Discussion :

[Hildan]

Bonsoir à tous, voilà mon petit souci de SSH.
Déjà je suis sous HP UX v11i, j'ai un léger souci avec mon SSH:
en local quant je tape: ssh nomdemachine avec mon compte root celui ci me demande mon mot de passe root, or pour différentes applications qui tournent sur le serveur je voudrais une connexion direct, j'ai du essayer toutes les config du /opt/ssh/etc/sshd_config, le permitRootlogin à no à yes à without-password ou même en commentant rien toujours une demande de mots de passe root, alors qu'avec un utilisateur lambda, tjs en local, j'ai le droit à aucune demande de mots de passe.

Bien entendu je pense à redémarrer mon deamon à chaque modif', sous sbin/init.d/secshell, la génération de clé est faites avec un ssh-keygen est forcé pour ne pas à avoir à utilisé la passphrase.
Bref, pour moi le problème n'est pas là, mais p-e de droit qq part au niveau du compte root mais je ne vois pas.

Je rappelle juste que je reste en local direct sur le machine. Il s'agit de sa propre connexion en ssh en étant root, je voudrais désactivé ce mots de passe root.
Je sais que c'est possible, j'ai exactement la même machine à coté et elle fonctionne ainsi.
Donc les sshd_config sont identiques
merci par avance

[frp31]

faire ainsi est une énorme connerie.
c'est pas parce que tu ou qlqu'1 d'autre l'a fait qu'il faut le faire.

la solution c'est d'utiliser un user dédié, avec clefs etc... qui lance des "su -c <commande>" ou des sudo (je sais plus si il y a sudo sous HPUX..).

deuxièmement utiliser des connexions SSH locales quel intérêt ???
Si les comptes étaient bien gérés et leur droits, ce genre de bidouillages seraient inutiles...c'est incohérent du début à la fin ....

C'est comme entretenir une voiture avec du scotch et des brindilles....même pour remplacer les plaquettes de frein !!!!

utiliser un ssh en local pour changer d'utilisateur pour avoir les bon droits n'a aucun sens ! c'est du jamais vu !

regardes un truc quand même, il y a peut être un utilisateur root en double (ID=0) mais avec un autre nom (donc un alias de root) peut être que ça marcherai...

tu peux aussi tenter la même chose avec rlogin plus tot que ssh c'est beaucoup plus permissif....et ça a donc des chances de marcher...

Si tu tiens à ta méthode gore, tu peux comparer /etc/* et /etc/rc.config.d/* entre les deux machines, celle où tu dis que ça marche, et celle sur laquelle ça ne fonctionne pas.

[lennelei]

Quel est le but de la manip ?

De ce que je comprends, tu veux pouvoir faire un ssh depuis la machine A vers la machine A avec l'utilisateur root sans que cela ne demande un mot de passe ? J'ai, comme frp31, beaucoup de mal à voir l'intérêt de la chose et côté sécurité, c'est bof bof d'utiliser root pour des trucs qui ne semblent clairement pas lié à l'administration du système... surtout que j'imagine que l'HP-UX n'est pas dans ton salon

Cela étant, tu dis utiliser l'authentification par clé, donc tu as vérifié ton fichier authorized_keys j'imagine ?

Tu peux peut-être comparer les deux dossiers ~root/.ssh aussi entre les 2 machines (celle qui fonctionne et l'autre) voir s'il n'y aurait pas une configuration ssh différente ?

ps.: évidemment qu'il peut y avoir sudo sous HP-UX

[Hildan]

Je sais que c'est débile de faire ainsi, mais je n'ai pas le choix, les scripts qui demandent une connexion en ssh en root sur lui même c'est pas moi qui les fait^^ et je n'ai pas le droit de les modifier.
je suis déjà en train de corriger pas mal de truc (taille LV etc...) mais si je commence à changer des scripts constructeurs on ne va plus s'en sortir.
C'est une grande entreprise française qui nous développe ça, enfin surtout grande par le nom^^
Le telnet ou rlogin c'est mort, il est désactivé pour cause de sécurité et si je m'amuse à les réactiver les audit SSI ne seront pas trop d'accord.

La solution est l'autorized.keys du compte root sous le .ssh, merci bcp pour vos réponses

[frp31]

y'a des meurtres qui se perdent !

[lennelei]

Vas-y, balance le nom de la boîte

Ca se fait pas de teaser comme ça

Edit: cela étant, je serais vraiment curieux de savoir le pourquoi du comment ! Que le telnet soit désactivé, c'est une chose, mais qu'est ce que le script peut bien faire pour être obligé de se connecter en ssh en local... ça, ça dépasse mon entendement