Ubuntu-fr

Edrahil511

Re : connexion ssh

donc tu as configuré le serveur par defaut sur le port 22 et tu as dans ta box une redirection du port 5009 vers l' ip locale V4 du serveur sur le port 22 .

Oui ! Ça c'est juste ! Il me semblait que c'est ce qu'il fallait faire mince ....

Bon je répondrait par la suite quand je pourrai vous envoyer les info demandé ce midi pour par vous faire perdre du temps pour rien

iznobe

Re : connexion ssh

Oui ! Ça c'est juste ! Il me semblait que c'est ce qu'il fallait faire mince ....

ben c' est bon , c' est une façon de faire .
mais du coup , en local
il faut utiliser le port 22 :

ssh user@ipLocal

et en externe il faut utiliser l ' ipv4 et le port 5509:

ssh user@ipExterne -p 5009

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Watael

Re : connexion ssh

Un client local peut se connecter via ssh user@ipdeLaBox -p portRedirigé

intéresant ! C'est qui ton FAI ?

Dernière modification par Watael (Le 16/01/2025, à 11:01)

---

Connected \o/
Welcome to sHell. · eval is evil.

soshy

Re : connexion ssh

intéresant ! C'est qui ton FAI ?

Chez moi ça fonctionne comme ça avec Red by Sfr.

Edrahil511

Re : connexion ssh

Un client local peut se connecter via ssh user@ipdeLaBox -p portRedirigé

intéresant ! C'est qui ton FAI ?

Bouygues télécom

Les 3 commande qui suivent sont fait en local :

tutur@tutur-System-Product-Name:~$ ssh edrahil@31.36.240.76 -p 5009
edrahil@31.36.240.76's password: 

tutur@tutur-System-Product-Name:~$ ssh edrahil@31.36.240.76
ssh: connect to host 31.36.240.76 port 22: Connection refused

tutur@tutur-System-Product-Name:~$ ssh edrahil@192.168.1.100
edrahil@192.168.1.100's password: 

montre :

ip a

Je ne sais pas lequel tu voulais ...

Ici serveur :

edrahil@edralia:/etc/ssh$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether bc:ae:c5:21:0d:47 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.100/24 brd 192.168.1.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 2001:861:8c87:61e0:beae:c5ff:fe21:d47/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 86038sec preferred_lft 14038sec
    inet6 fe80::beae:c5ff:fe21:d47/64 scope link 
       valid_lft forever preferred_lft forever

Ici client local :

tutur@tutur-System-Product-Name:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s31f6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 18:31:bf:b1:b3:b6 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.11/24 brd 192.168.1.255 scope global dynamic noprefixroute enp0s31f6
       valid_lft 86383sec preferred_lft 86383sec
    inet6 2001:861:8c87:61e0:87a7:b3d8:daae:72e1/64 scope global temporary dynamic 
       valid_lft 86384sec preferred_lft 14384sec
    inet6 2001:861:8c87:61e0:a795:5a4:7786:801f/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 86384sec preferred_lft 14384sec
    inet6 fe80::a216:ff0f:d4a9:907e/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Ici client en dehors du réseaux :

tutur@tutur-System-Product-Name:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s31f6: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 18:31:bf:b1:b3:b6 brd ff:ff:ff:ff:ff:ff
4: enx020200506031: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 02:02:00:50:60:31 brd ff:ff:ff:ff:ff:ff
    inet 192.168.42.196/24 brd 192.168.42.255 scope global dynamic noprefixroute enx020200506031
       valid_lft 3578sec preferred_lft 3578sec
    inet6 fe80::1cfe:5690:a9f9:438b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Alors pourquoi j'ai une demande de mot de passe ? Ou ce n'est pas le même serveur ?

ssh edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47
edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47's password: 

Tu veux montrer le sshd_config du serveur ?

Effectivement elle n'est pas du tout désactivé méaculpa, je pense que je m'en inquiété pas trop tant que je n'arrivai moi même pas à m'y connecter mais c'est changé !

au cas ou tu voulais voir le fichier pour autre chose ....

edrahil@edralia:/etc/ssh$ cat ssh_config

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Include /etc/ssh/ssh_config.d/*.conf

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
    PasswordAuthentication no
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP no
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
#   IdentityFile ~/.ssh/id_ed25519
#   Port 22
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h
#   UserKnownHostsFile ~/.ssh/known_hosts.d/%k
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes

Voici ce qu'il se passe lorsque je tente de me connecter avec linux du coup si c'est plus parlant

tutur@tutur-System-Product-Name:~$ ssh -vvv edrahil@31.36.240.76 -p 5009
OpenSSH_8.9p1 Ubuntu-3ubuntu0.10, OpenSSL 3.0.2 15 Mar 2022
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug2: resolve_canonicalize: hostname 31.36.240.76 is address
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/home/tutur/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/home/tutur/.ssh/known_hosts2'
debug3: ssh_connect_direct: entering
debug1: Connecting to 31.36.240.76 [31.36.240.76] port 5009.
debug3: set_sock_tos: set socket 3 IP_TOS 0x10
debug1: connect to address 31.36.240.76 port 5009: Connection timed out
ssh: connect to host 31.36.240.76 port 5009: Connection timed out

Bonjour,
Si c'est la même machine que celle du sujet précédent sur connexion ssh, le serveur est opérationnelle en IPV6.

 ssh edrahil@2001:861:8c87:61e0xxxxxxx7
The authenticity of host '2001:861:8c87:61e0xxxxxxxxxx7 (2001:861:8c87:61e0xxxxxx7)' can't be established.
ED25519 key fingerprint is SHA256:NlHGE6hxxxxxxxxxxxxxxxxxxxxH5p8w8oGLBAs1WzNPdVMMA.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '2001:861:8c87:61e0xxxxxxxxx7' (ED25519) to the list of known hosts.
edrahil@2001:861:8c87:61e0xxxxxxxxxx7's password: 

Comment ca ? Toi tu arrive à y acceder ? J'ai tenté avec mon ipV6 et cela ne marche pas chez moi.

ps : j'ai remis la bonne ip si vous tentez une connection de votre coté

Dernière modification par Edrahil511 (Le 16/01/2025, à 13:27)

O_20_100_O

Re : connexion ssh

Oui, on peut se connecter, à partir d'internet, en IPV6 mais pas en IPV4. Rien n'a changé depuis le début.
Comme vu plus haut il faudrait s'intéresser à la redirection de port.

C'est la configuration du serveur que nous demandions. Pas celle du client.

cat /etc/ssh/sshd_config

ssh_ pour le client et sshd_ pour le seveur.

J'ai tenté avec mon ipV6 et cela ne marche pas chez moi.

Tu veux nous montrer la commande et son retour ?

Dernière modification par O_20_100_O (Le 16/01/2025, à 14:14)

Edrahil511

Re : connexion ssh

Ah mince, honnêtement je n'avais pas compris que ça avait toujours marché par l'ipV6 ... en soit ça me suffit pour se connecter même si c'est toujours intéressant de comprendre pourquoi l'ipV4 ne va pas.

J'ai repris le boulot je vous envoi cela ce soir.

Ps : le fichier ssh client ? J'ai jamais mis le nez dedans je crois, il se trouve où ? Je regarderai sur internet au pire pour le trouver.

Dernière modification par Edrahil511 (Le 16/01/2025, à 14:24)

O_20_100_O

Re : connexion ssh

le fichier ssh client ? J'ai jamais mis le nez dedans je crois,

Mais si, c'est celui que tu as montré au N°30.

au cas ou tu voulais voir le fichier pour autre chose ....

edrahil@edralia:/etc/ssh$ cat ssh_config

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in p  ....

Edrahil511

Re : connexion ssh

Ou la la oui effectivement,  ton message été très clair, je l'ai juste lu trop vite désolé. Ça marche j'enverrai ca

Edrahil511

Re : connexion ssh

Oui, on peut se connecter, à partir d'internet, en IPV6 mais pas en IPV4. Rien n'a changé depuis le début.
Comme vu plus haut il faudrait s'intéresser à la redirection de port.

C'est la configuration du serveur que nous demandions. Pas celle du client.

cat /etc/ssh/sshd_config

ssh_ pour le client et sshd_ pour le seveur.

J'ai tenté avec mon ipV6 et cela ne marche pas chez moi.

Tu veux nous montrer la commande et son retour ?

Voici le fichier demandé

edrahil@edralia:/etc/ssh$ cat sshd_config

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile	.ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem sftp	/usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server
PasswordAuthentication yes

Du coup j'ai fait à la va vite d'enlever l'identification par mot de passe mais c'est dans ce fichier la que ça se configure ou dans le fichier client ? ou les deux ? (j'ai changé dans le fichier client moi et j'ai pas eu le temps de tester mais ça n'a pas fonctionner on dirait)

Concernant la connexion via l'ipV6 je pense que je ne sais juste pas quel est mon ipV6 .... Si je regarde ce que me dit ma box voila le retour que j'ai mais je suis peut être à coté de la plaque .... je ne comprend pas d'ou vient l'ipV6 que tu utilise pour te connecter, en tout cas j'ai essayé en copiant ta commande, l'erreur est la même

tutur@tutur-System-Product-Name:~$ ssh edrahil@2001:861:8c87:61ef::1 -p 5009
ssh: connect to host 2001:861:8c87:61ef::1 port 5009: Network is unreachable

Dernière modification par Edrahil511 (Le 16/01/2025, à 22:36)

Edrahil511

Re : connexion ssh

un screen de la redirection de la box effectuée stp , histoire d' etre sur .

iznobe

Re : connexion ssh

ipv6 de ton serveur comme de n ' importe quelle machine , tu l' as dans le retour de

ip a 

en face de inet6 : .

Ici serveur :

edrahil@edralia:/etc/ssh$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether bc:ae:c5:21:0d:47 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.100/24 brd 192.168.1.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 2001:861:8c87:61e0:beae:c5ff:fe21:d47/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 86038sec preferred_lft 14038sec
    inet6 fe80::beae:c5ff:fe21:d47/64 scope link 
       valid_lft forever preferred_lft forever

pour ma part je n' arrive pas a acceder au serveur via un ping :

iznobe@iznobe-pc:~$ ping6 -c2 2001:861:8c87:61e0:beae:c5ff:fe21:d47
ping6: connect: Le réseau n'est pas accessible
iznobe@iznobe-pc:~$ ping6 -c2 fe80::beae:c5ff:fe21:d47
PING fe80::beae:c5ff:fe21:d47 (fe80::beae:c5ff:fe21:d47) 56 data bytes

--- fe80::beae:c5ff:fe21:d47 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1056ms
iznobe@iznobe-pc:~$ 

ni en ssh :

iznobe@iznobe-pc:~$ ssh edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47 -p 5009
ssh: connect to host 2001:861:8c87:61e0:beae:c5ff:fe21:d47 port 5009: Network is unreachable
iznobe@iznobe-pc:~$

( pas plus en IPV4 non plus d' ailleurs ...)

mais bon , c' est pas forcément une preuve vu que :

iznobe@iznobe-pc:~$ ssh iznobe@192.168.2.132
iznobe@192.168.2.132's password: 
Linux k-pi3 6.1.21-v7+ #1642 SMP Mon Apr  3 17:20:52 BST 2023 armv7l

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Tue Jan 14 09:08:40 2025 from 192.168.1.118
iznobe@k-pi3:~ $ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:44:36:b1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.132/24 brd 192.168.1.255 scope global dynamic noprefixroute eth0
       valid_lft 65772sec preferred_lft 65772sec
    inet6 xxx/64 scope global dynamic noprefixroute 
       valid_lft 86400sec preferred_lft 600sec
    inet6 xxxx/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether xxx brd ff:ff:ff:ff:ff:ff permaddr xxx
iznobe@k-pi3:~ $ ping6 xxx
PING xxx(xxx) 56 data bytes
64 bytes from xxx: icmp_seq=1 ttl=64 time=0.242 ms
64 bytes from xxx: icmp_seq=2 ttl=64 time=0.219 ms
64 bytes from xxx: icmp_seq=3 ttl=64 time=0.219 ms

^C
--- xxx ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 3272ms
rtt min/avg/max/mdev = 0.200/0.222/0.244/0.014 ms
iznobe@k-pi3:~ $ exit
déconnexion
Connection to 192.168.2.132 closed.
iznobe@iznobe-pc:~$ ping6 -c2 xxx
ping6: connect: Le réseau n'est pas accessible
iznobe@iznobe-pc:~$ 

Dernière modification par iznobe (Hier à 00:21)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

O_20_100_O

Re : connexion ssh

j'ai fait à la va vite d'enlever l'identification par mot de passe mais c'est dans ce fichier la que ça se configure ou dans le fichier client ? ou les deux ?

TU l'as fait si vite, que tu ne l'as pas fait. Il s'agit d'un paramètre du serveur, c'est lui qui contrôle les accès.

edrahil@edralia:/etc/ssh$ cat sshd_config

Montre que le serveur écoute bien sur le port 22, en IPV4 et en IPV6. Il permet la connexion avec mot de passe car la dernière ligne contient PasswordAuthentication yes.

je ne comprend pas d'ou vient l'ipV6 que tu utilise pour te connecter.

iznobe te l'a expliqué, je l'ai prise dans le retour d'ip a de ton sujet précédent dont j'avais mis un lien plus haut.

Tu ne peux pas te connecter, même avec l'IPV6, parce que tu demandes le port 5009 alors que le serveur écoute sur le 22. Comme déjà écrit, dans cette façon de faire on ne passe pas par la redirection de la box. On s'adresse à la machine sans intermédiaire.
D'ailleurs, cela montre les limites de la technique du port externe 5009 et du 22 pour le seveur. Si on considère, à tort,  que c'est une mesure de sécurité, il faut être conscient que ça ne joue qu'en IPV4. Il reste qu'en IPV6, les robots peuvent tranquillement chercher ton mot de passe par force brute. Mais aussi en v4 quand ils trouveront que le 5009 pointe sur un serveur ssh.
Passe vite à la connexion par clé et interdit celle par mot de passe.

  ssh edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47
edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47's password: 

ping -c2 2001:861:8c87:61e0:beae:c5ff:fe21:d47
PING 2001:861:8c87:61e0:beae:c5ff:fe21:d47 (2001:861:8c87:61e0:beae:c5ff:fe21:d47) 56 octets de données
64 octets de 2001:861:8c87:61e0:beae:c5ff:fe21:d47 : icmp_seq=1 ttl=52 temps=26.0 ms
64 octets de 2001:861:8c87:61e0:beae:c5ff:fe21:d47 : icmp_seq=2 ttl=52 temps=26.6 ms

Edrahil511

Re : connexion ssh

Avec le week-end j'aurais un peu plus de temps pour me replonger la dedans. Merci de vos explications, je vais faire tout ça et reviens vers vous.

soshy

Re : connexion ssh

Question : pourquoi utiliser le port 5009 plutôt que le 22 sur la box ?

Personnellement, j'aurai simplement
- Ouvert le port 22 de la box redirigé vers le port 22 du serveur pour l'ipv4
- Ouvert le port 22 sur l'ipv6 du serveur sur le pare-feu de la box
- Autorisé les connexions par login/mdp ou clé depuis le réseau local
- Autorisé les connexions par clé uniquement hors du réseau local

Donc sur le serveur ssh, j'aurai créé un fichier /etc/ssh/sshd_config.d/ma_config.conf
avec un truc comme ça dedans

Match Address 192.168.1.0/24,2001:861:8c87:61e0::/64,fe80::/10
    PasswordAuthentication yes
    PubkeyAuthentication yes
Match Address *
    PasswordAuthentication no
    PubkeyAuthentication yes

Avec cette config (moyennant les éventuelles correction je l'ai pas testé) tu peux
- ssh user@ipv4_serveur (fonctionne uniquement depuis le réseau local)
- ssh user@ipv4_public_box (fonctionne normalement en interne et en externe, sauf si c'est une box de merde)
- ssh user@ipv6_serveur (fonctionne en interne et en externe)
Et dans tous les cas,
- si tu viens du réseau local, la connexion avec mdp ou clé fonctionne
- si tu es à l'extérieur du réseau local, uniquement la connexion par clé fonctionne

Dernière modification par soshy (Hier à 10:17)

iznobe

Re : connexion ssh

Bonjour , effectivement ton serveur est accessible en ipv6 :

iznobe@k-pi3:~ $ ssh edrahil@2001:xxx:d47
The authenticity of host '2001:xxx:d47 (2001:xxx:d47)' can't be established.
ECDSA key fingerprint is SHA256:XYENkEvHDZH9JEDPZwqn+Qp2Xft7+7avadhWDs3dPHbXY.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

Du coup il y a un " couac " coté iPV4 , fort probablement coté box , puis que le serveur est accessible en IPV6 .

@soshy , tu pourrais expliquer d ' ou vient la partie en IPV6 locale stp ?
j ' ai de grosses lacunes a ce niveau là .. et ne dois pas etre seul .

De plus je viens de faire un essai , et ca ne fonctionne pas .
le fichier :

iznobe@m-pi3:~ $ cat /etc/ssh/sshd_config.d/config.perso.conf
# ne permet que les adresses locales IPV4 :
Match Address 192.168.1.0/24
    PasswordAuthentication yes
    PubkeyAuthentication yes
Match Address *
    PasswordAuthentication no
    PubkeyAuthentication yes
iznobe@m-pi3:~ $

j ' ai redemarrer les services sshd ssh .
je n' ai autorisé que les ip locales , et j' arrive a me connecter à partir d' un autre serveur avec une ipv4 externe par mot de passe et aussi en IPV6 .

Dernière modification par iznobe (Hier à 15:02)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

kastopidiak

Re : connexion ssh

Curieuse configuration :

Match Address 192.168.1.0/24
    PasswordAuthentication yes
    PubkeyAuthentication yes
Match Address *
    PasswordAuthentication no
    PubkeyAuthentication yes

Et qui ne peut pas fonctionner car seule la seconde directive Match sera effective

Si l'objectif est de permettre une authentification par mot de passe uniquement à partir d'adresses IPv4 dans la plage 192.168.1.0/24, il suffit d'avoir

PasswordAuthentication no

Match Address 192.168.1.0/24
    PasswordAuthentication yes

l’authentification par clefs publique est active par défaut (PubkeyAuthentication yes est inutile), on interdit explicitement authentification par mot de passe et on l'autorise pour la plage d'adresses concernée.

Et si on veut on peut ajouter le préfixe IPv6 fourni par le FAI / Hébergeur.

Dernière modification par kastopidiak (Hier à 17:05)

soshy

Re : connexion ssh

Et si tu esssayes avec

Match Address 192.168.1.0/24
    PasswordAuthentication yes
    PubkeyAuthentication yes
Match Address *,!192.168.1.0/24
    PasswordAuthentication no
    PubkeyAuthentication yes

?

@soshy , tu pourrais expliquer d ' ou vient la partie en IPV6 locale stp ?

en ipv6 il y a 2 choses:
- Le FAI qui te donne un subnet sur lequel tu définis autant d'ipv6 que tu veux
- Une ipv6 auto-attribuée privée uniquement adressable sur le réseau local (un peu l'équivalent d'un réseau 192.168.1.0/24 autoconfiguré)

le réseau privé autoconfiguré c'est fe80::/10
le réseau fourni par le FAI c'est 2001:861:8c87:61e0::/64 (les 64 premiers octets de l'adresse ipv6 de tous les équipements derrière la box)

Dernière modification par soshy (Hier à 13:14)

kastopidiak

Re : connexion ssh

@Soshy : c'est encore plus bizarre et inutilement compliqué (lire man sshd_config à la section Match si tu ne comprends pas pourquoi). C'est avec ce genre de configuration que l'on risque de créer des trous de sécurité.

soshy

Re : connexion ssh

@kastopidiak : Si je voulais être joueur, je dirais que ta config est tout autant à risque.
Sauf erreur de ma part, ayant proposé de mettre ça dans un fichier dans /etc/ssh/sshd_config.d/random.conf
Tu ne sais pas s'il existe d'autres fichiers .conf qui seront chargés avant le tiens, et donc ta directive PasswordAuthentication no est potentiellement appliqué à un autre Match qui existerait dans un autre fichier .conf et qui serait chargé avant le notre.

J'ai cependant pris note de la remarque et ne manquerai pas de tester cela (en mieux ) à l'occasion.

Dernière modification par soshy (Hier à 16:34)

kastopidiak

Re : connexion ssh

J'ai indiqué le principe, je n'ai pas donné une configuration complète. On interdit globalement l'authentification par mot de passe, et on l'autorise uniquement pour certains clients. C'est simple et sécurisé. Et c'est un principe de bas bien connu en matière de sécurité : on interdit par défaut, on autorise par exception.

Ta configuration en #40 risque de ne pas fonctionner, il suffit de lire les pages de manuel et de comprendre le fonctionnement du serveur SSH pour s'en rendre compte. D'ailleurs iznobe a tésté

Pour faire simple :
- il ne faut jamais utiliser plusieurs blocs Match sur le même critère, Address par exemple
- il faut éviter les négations dans les motifs autant que possible. Il y a eu des bogues par le passé et cela rend la configuration difficile à comprendre.

Voilà, la prochaine avant de proposer une configuration, assure-toi de l'avoir parfaitement testé au préalable.

Dernière modification par kastopidiak (Hier à 17:06)

iznobe

Re : connexion ssh

j ' ai testé , ca n' a pas fonctionné pour moi , mais je suis dans un cas particulier ... sans rentrer trop dans les details , j ' ai desactivé l ' IPV6 sur mes differents routeurs , et  utilisant tailscale , je le soupconne de faire peut etre en sorte que ca marche quand meme ... ce qui m' ennuie d' ailleurs , mais ce n' est pas vraiment le sujet ici .

Cependant , cela me semble plus propre , plus lisible :

PasswordAuthentication no

Match Address 192.168.1.0/24
    PasswordAuthentication yes

l’authentification par clefs publique est active par défaut (PubkeyAuthentication yes est inutile)

et ca reprend le principe de ce qu ' on voit pour les parefeu / iptables . donc facile à comprendre .
et cela ne marche pas chez moi non plus ... mais bon , c' est pas la question dans cette discussion ...

Dernière modification par iznobe (Hier à 16:51)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

soshy

Re : connexion ssh

Voilà, la prochaine avant de proposer une configuration, assure-toi de l'avoir parfaitement testé au préalable.

Dixit le gus qui dit de remplacer avec sa version qui est mieux, mais qui se cache en disant avoir "énoncé un principe" lorsqu'on lui dit que c'est imparfait.
Personnellement, j'ai eu le bon goût de prévenir que c'était rédigé à la volé sans que je sois en capacité à vérifier. On a pas tous un serveur sous la main pour jouer avec à chaque instant.

Avec cette config (moyennant les éventuelles correction je l'ai pas testé)

kastopidiak

Re : connexion ssh

Est-ce que tu te rend compte au moins que répéter la directive :

    PubkeyAuthentication yes

dans tous les blocs Match, alors qu'en plus c'est la valeur par défaut n'a pas des sens ?

Et mea culpa après relecture attentive ta configuration en #40 peut fonctionner, mais ce n'est franchement  ni clair, ni propre.

----

Tu ne sais pas s'il existe d'autres fichiers .conf qui seront chargés avant le tiens, et donc ta directive PasswordAuthentication no est potentiellement appliqué à un autre Match qui existerait dans un autre fichier .conf et qui serait chargé avant le notre.

Là tu soulèves un point très intéressant de l'utilisation de /etc/ssh/ssd_config.d/
As-tu remarqué que les fichiers qui y sont présents sont traités en premier puisque la directive :

Include /etc/ssh/sshd_config.d/*.conf

est tout au début du fichier de configuration principal  /etc/ssh/sshd_config.
Donc, théoriquement, tes blocs Match seront en premier dans la configuration et comme ils ne sont pas explicitement terminés, toutes les autres directives s'appliqueront au dernier bloc Match.
Bizarre alors que tout le monde ne bousille pas sa configuration avec des Include et des Match dans des fichiers à part…

Heureusement les développeurs y ont pensé et cela ne peut pas arriver

Dernière modification par kastopidiak (Hier à 17:36)

Edrahil511

Re : connexion ssh

Question : pourquoi utiliser le port 5009 plutôt que le 22 sur la box ?

Car si je fait tout cela c'est pas mal pour essayer de comprendre comment cela marche, plus que par nécessité ou besoin, bien que j'ai quelques idées d'utilisation que je pourrai en faire mais j'en suis pas du tout la pour le moment vu la situation et que tout le monde arrive à parler à mon serveur sauf moi .
Donc j'ai différencié les ports pour bien les distinguer et essayer de comprendre le fonctionnement.

Personnellement, j'aurai simplement
- Ouvert le port 22 de la box redirigé vers le port 22 du serveur pour l'ipv4
- Ouvert le port 22 sur l'ipv6 du serveur sur le pare-feu de la box
- Autorisé les connexions par login/mdp ou clé depuis le réseau local
- Autorisé les connexions par clé uniquement hors du réseau local

Oui, pour le moment je tente juste d'essayer de me connecter depuis l'extérieur, une fois que j'aurai réussi je compte effectivement m'interesser un peu plus à ce que je peux faire et ce que tu me dit la me parait cool

Bonjour , effectivement ton serveur est accessible en ipv6 :

iznobe@k-pi3:~ $ ssh edrahil@2001:xxx:d47
The authenticity of host '2001:xxx:d47 (2001:xxx:d47)' can't be established.
ECDSA key fingerprint is SHA256:XYENkEvHDZH9JEDPZwqn+Qp2Xft7+7avadhWDs3dPHbXY.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

Du coup il y a un " couac " coté iPV4 , fort probablement coté box , puis que le serveur est accessible en IPV6 .

Ok, alors j'aimerai réussir à me connecter en ipv6  comme ça j'aurai au moins un truc qui marche et qui me permettra de farfouiller la configuration de ma box pour l'ipV4. J'ai déjà remarqué que la sécurité ipV4 et ipV6 de ma box étaient dissocié et complément différente avec des paramètres différents.
Visiblement coté ipV6 ma box me dit que c'est porte ouverte (ce qui va dans le sens que vous puissiez vous y connecter) en revanche coté ipv4 c'est plus obscure et j'avais déjà essayé de tout ouvrir, d'autorisé la connexion de certaines ip entrante, de toutes,  de carrément désactiver le pare feu mais rien à faire. En soit si j'arrive à me connecter en ipV6 je pourrai m'y replonger de mon coté.

Alors oui mon je suis bête car effectivement ip a donne toutes les infos mais au risque de passer encore plus pour un idiot, sommes nous d'accord que :

- ip a c'est à faire sur le serveur
- Mon ipV6 est au niveau de enp2s0 et que c'est inet6 donc : 001:861:8c87:61e0:beae:c5ff:fe21:d47  ? Car moi cela ne marche pas ....

tutur@tutur-System-Product-Name:~$ ssh edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47
ssh: connect to host 2001:861:8c87:61e0:beae:c5ff:fe21:d47 port 22: Network is unreachable

edrahil@edralia:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether bc:ae:c5:21:0d:47 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.100/24 brd 192.168.1.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 2001:861:8c87:61e0:beae:c5ff:fe21:d47/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 86323sec preferred_lft 14323sec
    inet6 fe80::beae:c5ff:fe21:d47/64 scope link 
       valid_lft forever preferred_lft forever

ps : normalement, maintenant la connexion par mot de passe est bien désactivé