[gull] Plus d'accès SSH après correctif DSA 1571-1
Olivier Lange
wire at petit-atelier.ch
Tue Aug 26 18:53:31 CEST 2008
Pour info, j'ai identifié le problème après avoir obtenu de l'aide
sur place. La clé m'a été donnée par le journal /var/log/auth.log;
en cherchant alentour des connexions SSH qui ont été immédiatement
interrompues, j'ai tout de suite trouvé:
solar-6 sshd[2802]: error: Host key
41:9d:8f:5c:1e:63:c2:d9:68:f7:fd:8d:c5:21:5d:8f blacklisted
C'est donc que les clés SSH du serveur étaient considérées comme
faibles en regard de la vulnérabilité DSA-1571-1 et que le service
SSH s'auto-censurait.
Les clés RSA/DSA du serveur ont été regénérée et le service SSH
redémarré, ensuite de quoi cela fonctionnait à nouveau.
Il est également possible de définir une option dans les paramètres
de SSHD, afin qu'il ne consulte pas la blacklist.
Merci à tous pour votre promptes réponses et suggestions.
--
Olivier
Olivier Lange wrote:
> Je n'ai pas accès physiquement au serveur et ne peux pas me
> connecter depuis la console, c'est une machine que j'ai en location
> chez Metanet à Zürich.
>
> Cependant je n'avais pas songé à cette suggestion. Je me suis fait
> une petite liste de choses à demander au support sur place et je
> l'ai ajoutée, merci.
>
> A ce sujet, voici ce que je m'apprête à demander:
>
> - journal aptitude (/var/log/aptitude?)
> - journal ssh (/var/log/ssh?)
> - journal authentifications (/var/log/auth)
> - journal iptables
> - journal denyhosts (/var/log/denyhosts)
> - config ssh (/etc/ssh/*)
> - connexion locale à ssh (ssh -v xyz at localhost)
> - redémarrer le service ssh
>
> Me recommanderiez-vous de demander d'autres informations pertinentes
> pour diagnostiquer le problème? d'entreprendre d'autres actions?
>
> Olivier
>
>
> Yann Sagon wrote:
>> Le 25 août 2008 17:13, Olivier Lange <wire at petit-atelier.ch> a écrit :
>>> Bonjour!
>>>
>>> Après avoir appliqué divers correctifs de sécurité sur mon serveur
>>> Debian avec aptitude, je n'arrive plus à me connecter au service
>>> SSH.
>> Est-ce que tu arrives à te connecter sur ton serveur en local (ssh
>> user at localhost)?
More information about the gull
mailing list