Outils pour utilisateurs

Outils du site

Piste : SSH
linux:ssh (lu 36217 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
linux:ssh [21-08-2025 08:32] – [Clé DSA non supportée] edmc73linux:ssh [06-03-2026 09:19] (Version actuelle) – [2. Application de la politique] edmc73
Ligne 181: Ligne 181:
   ssh -J titi@MACHINE tutu@serveur   ssh -J titi@MACHINE tutu@serveur
  
-Il conviendra de copier toutes les clés un peu partout+ 
 +<code> 
 +    ssh       ssh 
 +A ------> B ------> C 
 +    ^          ^ 
 + using A'  using A's 
 +   key         key 
 +</code> 
 + 
 +ProxyJump utilise la clé local (A) pour se connecter à (B) puis utilise cette même clé (A) pour se connecter à (C) même si (B) n'a pas de clé pour se connecter directement à (C), ça fonctionne quand même. 
  
 On peut aussi écrire tout ça dans le fichier de config ssh On peut aussi écrire tout ça dans le fichier de config ssh
Ligne 501: Ligne 511:
   PubkeyAcceptedAlgorithms=+ssh-rsa   PubkeyAcceptedAlgorithms=+ssh-rsa
 </code> </code>
 +
 +Et à contrario, si une vieille machine veut se connecter sur un serveur ssh récent et que dans les logs du serveur on a ça
 +  userauth_pubkey: signature algorithm ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
 +
 +On peut créer une règle pour autoriser ce vieux protocol seulement pour une ip et un user
 +  vi /etc/ssh/sshd_config.d/ma_regle.conf
 +
 +<code>
 +Match Host 9.ip_du_vieux_serveur.1.1.1 User edmc
 +  PubkeyAcceptedAlgorithms=+ssh-rsa
 +</code>
 +
 +
 +
 +
 +
 +===== Connexion SSH vers vieux serveurs (OpenSSL 3.5+) =====
 +
 +L'erreur ''ssh_dispatch_run_fatal: error in libcrypto'' survient car les distributions récentes (Fedora/RHEL) bloquent les signatures SHA-1 au niveau d'OpenSSL, même si SSH les autorise.
 +
 +==== 1. Création du module de politique crypto ====
 +Créer un fichier pour autoriser spécifiquement les signatures SHA-1 dans la bibliothèque crypto :
 +
 +Fichier : ''/etc/crypto-policies/policies/modules/SHA1-SSL-SIG.pmod''
 +
 +Contenu :
 +
 +<file>
 +#Unblock openssl sha1 signatures for ssh
 +__openssl_block_sha1_signatures = 0
 +</file>
 +
 +==== 2. Application de la politique ====
 +Appliquer la modification sans affaiblir tout le système (maintien du mode DEFAULT) :
 +
 +Commande : 
 +  sudo update-crypto-policies --set DEFAULT:SHA1-SSL-SIG
 +
 +Vérification (doit afficher ''DEFAULT:SHA1-SSL-SIG'') : 
 +  update-crypto-policies --show 
 +
 +==== 3. Configuration Client SSH ====
 +Ajouter l'exception pour l'IP du serveur dans ''~/.ssh/config'' :
 +<file>
 +Host 192.168.0.3
 +    HostName 192.168.0.3
 +    HostKeyAlgorithms +ssh-rsa
 +    PubkeyAcceptedAlgorithms +ssh-rsa
 +</file>
 +
 +Note : Cette méthode est plus sécurisée que le mode ''LEGACY'' global car elle cible précisément le verrou OpenSSL.
 +
linux/ssh.1755765139.txt.gz · Dernière modification : de edmc73

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki