Configuration SSH sur 9.3

[profwalken]

bonjour,
je viens de suivre le tutoriel trouvé sur le site Durindel.fr concernant la configuration ssh sur freenas 9.3 mais je n'arrive pas à ouvrir de session dès que j'utilise la méthode par clé publique/privée.

j'ai un message à l'ouverture de la session via putty en local:
putty indique -->no supported authentication methods available (server sent : public key)

sur la fenêtre de session j'ai : server refused our key.

Surement un oubli quelque part mais je ne sais pas ou agir et surtout quoi faire?
Merci d'avance à ceux qui pourront m'aider
Cordialement,
Profwalken

 

[SmallGuy]

Il faut configurer putty pour initier une connexion ssh avec la clé privée correspondante stockée localement.
Probablement un pb de configuration de putty.

 

[profwalken]

Je pense que c'est fait mais pourtant cela ne marche pas, putty est configuré sur SSH, avec user@IP srv freenas port et chemin du fichier de clé privée locale

Que faut il d'autre ?

 

[profwalken]

je constate que putty renvoi le message d'erreur à la saisie du user. est ce un indice utile pour comprendre d'ou vient le problème?

 

[profwalken]

Dans le mail security output j'ai aussi ces messages:
SRV-AWS2P.192.168.1.201 login failures:
Aug 27 09:33:16 SRV-AWS2P sshd[36498]: Failed password for aws2p from 192.168.1.38 port 1387 ssh2
Aug 27 10:03:37 SRV-AWS2P sshd[38186]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 10:18:36 SRV-AWS2P sshd[39069]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 10:21:50 SRV-AWS2P sshd[40670]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 11:23:44 SRV-AWS2P sshd[42173]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 12:56:37 SRV-AWS2P sshd[44090]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 12:59:58 SRV-AWS2P sshd[44160]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 14:54:19 SRV-AWS2P sshd[46558]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 15:04:05 SRV-AWS2P sshd[46808]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys
Aug 27 15:05:48 SRV-AWS2P sshd[46839]: Authentication refused: bad ownership or modes for file /mnt/Volume1/Travail/.ssh/authorized_keys

est ce une aide pour la compréhension du souci?

 

[SmallGuy]

Dans le Shell de FreeNAS, Que donne la sortie de la commande:

Code:

ls -l /mnt/Volume1/Travail/.ssh/

 

[profwalken]

la commande retourne çà :
[root@SRV-AWS2P ~]# ls -l /mnt/Volume1/Travail/.ssh/
total 9
-rwxrwxr-x+ 1 aws2p wheel 598 Aug 27 18:22 authorized_keys

 

[profwalken]

l’édition du fichier "authorized_keys" montre bien l'existence d'une seule clé privée

 

[profwalken]

est il possible de supprimer toute la configuration et les fichiers crées et tenter une nouvelle config depuis une situation vierge

 

[SmallGuy]

Quel utilisateur utilises-tu pour te connecter en ssh?
aws2p??
Et répertoire personnel (home directory) de aws2p= /mnt/Volume1/Travail ??
De plus les permissions sur le fichier authorized_keys sont trop larges.
600 est la valeur habituelle.

 

[profwalken]

Salut SmallGuy,
Merci pour ton assistance, oui j'utilise le user "aws2p" pour le dossier home il n'y en avait pas, donc j'ai mis comme chemin celui que tu as indiqué.
Pour les permissions sur le fichier je n'ai rien fait elles se sont mises seules . est ce que cela peux de toute façon etre la source du blocage?

 

[profwalken]

Bonjour, je ne sais pas quoi faire pour activer ce service SSH. je n'ai pas de compétences linux pour affiner le diagnostic.
Merci pour ceux qui sauraient m'aiguiller pour comprendre ce blocage et le solutionner.

 

[SmallGuy]

Bon,
Plusieurs détails me chagrines:
1) nom d'utilisateur (user) et répertoire personnel(home directory) n'ont pas les mêmes noms.
2) les permissions sur ton home directory sont de type ACL.
3)les permissions sont trop lâches (ssh est assez tatillon sur ce point: par sureté).

Pour partir sur de bonne base, je te conseil de créer dans l'ordre:
-Un dataset "toto" de type UNIX à la racine de ton volume.
-Un utilisateur "toto" en pointant son home directory sur le dataset préalablement créé.
-Dans le service SSH, laisser l'authentification par mot de passe le temps de mettre l'identification par clé en place.


Active le service ssh.
Depuis ton réseau local, testes la connexion avec toto en identification par mot de passe.


Ensuite tu génères ton jeu de clé localement (sur ton pc) avec ton outil préféré (ex: puttygen http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html).
Tu sauvegardes localement et précieusement ta clé privée (je recommande la "passphrase").
Tu copie ta clé publique (un champ dans puttygen est prévu pour ça) et tu colles dans user->toto->champ SSH public key.
Si tu veux que ton utilisateur toto puisse avoir avoir accès à root tu coches la case "permit sudo".
Eventuellement configures l'environement souhaité (perso- j'utlise tcsh)
Puis tu enregistres les paramètres utilisateurs.

Petite vérification, tu te connectes avec toto en identification par mot de passe:
-tu "arrives" dans son répertoire personnel(home directory) (prompt [toto@FreeNAS] ~%)
-Tu listes le contenu du dossier:

Code:

[toto@FreeNAS] ~%
[toto@FreeNAS] ~% ls -la
total 50
drwxr-xr-x  3 root  wheel  3 Sep 11 20:42 ./
drwxr-xr-x  14 root  wheel  14 Sep 11 20:40 ../
drwx------  2 toto  toto  3 Sep 11 20:42 .ssh/

Les permisions doivent être celles-ci (700 sur le dossier .ssh/)

-tu descends dans .ssh/:

Code:

[toto@FreeNAS] ~% cd .ssh/

-Tu listes le contenu:

Code:

[toto@FreeNAS] ~/.ssh% ls -la
total 42
drwx------  2 toto  toto  3 Sep 11 20:42 ./
drwxr-xr-x  3 root  wheel  3 Sep 11 20:42 ../
-rw-------  1 toto  toto  398 Sep 11 20:42 authorized_keys

Les permisions doivent être celles-ci (600 sur le fichier authorized_keys)

Tu te déconnectes et normalement tu dois pouvoir te logger avec l'authentification par clé (configures putty pour pointer sur ta clé privé stockée localement ainsi que l'adresse IP de FreeNAS sur le port 22: celui configuré dans le service ssh):
La passphrase te sera demandée si tu en as mis une sur ta clé privée.

Code:

login as: toto
Authenticating with public key "rsa-key-20150911"
FreeBSD 9.2-RELEASE-p15 (FREENAS.amd64) #0 r262572+5b7d179: Mon Nov 17 16:27:51 PST 2014

  FreeNAS (c) 2009-2014, The FreeNAS Development Team
  All rights reserved.
  FreeNAS is released under the modified BSD license.

  For more information, documentation, help or support, go here:
  http://freenas.org
You aren't toto?
Go out & keep away!!
[toto@FreeNAS] ~%

Si ça fonctionne tu n'as plus qu'à interdire l'accès ssh par mot de passe (dans service->ssh). Testes ensuite que la connexion par mot de passe est impossible.

 

[profwalken]

Bonjour Smallguy,
Merci pour ton post très détaillé, je vais tester selon tes indications , mais avant de commencer , test remarques me conduisent à d'autres questions:
au
1) tu indiques que le user et le dossier home n'ont pas le même nom, ou cela se voit il?
2) tu parles de permissions ACL, faut-il compendre windows? car j'ai crée des datasets avec profils Windows et non unix, est-ce mauvais même si cela est destiné à des partages vers des pc windows?

lorsque je réactive l'accès par mot de passe dans SSH cela se connecte, est ce normal?
enfin lorsque je crée un user il y a forcement un répertoire home de crée quelque part? si oui ou se voit il?

Désolé pour ces questions surement basiques pour un expert linux , mais pour moi c'est encore du très faible niveau sur linux.

Dernière chose , en fait mon besoin serait de pouvoir accéder à l'interface de gestion à distance GUI via SSH , suis je dans la bonne démarche pour ce type de besoin?

 

[SmallGuy]

1) Dans user->"nom du user", le chemin du home directory y est définit
2)Les ACL sont en effet lié à SAMBA (service CIFS). L'objet du topic est de créer un accès SSH. J'ai décrit un moyen simple pour y parvenir. Si tu mélanges les services sur une même arborescence, attends toi à quelques prises de tête (c'est déconseillé par ailleurs de partager une même arborescence à travers plusieurs services).
3) Tu te connectes par mot de passe lorsque l'accès par mot de passe est activé, oui c'est normale
4) Par défaut, le home directory est "/noexistant": ça signifie qu'il n'y en a pas. Mais SSH en a besoin, il y a donc un répertoire du nom du user qui est créé lorsque tu as remplie le champ 'ssh public key" et que tu sauvegardes. Son emplacement est fonction du chemin indiqué dans la configuration de l'utilisateur. C'est pour cela que je te conseil de procéder comme indiqué.
Fais une configuration simple dans un premier temps pour valider que tu parviens à tes fins. Libre à toi ensuite d'adapter à tes besoins.

PS: FreeNAS est issu de FreeBSD (licence FreeBSD), qui est un UNIX et pas un LINUX (Licence GNU: GNU is Not Unix).

 

[profwalken]

Salut Smallguy,
Bravo tes indications claires m'ont permi de réaliser une connexion SSH depuis le user toto via Clef privée:publique.
Ma question est maintenant que dois je modifier pour que mon user aws2p se loggue SSH aussi ?
Faut il que je le supprime et le recrée selon tes indications?
tous mes datasets sont de type windows

Une fois connecté en SSH est il possible d’accéder à la console de gestion du serveur ?