[RESOLU] Accés SSH bloqué depuis l'extérieur

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

[RESOLU] Accés SSH bloqué depuis l'extérieur

Messagepar pbordere » 13 Fév 2010 11:51

Bonjour tout le monde,

Depuis quelques jours, les connexions ssh depuis l'extérieur semblent bloquées.

Depuis plusieurs années, j'administre une sme serveur/passerelle. J'ai mis en place un connexion putty avec la méthode présentée par GrandPa. Tout a bien fonctionné durant de nombreux mois.
Depuis quelques jours, l'accès depuis l'extérieur bloque et je retombe sur une demande de mots de passe ?

Je viens de vérifier, l'accès à distance est bien paramétré sur "Autoriser l'accès complet", "Autoriser l'administrateur à se connecter au serveur par SSH" est sur Oui et "Autoriser l'authentification par SSH à l'aide de mots de passe standards" sur NON !

Où puis je vérifier que ces options sont bien pris en compte par ma SME ?
Avez vous une idée de vérifications complémentaires à faire ?

D'avance, merci
Dernière édition par pbordere le 16 Fév 2010 01:24, édité 1 fois au total.
Philippe
Avatar de l’utilisateur
pbordere
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 08 Déc 2003 01:00
Localisation: Limoges - France

Messagepar jdh » 13 Fév 2010 12:38

(Je ne suis pas spécialiste de SME)

Si "Autoriser l'authentification par SSH à l'aide de mots de passe standards" sur NON, c'est que l'accès se fait par certificat.

Or un certificat a une "durée de vie". Donc, il est fort probable que le certificat a expiré !


Il doit bien y avoir une façon de renouveller (renew) le certificat ...
En attendant, peut-être faut-il passer à OUI, quitte à complexifier le mot de passe administrateur (et quitte à changer le port ssh) ...



(Perso, maintenant, avec des serveurs ayant un accès ssh ouvert, j'ajoute un programme type fail2ban, denyhost, ... qui bloque les ip faisant des essais de mots de passe ssh : il y a un nombre très conséquent de scripts qui scanne sans arrêt le port 22)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar pbordere » 13 Fév 2010 13:47

Bonjour jdh,

Merci pour ta réponse.

J'ai pensé à cette possibilité mais cela n'expliquerait pas pourquoi la même clé serait acceptée depuis l'intérieur du réseau mais rejetée depuis l'extérieur !

J'ai quand même renouvelé ma clés mais le problème persiste.

:?: :!: :?:
Philippe
Avatar de l’utilisateur
pbordere
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 08 Déc 2003 01:00
Localisation: Limoges - France

Messagepar pbordere » 13 Fév 2010 13:51

Une petit précision.

Il me semble que cette anomalie est apparu peu de temps après l'installation des derniers patch's (audit).

Il y aurait-il eu une interaction avec certains réglages de la console ?

Je vais chercher dans les fichiers de conf et dans les "db" pour voir si les réglages sont pris en compte.
Philippe
Avatar de l’utilisateur
pbordere
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 08 Déc 2003 01:00
Localisation: Limoges - France

Messagepar jdh » 13 Fév 2010 14:21

Je suis maintenant sec (compte tenu de mon inexpérience de SME).

Les problèmes sont bien posés : accès normal (avec certificat) de l'extérieur OK, de l'extérieur ERR.

Je suppose que ce ne peut être un problème de flux : l'échange de certificat se réalise dans le flux tcp/22, et vraisemblablement le port 22 est bien accessible de l'extérieur; le réglage d'accès via certificat serait-il spécifique selon l'interface d'écoute ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar pbordere » 14 Fév 2010 10:49

Bonjour,

Voici les nouvelles de la nuit :

Le FingerPrint de la clé SSH depuis l'extérieur ne correspond pas aux autres FingerPrint :!:

Code: Tout sélectionner
'localhost (127.0.0.1)'
RSA key fingerprint is 95:e4:2c:46:df:a1:1e:da:b9:57:e4:47:da:35:2b:83.

'IP depuis le réseau interne'
RSA key fingerprint is 95:e4:2c:46:df:a1:1e:da:b9:57:e4:47:da:35:2b:83.

'Adresse IP de la sortie vers l'ADSL'
RSA key fingerprint is 95:e4:2c:46:df:a1:1e:da:b9:57:e4:47:da:35:2b:83.

'IP depuis l'internet'
RSA key fingerprint is 24:d8:fd:46:52:e7:3c:33:37:d1:10:41:64:25:92:3f.


Le FingerPrint de cette dernière clé fait 1040 bits alors que celui qui est présenté depuis l'intérieur fait 1024 bits :!:

Les tentatives de connexion depuis l'intérieur du réseau laissent une trace dans le /var/log/sshd/current mais pas celles depuis l'extérieur :!:

:?: Suis-je bien sur ma machine lorsque je tape son IP fixe internet :?:
:?: Est ce un problème de DNS chez Orange :?:
:?: Le routeur ADSL peut-il me jouer ce tour là :?:
Avatar de l’utilisateur
pbordere
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 08 Déc 2003 01:00
Localisation: Limoges - France

Messagepar pbordere » 16 Fév 2010 01:24

Bonsoir,

Problème résolu.

Il s'agissait d'un problème de modem/routeur qui avait perdu l'adresse IP de redirection du port 22...
Philippe
Avatar de l’utilisateur
pbordere
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 08 Déc 2003 01:00
Localisation: Limoges - France


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité