Bonjour à tous,

 

J'ai récemment changé mon DS411 pour un DS415+.

J'ai recrée les clés publiques/privées que j'ai posé sur mes autres serveurs pour une connexion automatique en ssh.

Depuis mon autre serveur NAS DS209+ je tente de me connecter comme ceci :

NAS> ssh -p 150 -v root@xxx.fr
OpenSSH_5.8p1-hpn13v11, OpenSSL 1.0.1h-fips 5 Jun 2014
debug1: Connecting to xxx.fr [x.x.x.x] port 150.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/id_rsa type 1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
ssh_exchange_identification: Connection closed by remote host
NAS>

Mais ça ne fonctionne pas.

Pourtant, je ne pense pas que mon DS415+ soit en cause, j'ai essayé avec mon iPhone en 4G et je me connecte bien avec login/pass

J'ai cherché sur le net et il parlent de /etc/hosts.allow et /etc/hosts.deny, mais ils sont vides (juste upsd: ALL EXCEPT 127.0.0.1)

Bref, je suis un peu perdu, pouvez-vous m'aider ?

Merci d'avance

Modifié le 15 janvier 20169 a par Lokomass

http://superuser.com/questions/155020/ssh-not-accepting-public-key

Merci pour ta réponse, j'ai tout essayé sur ton lien, les droits de /root, de .ssh...

J'ai vérifié les paramètres :

PubkeyAuthentication Yes
RSAAuthentication Yes
PermitRootLogin Yes

Mais ils sont tous commentés dans sur mes 2 serveurs (en fait je compare celui qui fonctionne VS celui qui me retourne l'erreur)

J'ai aussi cherché dans /var/log mais aucun message d'erreur n'arrive :(

Bonjour,

 

J'ai essayé en faisant : ssh -vvv

Et voici ce que ça donne :

 

Du coup j'ai essayé de régénérer les clefs du serveurs, mais toujours pareil.

Ce qui est incompréhensible, c'est que c'est vraiment depuis ce serveur que ça pose problème, depuis les autres endroits ça fonctionne.

Modifié le 7 janvier 20169 a par Lokomass

Et bien il semble clair que ta clé ssh id_rsa ne soit pas crée correctement .

As tu bien utilisé la commande "ssh-keygen" sur ton syno ?

Oui j'ai utilisé cette commande :

 

Modifié le 7 janvier 20169 a par Lokomass

Ce qui semble bizarre dans la clé utilisée, c'est le "-----BEGIN" et le "-----END" en erreur ...

Aurais-tu par hasard transféré les clé avec winscp ou un truc dans le genre sans avoir forcé le mode texte ?

Modifié le 7 janvier 20169 a par loli71

Non non je l'ai générée sur le serveur directement.

Mais ce qui vraiment me dépasse, c'est que depuis ce serveur je me connecte sur mon autre NAS, et depuis mes 2 autres NAS je me connecte sur celui-ci, c'est vraiment dans un seul sens que ça ne passe pas.

Pagecode different dans la session ssh ?

Euh tu peux préciser ? Tu me parles chinois là :)

Il y a 1 heure, loli71 a dit :

Ce qui semble bizarre dans la clé utilisée, c'est le "-----BEGIN" et le "-----END" en erreur ...

Aurais-tu par hasard transféré les clé avec winscp ou un truc dans le genre sans avoir forcé le mode texte ?

En mode verbose >= 3 c'est une erreur normale,

CF ici, le commentaire de "Kenster" daté Jul 20 '14 at 19:38:

"FWIW, the "unknown key type '-----BEGIN'" message and the ones following it aren't error messages. ssh is just checking to see if the key file is in a particular format, and it's being verbose because you asked it to be verbose. "

Faudrait plutot regarder les logs coté serveur. (vérifier les droits de ~/.ssh du compte cible par exemple)

Modifié le 7 janvier 20169 a par CoolRaoul

Ah ben ... euh .. merci Raoul pour la rectification ;-)

Côté serveur, je ne trouve aucun log dans /var/log...

Voici le résultat des "ll" côté serveur cible (celui qui rejette ma connexion)

 

fait un chmod 700 ~/.ssh pour commencer. sur le serveur cible .. chez moi le répertoire .ssh est en dRWX------

il y a 5 minutes, Lokomass a dit :

Côté serveur, je ne trouve aucun log dans /var/log...

essayer "grep sshd /var/log/messages | tail "

Modifié le 7 janvier 20169 a par CoolRaoul

il y a 3 minutes, loli71 a dit :

fait un chmod 700 ~/.ssh pour commencer. sur le serveur cible .. chez moi le répertoire .ssh est en dRWX------

Fait, ça ne change rien,

il y a 3 minutes, CoolRaoul a dit :

essayer "grep sshd /var/log/messages | tail "

Fait, ça ne renvoi rien

il y a 4 minutes, Lokomass a dit :

Fait, ça ne renvoi rien

Ah oui, j'oubliais, par défaut la config syslog-ng DSM filtre les logs sshd (pfff..  j'te jure ...)

Faut appliquer mon correctif donné ici; http://forum.synology.com/enu/viewtopic.php?f=39&t=74141#p284002 et redémarrer la partie ssh serveur.

Modifié le 7 janvier 20169 a par CoolRaoul

il y a 2 minutes, CoolRaoul a dit :

Ah oui, j'oubliais, pas défaut la config syslog-ng DSM filtre les logs sshd (pfff..  j'te jure ...)

Fait appliquer mon correctif donné ici; http://forum.synology.com/enu/viewtopic.php?f=39&t=74141#p284002

En gros, faut faire les actions suivantes :

pour avoir les logs des connections ssh dans /var/log/message, creer le fichier /usr/local/etc/syslog-ng/patterndb.d/sshd.conf comme suit :
 

filter f_messages {
        level(info..emerg)
        and not facility( mail, news, cron)
        and not program(syslog-ng)
        and not filter(f_local)
        and not filter(f_synology);
};

puis lancer la commande suivante pour prendre en compte cette modification:
 

synoservicecfg --restart syslog-acc

 

Voila le résultat :

 

 

Faudrait faire  le "grep ..." apres avoir retenté une connexion

C'est ce que j'ai fait oui !

Alors la je ne comprend plus.. Firewall qui bloque?

Impossible je n'ai pas de firewall, j'ai 3 serveurs comme le schéma ci-dessous :

Le seul SSH KO est celui en orange, c'est quand même fou !?

Petite remarque, j'ai changé le serveur NAS récemment, et recréer les clefs ssh

 

il y a 10 minutes, Lokomass a dit :

Impossible je n'ai pas de firewall,

Tous les syno ont un firewall intégré, j'imagine que tu veux plutot dire que tu ne l'as pas activé alors.

Citation

j'ai 3 serveurs comme le schéma ci-dessous :

Le seul SSH KO est celui en orange, c'est quand même fou !?

Ouvre une fenêtre shell sur le nas principal (de site A)

dans celle-ci exécuter::

/usr/sbin/tcpdump host <ip_de_nas_maison> and port 22

tenter une connexion à partir de "Nas Maison", flux orange

si on ne voit rien passer dans la fenêtre dans laquelle tourne le tcpdump c'est que ça bloque quelque part au niveau réseau, y a pas à tortiller.

Et alors on saura que la cause n'est pas pas due à un problème de clés SSH.

PS: as tu tenté une connexion sans clé, par mot de passe?

Modifié le 7 janvier 20169 a par CoolRaoul

J'ai des choses qui s'affichent mais je ne sais pas si je peux les poster ici :)