Archives des ssh - CoffeeBreak Info

MODOP – Partie 1 – Update OpenSSH To 9.3p1

chris — Sat, 13 May 2023 12:18:01 +0000

Mise à jour

[root@node01-ssh ~]# dnf update -y

Etat initial

[root@node01-ssh ~]# ssh -V

[root@node01-ssh ~]# cat /etc/os-release

Dépendance nécessaire

[root@node-hadoop01 ~]# dnf install -y pam-devel rpm-build rpmdevtools zlib-devel openssl-devel krb5-devel gcc wget gtk2-devel libXt-devel
[root@node-hadoop01 ~]# dnf -y install libX11-devel perl
[root@node-hadoop01 ~]# dnf --enablerepo=powertools install imake

Récupération des sources

[root@node-hadoop01 ~]# mkdir -p ~/rpmbuild/SOURCES && cd ~/rpmbuild/SOURCES

Source openssh

[root@node01-ssh SOURCES]# wget -c https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz

[root@node01-ssh SOURCES]# wget -c https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz.asc

Source askpass

https://mirrors.slackware.com/slackware/slackware-14.2/source/xap/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz.mirrorlist

[root@node01-ssh SOURCES]# wget -c https://mirror.de.leaseweb.net/slackware/slackware-14.2/source/xap/x11-ssh-askpass/x11-ssh-askpass-1.2.4.1.tar.gz

Préparation du fichier spec

[root@node01-ssh SOURCES]# version=9.3p1
[root@node01-ssh SOURCES]# tar zxvf openssh-${version}.tar.gz
[root@node01-ssh SOURCES]# cp /etc/pam.d/sshd openssh-${version}/contrib/redhat/sshd.pam
[root@node01-ssh SOURCES]# mv openssh-${version}.tar.gz{,.orig}

[root@node01-ssh SOURCES]# tar zcpf openssh-${version}.tar.gz openssh-${version}
[root@node01-ssh SOURCES]# tar zxvf openssh-9.3p1.tar.gz openssh-${version}/contrib/redhat/openssh.spec

Ajustement du fichier spec

[root@node01-ssh SOURCES]# cd openssh-${version}/contrib/redhat/
[root@node01-ssh redhat]# chown root.root openssh.spec

[root@node01-ssh redhat]# sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/BuildPreReq/BuildRequires/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/PreReq: initscripts >= 5.00/#PreReq: initscripts >= 5.00/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "s/BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g" openssh.spec
[root@node01-ssh redhat]# sed -i -e "/check-files/ s/^#*/#/" /usr/lib/rpm/macros

Création des RPM via les sources openssh 8.3p1

[root@node01-ssh redhat]# ls -al

[root@node01-ssh redhat]# rpmbuild -ba openssh.spec

[root@node01-ssh redhat]# cd /root/rpmbuild/RPMS/x86_64/
[root@node01-ssh x86_64]# ls -al

Création de l’Archive openssh 8.3p1

[root@node01-ssh x86_64]# tar zcvf /home/openssh-${version}-RPMs.el8.tar.gz openssh*

[root@node-hadoop01 x86_64]# rm -rf ~/rpmbuild ~/openssh-${version}

Installation des paquets (archive)

[root@node01-ssh x86_64]# cd /home
[root@node01-ssh home]# ls -al |grep RPM
[root@node01-ssh home]# tar -xzvf openssh-9.3p1-RPMs.el8.tar.gz

Sauvegarde des fichiers conf 9.0p1

[root@node01-ssh home]cp /etc/pam.d/sshd pam-ssh-conf-06052023

Installation Openssh 9.3p1

[root@node01-ssh home]# rpm -Uvh *.rpm

Restauration du fichier de conf 9.0p1

[root@node01-ssh home]# mv /etc/pam.d/sshd /etc/pam.d/sshd_93p1_06052023
[root@node01-ssh home]# cp pam-ssh-conf-06052023 /etc/pam.d/sshd

Autorisation root acces (option)

[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep PermitRootLogin

[root@node01-ssh ~]# sed -i 's/prohibit-password/yes/' /etc/ssh/sshd_config
[root@node01-ssh ~]# sed -i 's/#PermitRootLogin/PermitRootLogin/' /etc/ssh/sshd_config
[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep PermitRootLogin

Activation Identification PAM (option)

[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep UsePAM
[root@node01-ssh ~]# sed -i 's/#UsePAM no/UsePAM yes/' /etc/ssh/sshd_config
[root@node01-ssh ~]# cat /etc/ssh/sshd_config |grep UsePAM

Redémarrage du service sshd

[root@node01-ssh ~]# chmod 600 /etc/ssh/ssh*
[root@node01-ssh ~]# systemctl restart sshd
[root@node01-ssh ~]# systemctl status sshd

Correction de l’erreur « ssh_host_dsa_key.pub »

[root@node01-ssh ~]# ssh-keygen -t rsa -f /etc/ssh/ssh_host_dsa_key
[root@node01-ssh ~]# systemctl restart sshd
[root@node01-ssh ~]# systemctl status sshd

[root@node01-ssh ~]# ssh -V

L’article MODOP – Partie 1 – Update OpenSSH To 9.3p1 est apparu en premier sur CoffeeBreak Info.

MODOP – Partie 2 – BASH Update to OpenSSH 9.3p1

chris — Sat, 13 May 2023 11:40:32 +0000

https://github.com/chrisPB-fr/UpdateEL8_SSL.git

Lancement du Script BASH

[root@node01-ssh chris]# dnf install -y git
[root@node01-ssh chris]# git clone https://github.com/chrisPB-fr/UpdateEL8_SSL.git

[root@node01-ssh chris]# cd UpdateEL8_SSL/
[root@node01-ssh UpdateEL8_SSL]# ls -al

[root@node01-ssh UpdateEL8_SSL]# ./update_openssh_9_3p1.sh

Etape N°1 – Vérification de la version sur la machine

Si la version OpenSSL est inférieur à 9.3p1

Si la machine est déjà en version 9.3p1

Etape N°2 – installation des dépendances nécessaire

Etape N°3 – Récupération des sources

Etape N°4 – Installation des sources sur la machine

Etape N°5 – Ajustement sur le fichier spec

Etape N°6 – Création des RPM OpenSSL 9.3p2 compilés

Etape N°7 – Installation des RPM OpenSSL 9.3p2 compilés

Etape N°8 – Ouverture du « root acces » en SSH

Si yes, alors PermitRootLogin yes
Si no, alors PermitRootLogin prohibit-password

[root@node01-ssh UpdateEL8_SSL]# cat /etc/ssh/sshd_config|grep PermitRootLogin

Etape N°9 – Activation PAM authentification

Positionne UsePAM à yes

[root@node01-ssh UpdateEL8_SSL]# cat /etc/ssh/sshd_config|grep UsePAM

Etape N°10 – Correction BUG sur la partie Certificat

Etape N°11 – Redémarrage sur service SSH v9.3p1

[root@node01-ssh UpdateEL8_SSL]# ssh –V

Script BASH

#!/bin/bash
version=9.3p1
openSSH_repo="https://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable"
askPass_repo="https://mirror.de.leaseweb.net/slackware/slackware-14.2/source/xap/x11-ssh-askpass"
today=`date +%F`
array_valeur=(y n yes no)
rouge='\e[0;31m'
vert='\e[0;32m'
neutre='\e[0;m'
PATH_RPM="/root/rpmbuild/SOURCES"
OPENSSH_SPEC="${PATH_RPM}/openssh-${version}/contrib/redhat/openssh.spec"

function check_version_ssh () {
check_version=`rpm -qa |grep openssh-server |awk -F"-" '{print $3}'`
if [ ${check_version} == ${version} ]
then
echo ""
echo -e "${vert}#######################################${neutre}"
echo -e "${vert} OpenSSL est déja à la version 9.3p1${neutre}"
echo -e "${vert}#######################################${neutre}"
exit
fi
echo "Votre version est la ${check_version}"
}

function install_dependance () {
for install_packet in pam-devel rpm-build rpmdevtools zlib-devel openssl-devel krb5-devel gcc wget gtk2-devel libXt-devel libX11-devel perl
do
 echo "Installation du paquet ${install_packet}"
 dnf -y install ${install_packet} >> /dev/null
done
echo "Installation du paquet imake"
dnf --enablerepo=powertools install imake -y >> /dev/null
}

function recup_source () {
## Source OpenSSH
mkdir -p ${PATH_RPM} 
if [ -f ${PATH_RPM}/openssh-${version}.tar.gz ]
then 
 rm -f ${PATH_RPM}/openssh-${version}.tar.gz
 echo "Récupère les sources de openssh-${version}"
 wget c ${openSSH_repo}/openssh-${version}.tar.gz -P ${PATH_RPM}
else
 echo "Récupère les sources de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz -P ${PATH_RPM} 
fi

if [ -f ${PATH_RPM}/openssh-${version}.tar.gz.asc ]
then
 rm -f ${PATH_RPM}/openssh-${version}.tar.gz.asc
 echo "Récupère les clefs de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz.asc -P ${PATH_RPM}
else
 echo "Récupère les clefs de openssh-${version}"
 wget -c ${openSSH_repo}/openssh-${version}.tar.gz.asc -P${PATH_RPM} 
fi

## Source askpass
if [ -f ${PATH_RPM}/x11-ssh-askpass-1.2.4.1.tar.gz ]
then
 rm -f ${PATH_RPM}/x11-ssh-askpass-1.2.4.1.tar.gz
 echo "Récupère les sources x11-ssh-askpass"
 wget -c ${askPass_repo}/x11-ssh-askpass-1.2.4.1.tar.gz -P ${PATH_RPM} 
else
 echo "Récupère les sources x11-ssh-askpass"
 wget -c ${askPass_repo}/x11-ssh-askpass-1.2.4.1.tar.gz -P ${PATH_RPM}
fi
}

function prepa_spec () {
cd ${PATH_RPM}
tar -zxvf openssh-${version}.tar.gz 
yes | cp /etc/pam.d/sshd openssh-${version}/contrib/redhat/sshd.pam
mv openssh-${version}.tar.gz{,.orig}
tar -czpf openssh-${version}.tar.gz openssh-${version}
tar -zxvf openssh-9.3p1.tar.gz openssh-${version}/contrib/redhat/openssh.spec
}

function ajust_spec () {
OPENSSH_SPEC="${PATH_RPM}/openssh-${version}/contrib/redhat/openssh.spec"
chown root.root ${OPENSSH_SPEC}
sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" ${OPENSSH_SPEC}
sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" ${OPENSSH_SPEC}
sed -i -e "s/BuildPreReq/BuildRequires/g" ${OPENSSH_SPEC}
sed -i -e "s/PreReq: initscripts >= 5.00/#PreReq: initscripts >= 5.00/g" ${OPENSSH_SPEC}
sed -i -e "s/BuildRequires: openssl-devel < 1.1/#BuildRequires: openssl-devel < 1.1/g" ${OPENSSH_SPEC}
sed -i -e "/check-files/ s/^#*/#/" /usr/lib/rpm/macros
}

function create_RPM () {

cd ${PATH_RPM}/openssh-${version}/contrib/redhat/
rpmbuild -ba openssh.spec
cd /root/rpmbuild/RPMS/x86_64/
ls -al |grep openssh*
}

function install_RPM () {
## sauvegarde conf ssh PAM conf
cd /root/rpmbuild/RPMS/x86_64/
cp /etc/pam.d/sshd pam-ssh-conf-${today}

## Installation OpenSSL 9.3p1
rpm -Uvh *.rpm

## restauration ssh PAM conf
mv /etc/pam.d/sshd /etc/pam.d/sshd_93p1_${today}
yes | cp pam-ssh-conf-${today} /etc/pam.d/sshd
}

function autorise_root_acces () {
printf "souhaitez vous activer root acces [yes,no]: "
read -r reponse
while ! [[ "${array_valeur[@]}" =~ ${reponse} ]];do 
 autorise_root_acces
done

if [ ${reponse} == yes ] || [ ${reponse} == y ] 
then
 check_acces_root=`cat /etc/ssh/sshd_config |grep "PermitRootLogin prohibit-password" |wc -l`

 if [ ${check_acces_root} == 1 ]
 then
 sed -i 's/prohibit-password/yes/' /etc/ssh/sshd_config
 fi

 check_actif_acces_root=`cat /etc/ssh/sshd_config |grep "#PermitRootLogin" |wc -l`

 if [ ${check_actif_acces_root} == 1 ]
 then
 sed -i 's/#PermitRootLogin/PermitRootLogin/' /etc/ssh/sshd_config 
 fi

echo ""
echo -e "${vert}#####################################${neutre}"
echo -e "${vert} Root Acces est désormais activé ${neutre}" 
echo -e "${vert}#####################################${neutre}"
fi
}

function activation_pam () {

 check_pam_actif=`cat /etc/ssh/sshd_config |grep "#UsePAM yes" |wc -l`
 if [ ${check_pam_actif} == 1 ]
 then
 sed -i 's/#UsePAM no/UsePAM yes/' /etc/ssh/sshd_config
 fi 

echo ""
echo -e "${vert}#####################################${neutre}"
echo -e "${vert} Authentification PAM est activé ${neutre}"
echo -e "${vert}#####################################${neutre}"
}

function check_host_rsa_key () {

if [ ! -f "/etc/ssh/ssh_host_dsa_key" ]
then
 ssh-keygen -t rsa -f /etc/ssh/ssh_host_dsa_key -q -P ""
fi
chmod -R 600 /etc/ssh/
}

function restart_sshd () {
systemctl restart sshd
systemctl status sshd
}

clear
#### Lancement de l'installation 

echo ""
echo -e "${vert}############################${neutre}"
echo -e "${vert} Mise à jour de OpenSSL ${neutre}"
echo -e "${vert}############################${neutre}"
sleep 2

clear
echo ""
echo -e "${vert}######################################${neutre}"
echo -e "${vert} Etape 1 - Check la version OpenSSL ${neutre}"
echo -e "${vert}######################################${neutre}"
sleep 2
check_version_ssh

clear
echo ""
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 2 - installation des dépendances ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
install_dependance

clear
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 3 - Récupération des sources ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
recup_source

clear
echo -e "${vert}##########################################${neutre}"
echo -e "${vert} Etape 4 - Préparation du fichier spec ${neutre}"
echo -e "${vert}##########################################${neutre}"
sleep 2
prepa_spec

clear
echo -e "${vert}########################################${neutre}"
echo -e "${vert} Etape 5 - Ajustement du fichier spec ${neutre}"
echo -e "${vert}########################################${neutre}"
Sleep 2
ajust_spec

clear
echo -e "${vert}#################################################${neutre}"
echo -e "${vert} Etape 6 - Création des RPM OpenSSL ${version} ${neutre}"
echo -e "${vert}#################################################${neutre}"
sleep 2
create_RPM

clear
echo -e "${vert}######################################################${neutre}"
echo -e "${vert} Etape 7 - installation des RPM OpenSSL ${version} ${neutre}"
echo -e "${vert}######################################################${neutre}"
sleep 2
install_RPM

clear
echo -e "${vert}######################################${neutre}"
echo -e "${vert} Etape 8 - Ouverture root acces SSH ${neutre}"
echo -e "${vert}######################################${neutre}"
sleep 2
autorise_root_acces

clear
echo -e "${vert}#############################################${neutre}"
echo -e "${vert} Etape 9 - Activation authentification PAM ${neutre}"
echo -e "${vert}#############################################${neutre}"
sleep 2
activation_pam

clear
echo -e "${vert}###########################################${neutre}"
echo -e "${vert} Etape 10 - Correction Bug Vertificat RSA ${neutre}"
echo -e "${vert}###########################################${neutre}"
sleep 2
check_host_rsa_key

clear
echo -e "${vert}############################################${neutre}"
echo -e "${vert} Etape Finale - Redémarrage du service SSH ${neutre}"
echo -e "${vert}############################################${neutre}"
sleep 2
restart_sshd

L’article MODOP – Partie 2 – BASH Update to OpenSSH 9.3p1 est apparu en premier sur CoffeeBreak Info.

MODOP – YubiKey – Cient SSH – GitHub

chris — Sat, 13 May 2023 10:41:34 +0000

Prérequis

Un compte Github
- https://github.com/
Clef YubiKey
- https://www.yubico.com/
MobaxTerm/Client SSH
- https://mobaxterm.mobatek.net/
- https://www.putty.org/

Génération d’une paire de clef « privé & public » ed22519-sk

/home/mobaxterm # ssh-keygen --help

/home/mobaxterm # ssh-keygen -t ed25519-sk -f /home/mobaxterm/.ssh/UserGit

« OK »

« Insérer votre Yubico »

Saisir votre code de Sécurité

Toucher le logo « Y » de votre Key

Les clefs sont générées

/home/mobaxterm # ls /home/mobaxterm/.ssh/ |grep UserGit

/home/mobaxterm # cat /home/mobaxterm/.ssh/UserGit.pub

Copier la clef pub dans un notepad

Intégrer la clef Public sur GitHub

https://github.com/

Se connecter à votre compte github

« Signed .. » et « Settings »

« SSH and GPG Keys »

« New SSH key »

Ajouter votre clef Publique générée avec YubiKey

Activer l’identification SSH sur le repositories

Choisir votre « repositories »

Sélectionner votre projet (ici Proxmox-Ansible-CllusterMysql )

« Code » et « SSH »

git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git

Test import DATA avec Clef sur GitHub

Export du projet

/home/mobaxterm # git clone git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git --config core.sshCommand="ssh -i /home/mobaxterm/.ssh/UserGit"

Insérer la clef Yubikey

Touche le « Y » de la clef

Le dépôt de votre projet est récupéré sur votre machine

/home/mobaxterm # cd Proxmox-Ansible-CllusterMysql
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # ls -al

Initialisation des variables du projet

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git config --global user.email "mail@mail.com"
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git config --global user.name "chrisPB-fr"
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git remote set-url origin git@github.com:chrisPB-fr/Proxmox-Ansible-CllusterMysql.git

Modification du projet

Initialement le readme.md

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # echo " - Test SSH Key Yubico" >> README.md
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # cat README.md

Import du projet modifié avec SSH YubiKey

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git add .
/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git commit -am "Modification fichier readme"

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git push origin master

Insérez la clef pour identifier votre transaction via SSH

Touchez le logo « Y »

La connexion est réalisée

Côté import sur Github

/home/mobaxterm/Proxmox-Ansible-CllusterMysql/master # git log

L’article MODOP – YubiKey – Cient SSH – GitHub est apparu en premier sur CoffeeBreak Info.

MODOP – Connexion SSH YubiKey – Linux Machine

chris — Sat, 13 May 2023 09:50:44 +0000

Génération d’une paire de clef « privé & public »

/home/mobaxterm # ssh-keygen --help

/home/mobaxterm # ssh-keygen -t ed25519-sk -f /home/mobaxterm/.ssh/key01

« OK »

« Introduire votre clef YubiKey »

Taper votre mot de passe saisi lors de la configuration de votre clef puis « OK »

Toucher le logo Y de votre clef Yubico

Reste, ou pas , à saisir une « passphrasse » pour renforcer le certificat puis « enter »

Lister la paire de clef « privé & public »

/home/mobaxterm # ls -alt /home/mobaxterm/.ssh/key01*

/home/mobaxterm # cat /home/mobaxterm/.ssh/key01.pub

Copier votre clef publique sur le(s) serveur(s)

/home/mobaxterm # ssh-copy-id -i /home/mobaxterm/.ssh/key01.pub root@floki03.house.cpb

Connexion au serveur via YubiKey

/home/mobaxterm # ssh -i /home/mobaxterm/.ssh/key01 -l root floki03.house.cpb

« Insérez la clef YubiKey »

« Touchez le logo Y »

La connexion est réalisée via YubiKey et Clef ssh

Cléf Publique sur Serveur

root@floki03:~# cat .ssh/authorized_keys

L’article MODOP – Connexion SSH YubiKey – Linux Machine est apparu en premier sur CoffeeBreak Info.