OpenSSL 1.0.1t  3 May 2016 des clés je constate la chose suivante que je ne comprends pas.

    dans /etc/ssh du coté serveur donc.

    je détruit toutes les clés existantes, ensuite :

    ssh-keygen -A, toutes les clés sont recréées

    service sshd reload

    service sshd status -l
    ● ssh.service - OpenBSD Secure Shell server
       Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
       Active: active (running) since ven. 2019-05-03 16:15:47 CEST; 25min ago
      Process: 28408 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
      Process: 28407 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
      Process: 29362 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
     Main PID: 29364 (sshd)
       CGroup: /system.slice/ssh.service
               └─29364 /usr/sbin/sshd -D

    mai 03 16:15:47 systemd[1]: Started OpenBSD Secure Shell server.
    mai 03 16:15:47 sshd[29364]: Server listening on 0.0.0.0 port 22.
    mai 03 16:15:47 sshd[29364]: Server listening on :: port 22.
    mai 03 16:16:09 sshd[29396]: Accepted publickey for root from 192.168.75.100 port 35602 ssh2: ED25519 2e:e4:5d:3c:7b:00:7f:af:02:a0:4d:fc:aa:1d:5b:01
    mai 03 16:16:09 sshd[29396]: pam_unix(sshd:session): session opened for user root by (uid=0)


    Tout fonctionne pour le mieux.


    J' efface la clé hôte ed25519 de /etc/ssh maintenant je la génère avec la commande sans mot de passe et je la sauvegarde en lieu et place de l'ancienne :

    ssh-keygen -t ed25519

    J'ai effectué le même teste avec rsa et ecdsa


    service sshd reload


    service sshd status -l

    ● ssh.service - OpenBSD Secure Shell server
       Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
       Active: active (running) since ven. 2019-05-03 16:43:41 CEST; 44s ago
      Process: 31383 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
      Process: 31382 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
      Process: 31412 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
     Main PID: 31414 (sshd)
       CGroup: /system.slice/ssh.service
               └─31414 /usr/sbin/sshd -D

    mai 03 16:43:41 sshd[31412]: Could not load host key: /etc/ssh/ssh_host_ed25519_key
    mai 03 16:43:41 systemd[1]: Started OpenBSD Secure Shell server.
    mai 03 16:43:41 sshd[31414]: Could not load host key: /etc/ssh/ssh_host_ed25519_key
    mai 03 16:43:41 sshd[31414]: Server listening on 0.0.0.0 port 22.
    mai 03 16:43:41 sshd[31414]: Server listening on :: port 22.

    incroyable la clé n'est pas supportée !

    J'efface la clé ed25519, je génère une nouvelle clé hôte avec

    ssh-keygen -A

    la clé est supportée !

    sshd status -l
    ● ssh.service - OpenBSD Secure Shell server
       Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
       Active: active (running) since ven. 2019-05-03 17:10:42 CEST; 6s ago
      Process: 31383 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
      Process: 31382 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
      Process: 788 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
     Main PID: 790 (sshd)
       CGroup: /system.slice/ssh.service
               └─790 /usr/sbin/sshd -D

    mai 03 17:10:42 systemd[1]: Started OpenBSD Secure Shell server.
    mai 03 17:10:42 sshd[790]: Server listening on 0.0.0.0 port 22.
    mai 03 17:10:42 sshd[790]: Server listening on :: port 22.



    Qu'elle est la différence entre une clé hôte (fabriquée avec ssh-keygen -A ) et une clé fabriquée avec ssh-keygen -t ed25519

    J'ai fait le teste en rsa ecdsa, le résultat est le même.

    • Partager sur Facebook
    • Partager sur Twitter
      6 mai 2019 à 11:12:30

      tu est sur qu'elle est au même format (RSA/DSA/...) ?
      • Partager sur Facebook
      • Partager sur Twitter

      la connaissance est la seule chose qui ne nous appauvrit pas quand on la partage.

      Un tuto sur les makefile et mon GitHub

        7 mai 2019 à 9:55:51

        Avec l'option -A il va générer toute les clés host sans protection stocké au bon endroit avec les bons droits de fichiers et les bons noms.

        Mais à part cela il n'y a pas de différence avec une clé générer avec -t. Tu as du générer la clé au mauvais endroit ou avec un mauvais nom. Ou alors tu as mis une passphrase.

        • Partager sur Facebook
        • Partager sur Twitter
          13 mai 2019 à 0:18:08

          Oui avec l'option -t et sans mot de passe en root dans /etc/ssh , la clé générée n'est pas reconnue par le demon comme clé hôte, lors de la connection.

          Peut-être qu'il y a une différence de format de sauvegarde ce qui l'empêche d'être chargée.

          Avec -A il génère toutes les clés manquantes et là ça marche. Cependant celles générées avec ssh-keygen -t, non.

          • Partager sur Facebook
          • Partager sur Twitter
            14 mai 2019 à 13:28:14

            S'il manque des clés c'est normale que le serveur ne démarre pas. C'est pas une question de format de clés.

            Mais si dans sshd_config tu cela ça comme clé : "HostKey /etc/ssh/ssh_host_rsa_key"

            Alors la commande ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key sans mot de passe fera la même chose que ssh-keygen -A.

            Je viens testé avec la config ssh par défaut de Debian 9 et si je générer les clés avec les commandes :

            ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
            ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
            ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key
            ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

            Le serveur ce lance normalement.

            • Partager sur Facebook
            • Partager sur Twitter

            génération des Clés ssh hôtes

            × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
            • Editeur
            • Markdown