framboise314.fr

Bonjour,

Un autre petit soucis...
Plutôt même un truc bizarre, qui doit être une broutille de config à mon avis, mais là je cale !!!

J'ai 3 framboises :
- 1 Pi2
- 2 Pi3

Mon souhait : faire du ssh du Pi2 vers mes 2 Pi3 avec un user définit (nom, uid et gid identiques sur les 3 framboises), identification par clé, pas de mot de passe.

Clé publique générée sur le Pi2...
Authorized_keys renseigné sur mes Pi3...
sshd_config bien configuré sur mes Pi3...
ajout du user dans le group sshusers sur mes Pi3...
bon droits sur .ssh et authorized_keys sur mes Pi3...

Les fichiers sshd_config sont identiques sur les 2 Pi3 (port dédié excepté) !!!
Et pourtant...

ssh du Pi2 sur le 1er Pi3 : nickel, connecté sans mot de passe...
ssh du Pi2 sur le 2nd Pi3 : demande de mot de passe, et connecté...

Y a truc là !!!

Bonsoir,

Il est possible que certains fichiers ne soit pas utilisés à cause d'un problème de sécurité.

Peux-tu me donner le résultat de la commande «ls -lah» sur les fichiers «Authorized_keys» ainsi que les dossiers «.ssh»

Bonne soirée,

maxty01 a écrit :Bonsoir,

Il est possible que certains fichiers ne soit pas utilisés à cause d'un problème de sécurité.

Peux-tu me donner le résultat de la commande «ls -lah» sur les fichiers «Authorized_keys» ainsi que les dossiers «.ssh»

Bonne soirée,

- ls -al authorized_keys : -rw------- 1 bckuser backup
- ls -al .ssh : drwx------ 2 bckuser backup

Identique sur les 2 Pi.

Bonsoir,

Est-ce que tu as des informations dans les logs auth.log et syslog lorsque tu essayes de faire une authentification ?

Une autre petite chose que tu peux faire, c'est passer ton client ssh en verbose/debug afin d'avoir plus d'info.

Bonne soirée,

Dans auth.log, voici ce que j'ai :

sshd[7806]: Accepted publickey for bckuser from
sshd[7806]: pam_unix(sshd:session): session opened for user bckuser by (uid=0)
systemd-logind[434]: New session c12 of user bckuser.
systemd: pam_unix(systemd-user:session): session opened for user bckuser by (uid=0)

Test sur mon Pi3 qui ne demande pas de mot de passe :

sshd[7806]: Accepted publickey for bckuser from
sshd[7806]: pam_unix(sshd:session): session opened for user bckuser by (uid=0)
systemd-logind[434]: New session c12 of user bckuser.
systemd: pam_unix(systemd-user:session): session opened for user bckuser by (uid=0)
sudo: pam_unix(sudo:session): session opened for user root by bckuser(uid=0) ==> je ne l'ai pas sur le Pi3 qui me demande le mot de passe.

C'EST BON !!!!
TROUVE !!!!

Dans /etc/sudoers, il n'y avait pas la ligne suivante :

ALL ALL=(ALL) NOPASSWD:ALL

Maintenant c'est OK !!!

Ben voila !

Tu vois quand tu veux !

Bonne soirée,

rebeldu31 a écrit :C'EST BON !!!!
TROUVE !!!!

Dans /etc/sudoers, il n'y avait pas la ligne suivante :

ALL ALL=(ALL) NOPASSWD:ALL

Maintenant c'est OK !!!

Sur quel Raspberry il manquait cette configuration ?
J'imagine que c'est sur le Rpi3 qui posait problème. Mais dans ce cas, je ne comprend pas pourquoi il faut modifier les droits sudo sur le serveur (Rpi3) pour une initialiser une connexion ssh.
D'après les logs, je comprends que sur le 1er Rpi3 tu te loggues en tant que bckuser et sur le 2ieme en tant que root (via sudo). Je me trompe ?

Korhm a écrit :

rebeldu31 a écrit :C'EST BON !!!!
TROUVE !!!!

Dans /etc/sudoers, il n'y avait pas la ligne suivante :

ALL ALL=(ALL) NOPASSWD:ALL

Maintenant c'est OK !!!

Sur quel Raspberry il manquait cette configuration ?
J'imagine que c'est sur le Rpi3 qui posait problème. Mais dans ce cas, je ne comprend pas pourquoi il faut modifier les droits sudo sur le serveur (Rpi3) pour une initialiser une connexion ssh.
D'après les logs, je comprends que sur le 1er Rpi3 tu te loggues en tant que bckuser et sur le 2ieme en tant que root (via sudo). Je me trompe ?

Effectivement, sur le Rpi qui posait problème lorsque je voulais m'y connecter.
Sur les 2 je me connecte en tant que bckuser...
L'important pour moi là c'était de faire un ssh par clé sans mot de passe, pour mes tests... Mais je vais approfondir cette histoire de sudoers car j'ai moi aussi pas trop compris pourquoi...

Si tu as de nouvelles info, n'hésite pas à partager, je suis curieux de comprendre