Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 21/05/2020, à 14:11

g00ny

SFTP avec clé ed25519 via Dolphin

Bonjour,
j'ai un serveur sous Debian 10 auquel je me connecte depuis mon PC sous Kubuntu 20.04 avec une clé privé OpenSSH de type ed25519.
Aucun problème pour m'y connecter en SSH dans la console, ou en SFTP dans FileZilla.
Par contre, je n'arrive pas à accéder en SFTP via Dolphin, et c'est vraiment dommage...
J'obtiens le message d'erreur suivant :

kex error : no match for method encryption client->server: server [chacha20-poly1305@openssh.com], client [aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc]

Que puis-je faire pour y remédier ?
Merci d'avance pour votre aide

Hors ligne

#2 Le 21/05/2020, à 15:47

bruno

Re : SFTP avec clé ed25519 via Dolphin

Bonjour,

J'utilise des clés ed25519 et dolphin (kde neon) et je n'ai pas ce problème.
Peux-tu donner la version de Dolphin :

apt policy dolphin

Et surtout la configuration SSH du serveur (fichier /etc/sshd_config). J'ai l'impression que ton serveur est trop restrictif sur les algos de chiffrement (cipher)

Dernière modification par bruno (Le 21/05/2020, à 15:52)

#3 Le 22/05/2020, à 07:03

g00ny

Re : SFTP avec clé ed25519 via Dolphin

J'utilise Dolphin 19.12.3.
Côté serveur, voici le fichier /etc/ssh/sshd_config :

Port 22245
Protocol 2
HostKey /etc/ssh/ssh_host_ed25519_key
LoginGraceTime 2m
PermitRootLogin no
StrictModes yes
MaxAuthTries 5
MaxSessions 10
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
IgnoreRhosts yes
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
UsePrivilegeSeparation yes
UseDNS no
AcceptEnv LANG LC_*
Subsystem sftp  /usr/lib/openssh/sftp-server
Ciphers chacha20-poly1305@openssh.com
MACs umac-128-etm@openssh.com
KexAlgorithms curve25519-sha256@libssh.org

Je dois avouer que je n'y comprends rien...

Hors ligne

#4 Le 22/05/2020, à 07:20

g00ny

Re : SFTP avec clé ed25519 via Dolphin

sans trop savoir, j'ai rajouté un "cipher"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com

J'ai ensuite un autre message dans Dolphin :

kex error : no match for method mac algo client->server: server [umac-128-etm@openssh.com], client [hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1]

Du coup, j'ai rajouté un "MACs"

MACs umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com

Et ça marche !
Par contre, je ne sais pas si j'ai choisi des paramètres suffisamment sécurisés. L'admin qui a installé le serveur était strict !

Hors ligne

#5 Le 22/05/2020, à 09:11

bruno

Re : SFTP avec clé ed25519 via Dolphin

Effectivement c'était beaucoup trop restrictif au niveau des algos autorisés !

Pour info, je te donne la configuration utilisée sur mes serveurs :

KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128-etm@openssh.com
HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com

C'est basé sur :
https://infosec.mozilla.org/guidelines/openssh
https://www.sshaudit.com/hardening_guides.html

Tu devrais en profiter pour mettre :

X11Forwarding no

qui est inutile sur un serveur.

Je rappelle aussi que changer le port par défaut est une fausse bonne idée :

bruno a écrit :

La première raison est assez évidente : il s’agit de sécurité par l’obscurité. Cela peut ralentir un attaquant et éviter les robots qui font de l’attaque par force brute, mais on pourra toujours trouver sur quel port ce service est en écoute.

La seconde raison est que cela peut devenir un vrai casse-tête pour l’administrateur système. Il va lui falloir penser à préciser le numéro de port pour chacune de ses commandes et de ses scripts. S’il a  50 serveurs avec des ports différents à chaque fois, cela ne va pas être simple. Il peut également arriver d’avoir à utiliser des applications qui ne peuvent se connecter que sur le port standard.

La troisième raison est que l’utilisation d’un port non privilégié diminue la sécurité. En effet, n’importe quel utilisateur peut écrire un script qui écoute sur un port non privilégié et ainsi capturer les informations qui transitent par ce port. Seul l’utilisateur root peut utiliser un port <1024.