Lorsque je génère avec OpenSSH_6.7p1 Debian-5+deb8u8, OpenSSL 1.0.1t 3 May 2016 des clés je constate la chose suivante que je ne comprends pas.
dans /etc/ssh du coté serveur donc.
je détruit toutes les clés existantes, ensuite :
ssh-keygen -A, toutes les clés sont recréées
service sshd reload
service sshd status -l ● ssh.service - OpenBSD Secure Shell server Loaded: loaded (/lib/systemd/system/ssh.service; enabled) Active: active (running) since ven. 2019-05-03 16:15:47 CEST; 25min ago Process: 28408 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS) Process: 28407 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS) Process: 29362 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS) Main PID: 29364 (sshd) CGroup: /system.slice/ssh.service └─29364 /usr/sbin/sshd -D
mai 03 16:15:47 systemd[1]: Started OpenBSD Secure Shell server. mai 03 16:15:47 sshd[29364]: Server listening on 0.0.0.0 port 22. mai 03 16:15:47 sshd[29364]: Server listening on :: port 22. mai 03 16:16:09 sshd[29396]: Accepted publickey for root from 192.168.75.100 port 35602 ssh2: ED25519 2e:e4:5d:3c:7b:00:7f:af:02:a0:4d:fc:aa:1d:5b:01 mai 03 16:16:09 sshd[29396]: pam_unix(sshd:session): session opened for user root by (uid=0)
Tout fonctionne pour le mieux.
J' efface la clé hôte ed25519 de /etc/ssh maintenant je la génère avec la commande sans mot de passe et je la sauvegarde en lieu et place de l'ancienne :
ssh-keygen -t ed25519
J'ai effectué le même teste avec rsa et ecdsa
service sshd reload
service sshd status -l
● ssh.service - OpenBSD Secure Shell server Loaded: loaded (/lib/systemd/system/ssh.service; enabled) Active: active (running) since ven. 2019-05-03 16:43:41 CEST; 44s ago Process: 31383 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS) Process: 31382 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS) Process: 31412 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS) Main PID: 31414 (sshd) CGroup: /system.slice/ssh.service └─31414 /usr/sbin/sshd -D
mai 03 16:43:41 sshd[31412]: Could not load host key: /etc/ssh/ssh_host_ed25519_key mai 03 16:43:41 systemd[1]: Started OpenBSD Secure Shell server. mai 03 16:43:41 sshd[31414]: Could not load host key: /etc/ssh/ssh_host_ed25519_key mai 03 16:43:41 sshd[31414]: Server listening on 0.0.0.0 port 22. mai 03 16:43:41 sshd[31414]: Server listening on :: port 22.
incroyable la clé n'est pas supportée !
J'efface la clé ed25519, je génère une nouvelle clé hôte avec
ssh-keygen -A
la clé est supportée !
sshd status -l ● ssh.service - OpenBSD Secure Shell server Loaded: loaded (/lib/systemd/system/ssh.service; enabled) Active: active (running) since ven. 2019-05-03 17:10:42 CEST; 6s ago Process: 31383 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS) Process: 31382 ExecReload=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS) Process: 788 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS) Main PID: 790 (sshd) CGroup: /system.slice/ssh.service └─790 /usr/sbin/sshd -D
mai 03 17:10:42 systemd[1]: Started OpenBSD Secure Shell server. mai 03 17:10:42 sshd[790]: Server listening on 0.0.0.0 port 22. mai 03 17:10:42 sshd[790]: Server listening on :: port 22.
Qu'elle est la différence entre une clé hôte (fabriquée avec ssh-keygen -A ) et une clé fabriquée avec ssh-keygen -t ed25519
J'ai fait le teste en rsa ecdsa, le résultat est le même.
Avec l'option -A il va générer toute les clés host sans protection stocké au bon endroit avec les bons droits de fichiers et les bons noms.
Mais à part cela il n'y a pas de différence avec une clé générer avec -t. Tu as du générer la clé au mauvais endroit ou avec un mauvais nom. Ou alors tu as mis une passphrase.
Oui avec l'option -t et sans mot de passe en root dans /etc/ssh , la clé générée n'est pas reconnue par le demon comme clé hôte, lors de la connection.
Peut-être qu'il y a une différence de format de sauvegarde ce qui l'empêche d'être chargée.
Avec -A il génère toutes les clés manquantes et là ça marche. Cependant celles générées avec ssh-keygen -t, non.
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
la connaissance est une chose qui ne nous appauvrit pas quand on la partage.
Mon GitHub