web-dev-qa-db-fra.com

ssh ne demande jamais de mot de passe

D'une manière ou d'une autre, mon SSH ne veut jamais me demander un mot de passe.

J'ai donc installé un VPS sur un serveur quelconque quelque part dans le monde et je veux me connecter avec ssh.

Je peux configurer une clé, mais quand je fais ceci:

ssh -l some-user IP

Je reçois l'erreur:

Received disconnect from ##.##.##.##: 2: Too many authentication failures for some-user

Quand je regarde les détails, je peux voir que le mot de passe est l'une des options:

debug1: Offering RSA public key: some-user@computer
debug1: Authentications that can continue: publickey,password

Pourtant, SSH ne me demande jamais le mot de passe. Il essaie 5 fois avec ce que je soupçonne être la méthode publickey puis échoue. Pourquoi ssh n'essaierait-il pas avec le mot de passe?!

Juste au cas où, mon fichier ssh_config a:

PasswordAuthentication yes

Journal complet

ssh -v -l root ##.##.##.##
OpenSSH_6.1p1 Debian-4, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /home/someuser/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to ##.##.##.## [##.##.##.##] port 22.
debug1: Connection established.
debug1: identity file /home/someuser/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/someuser/.ssh/id_rsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_dsa type -1
debug1: identity file /home/someuser/.ssh/id_dsa-cert type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa type -1
debug1: identity file /home/someuser/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.2p2 Ubuntu-6
debug1: match: OpenSSH_6.2p2 Ubuntu-6 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1p1 Debian-4
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server Host key: ECDSA XX:XX:...:XX:XX
debug1: Host '##.##.##.##' is known and matches the ECDSA Host key.
debug1: Found key in /home/someuser/.ssh/known_hosts:38
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/someuser/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering DSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
debug1: Authentications that can continue: publickey,password
debug1: Offering RSA public key: someuser@computer
Received disconnect from ##.##.##.##: 2: Too many authentication failures for root
14
Alexis Wilke

Essayez de vous connecter avec l’authentification de clé publique désactivée, en utilisant

ssh -o PubkeyAuthentication=no root@newserver
17
Klaus-Dieter Warzecha

Très probablement, votre fichier .ssh/config contient plus d'une ligne identityfile.

Même si vous avez identityfile dans la configuration Host, il est appliqué globalement. Cela signifie que ssh essaie chaque fichier d'identité (clé publique i.e) sur chaque hôte, avant qu'il ne demande l'invite du mot de passe du serveur.

Vous pouvez résoudre ce problème en

  1. Suppression de toutes les lignes identityfile sauf une, ou
  2. Ajout de PubkeyAuthentication no à .ssh/config, ou
  3. Exécution de ssh avec le paramètre -o PubkeyAuthentication=no.

De man 5 ssh_config:

PubkeyAuthentication
    Specifies whether to try public key authentication.  The argument to this
    keyword must be “yes” or “no”.  The default is “yes”.  This option applies 
    to protocol version 2 only.

IdentityFile
    ...
    It is possible to have multiple identity files specified in configuration
    files; all these identities will be tried in sequence.  Multiple 
    IdentityFile directives will add to the list of identities tried (this 
    behaviour differs from that of other configuration directives).

Quelques instructions générales avec les clés publiques:

  1. En général, vous ne devez disposer que d'une seule clé privée par client (poste de travail) et placer la clé publique correspondante sur tous les serveurs auxquels le client doit avoir accès. En d'autres termes, partagez la clé publique entre les serveurs et n'utilisez jamais la même clé privée sur plusieurs périphériques.
  2. Générez toujours une paire de clés sur votre appareil et ne transmettez que des clés publiques. De cette manière, même si le serveur est compromis, votre clé privée reste sécurisée. Cela peut se produire de manière surprenante, par exemple lors de sauvegardes.
  3. Si quelqu'un d'autre administre le serveur, , vous devez lui fournir une clé publique; ils devraient pas générer une paire de clés et vous envoyer une clé privée. De cette façon, ils ne peuvent pas vous imiter avec votre clé (bien sûr, ils peuvent généralement faire ce qu'ils veulent). De plus, avec la clé publique, seule l’intégrité (c’est-à-dire qu’une personne n’a pas changé la clé publique) doit être protégée; avec la clé privée, la confidentialité (c’est-à-dire que personne d’autre n’a obtenu la clé) doit être conservée, et il n’est pas possible d’être absolument sûr qu’elle n’a pas été compromise.
  4. La compromission d'un serveur ne compromet pas les autres serveurs, même si vous utilisez la même clé privée pour vous connecter à plusieurs serveurs (sauf si vous avez transmis cette clé privée au serveur. Ne le faites jamais.)
  5. De toute façon, compromettre votre poste de travail exposera vos clés privées. Avoir plusieurs clés privées ne résout pas le problème (sauf si vous avez des phrases secrètes différentes et fortes, et que toutes ne sont pas disponibles pour l'attaquant).

Il y a quelques exceptions à cela, mais pas trop.

17
Olli

Votre ssh local ne devrait pas vous demander un mot de passe, le serveur ssh à l’autre extrémité devrait le faire. Il est probable que le serveur est configuré pour ne pas accepter l'authentification par mot de passe. Le mien ne vous demanderait pas de mot de passe non plus.

4
Marc