Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:ssh [21-08-2025 08:32] – [Clé DSA non supportée] edmc73
+++ linux:ssh [06-05-2026 17:12] (Version actuelle) – [autossh : créer une connexion persistante] edmc73
@@ Ligne 181: / Ligne 181: @@
   ssh -J titi@MACHINE tutu@serveur
-Il conviendra de copier toutes les clés un peu partout
+<code>
+    ssh       ssh
+A ------> B ------> C
+    ^          ^
+ using A's   using A's
+   key         key
+</code>
+ProxyJump utilise la clé local (A) pour se connecter à (B) puis utilise cette même clé (A) pour se connecter à (C) même si (B) n'a pas de clé pour se connecter directement à (C), ça fonctionne quand même.
 On peut aussi écrire tout ça dans le fichier de config ssh
@@ Ligne 425: / Ligne 435: @@
 ===== autossh : créer une connexion persistante =====
-**autossh** permet de lancer une commande ssh puis de la relancer en cas d'échec.
+Voir la page dédié [[autossh|]]
-Installer **autossh**
-  apt-get install autossh
-Comme le dit le **man autossh** il est préférable d'utiliser les options **ServerAliveInternal** et **ServerAliveCountMax** plutôt que d'utiliser le echo port pour le monitoring, je vais donc écrire les commandes dans ce contexte.
-Exemple: J'ai besoin d'un accès à une base de données distante en local
-La commande ssh serait
-  ssh -L 3307:localhost:3306 username@toto-public.com
-La commande autossh serait
-  autossh -M 0 -q -f -N -oServerAliveInterval=60 -oServerAliveCountMax=3 -L 3307:localhost:3306 username@toto-public.com
-Pour que cette connexion se lance au démarrage de la machine, placer cette commande dans le fichier **/etc/rc.local**
 ===== Gérer plusieurs clés =====
@@ Ligne 501: / Ligne 495: @@
   PubkeyAcceptedAlgorithms=+ssh-rsa
 </code>
+Et à contrario, si une vieille machine veut se connecter sur un serveur ssh récent et que dans les logs du serveur on a ça
+  userauth_pubkey: signature algorithm ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
+On peut créer une règle pour autoriser ce vieux protocol seulement pour une ip et un user
+  vi /etc/ssh/sshd_config.d/ma_regle.conf
+<code>
+Match Host 9.ip_du_vieux_serveur.1.1.1 User edmc
+  PubkeyAcceptedAlgorithms=+ssh-rsa
+</code>
+===== Connexion SSH vers vieux serveurs (OpenSSL 3.5+) =====
+L'erreur ''ssh_dispatch_run_fatal: error in libcrypto'' survient car les distributions récentes (Fedora/RHEL) bloquent les signatures SHA-1 au niveau d'OpenSSL, même si SSH les autorise.
+==== 1. Création du module de politique crypto ====
+Créer un fichier pour autoriser spécifiquement les signatures SHA-1 dans la bibliothèque crypto :
+Fichier : ''/etc/crypto-policies/policies/modules/SHA1-SSL-SIG.pmod''
+Contenu :
+<file>
+#Unblock openssl sha1 signatures for ssh
+__openssl_block_sha1_signatures = 0
+</file>
+==== 2. Application de la politique ====
+Appliquer la modification sans affaiblir tout le système (maintien du mode DEFAULT) :
+Commande :
+  sudo update-crypto-policies --set DEFAULT:SHA1-SSL-SIG
+Vérification (doit afficher ''DEFAULT:SHA1-SSL-SIG'') :
+  update-crypto-policies --show
+==== 3. Configuration Client SSH ====
+Ajouter l'exception pour l'IP du serveur dans ''~/.ssh/config'' :
+<file>
+Host 192.168.0.3
+    HostName 192.168.0.3
+    HostKeyAlgorithms +ssh-rsa
+    PubkeyAcceptedAlgorithms +ssh-rsa
+</file>
+Note : Cette méthode est plus sécurisée que le mode ''LEGACY'' global car elle cible précisément le verrou OpenSSL.

Outils pour utilisateurs

Outils du site

Différences

Outils de la page