Bonjour,


Lorsque je génère avec OpenSSH_6.7p1 Debian-5+deb8u8, OpenSSL 1.0.1t  3 May 2016 des clés je constate la chose suivante que je ne comprends pas.

dans /etc/ssh du coté serveur donc.

je détruit toutes les clés existantes, ensuite :

ssh-keygen -A, toutes les clés sont recréées

service sshd reload

service sshd status -l
● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
   Active: active (running) since ven. 2019-05-03 16:15:47 CEST; 25min ago
  Process: 28408 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
  Process: 28407 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
  Process: 29362 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
 Main PID: 29364 (sshd)
   CGroup: /system.slice/ssh.service
           └─29364 /usr/sbin/sshd -D

mai 03 16:15:47 systemd[1]: Started OpenBSD Secure Shell server.
mai 03 16:15:47 sshd[29364]: Server listening on 0.0.0.0 port 22.
mai 03 16:15:47 sshd[29364]: Server listening on :: port 22.
mai 03 16:16:09 sshd[29396]: Accepted publickey for root from 192.168.75.100 port 35602 ssh2: ED25519 2e:e4:5d:3c:7b:00:7f:af:02:a0:4d:fc:aa:1d:5b:01
mai 03 16:16:09 sshd[29396]: pam_unix(sshd:session): session opened for user root by (uid=0)


Tout fonctionne pour le mieux.


J' efface la clé hôte ed25519 de /etc/ssh maintenant je la génère avec la commande sans mot de passe et je la sauvegarde en lieu et place de l'ancienne :

ssh-keygen -t ed25519

J'ai effectué le même teste avec rsa et ecdsa


service sshd reload


service sshd status -l

● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
   Active: active (running) since ven. 2019-05-03 16:43:41 CEST; 44s ago
  Process: 31383 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
  Process: 31382 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
  Process: 31412 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
 Main PID: 31414 (sshd)
   CGroup: /system.slice/ssh.service
           └─31414 /usr/sbin/sshd -D

mai 03 16:43:41 sshd[31412]: Could not load host key: /etc/ssh/ssh_host_ed25519_key
mai 03 16:43:41 systemd[1]: Started OpenBSD Secure Shell server.
mai 03 16:43:41 sshd[31414]: Could not load host key: /etc/ssh/ssh_host_ed25519_key
mai 03 16:43:41 sshd[31414]: Server listening on 0.0.0.0 port 22.
mai 03 16:43:41 sshd[31414]: Server listening on :: port 22.

incroyable la clé n'est pas supportée !

J'efface la clé ed25519, je génère une nouvelle clé hôte avec

ssh-keygen -A

la clé est supportée !

sshd status -l
● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled)
   Active: active (running) since ven. 2019-05-03 17:10:42 CEST; 6s ago
  Process: 31383 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
  Process: 31382 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
  Process: 788 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
 Main PID: 790 (sshd)
   CGroup: /system.slice/ssh.service
           └─790 /usr/sbin/sshd -D

mai 03 17:10:42 systemd[1]: Started OpenBSD Secure Shell server.
mai 03 17:10:42 sshd[790]: Server listening on 0.0.0.0 port 22.
mai 03 17:10:42 sshd[790]: Server listening on :: port 22.

Qu'elle est la différence entre une clé hôte (fabriquée avec ssh-keygen -A ) et une clé fabriquée avec ssh-keygen -t ed25519

J'ai fait le teste en rsa ecdsa, le résultat est le même.

Avec l'option -A il va générer toute les clés host sans protection stocké au bon endroit avec les bons droits de fichiers et les bons noms.

Mais à part cela il n'y a pas de différence avec une clé générer avec -t. Tu as du générer la clé au mauvais endroit ou avec un mauvais nom. Ou alors tu as mis une passphrase.

Oui avec l'option -t et sans mot de passe en root dans /etc/ssh , la clé générée n'est pas reconnue par le demon comme clé hôte, lors de la connection.

Peut-être qu'il y a une différence de format de sauvegarde ce qui l'empêche d'être chargée.

Avec -A il génère toutes les clés manquantes et là ça marche. Cependant celles générées avec ssh-keygen -t, non.

S'il manque des clés c'est normale que le serveur ne démarre pas. C'est pas une question de format de clés.

Mais si dans sshd_config tu cela ça comme clé : "HostKey /etc/ssh/ssh_host_rsa_key"

Alors la commande ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key sans mot de passe fera la même chose que ssh-keygen -A.

Je viens testé avec la config ssh par défaut de Debian 9 et si je générer les clés avec les commandes :

ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key
ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

Le serveur ce lance normalement.