Problème SSH : sécurité compromise?

atahualpa · February 5, 2021, 1:08pm

Salut !

La catégorie "support […] n’est pas destinée à de l’assistance généraliste pour l’administration système

Je comprends cela mais j’ai besoin d’exclure YunoHost comme source possible du problème.

Je n’ai pas effectué de modification sur mon VPS Debian qui ne sert qu’à YunoHost. J’utilise en revanche un utilisateur différent pour me connecter au VPS via SSH (pas le user créé pour yunohost donc)

Le serveur tourne depuis plus d’un an sans problème, et je me connecte via SSH régulièrement.

Lorsque j’ai cherché à me connecter récemment, j’ai reçu ce message:

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.

Je n’ai touché à rien concernant SSH. Ni sur mon ordi, ni sur le VPS.

Est-ce que cela peut survenir après une MàJ de YunoHost ?

J’ai contacté le fournisseur du VPS qui dit que cela ne vient pas d’eux (c’était probable mais j’essaye tout)

Merci !

Aleks · February 5, 2021, 1:13pm

Hmmmben c’est généralement pas un soucis de “vrai” sécurité au sens de “tu t’es fais piraté” … même si on sais jamais mais bon, c’est un peu visible comme attaque.

Généralement c’est + un soucis du genre “tu as réinstallé entièrement le serveur et l’identité SSH de la machine n’est donc plus la même” ou bien tu ne contactes pas la machine que tu penses contacter (par ex. soucis de DNS)

Est-ce que tu es sur de contacter la bonne machine (par exemple si tu ping le domaine, est-ce que l’IP semble correspondre) ?

atahualpa · February 5, 2021, 1:17pm

merci pour ta réponse

Je n’ai pas réinstallé le serveur (je n’ai rien changé, à part l’installation d’un serveur Standard-Notes que je n’ai pas encore configuré)

je me connecte depuis les mêmes machines et je suis sûr de l’IP (je me connecte via SSH en entrant l’IP directement)

Aleks · February 5, 2021, 1:55pm

Arf ben pas sur de comprendre alors … si tu as un autre moyen d’accéder à ton serveur (par ex. console web/graphique depuis l’interface de ton fournisseur, ou VNC…) tu peux aller sur le serveur sans passer par SSH et regarder les dates de modification des clefs dans /etc/ssh/ … Eventuellement il y a des commandes pour comparer la fingerprint dans le serveur à celle reçu via SSH …

atahualpa · February 5, 2021, 3:15pm

VNC

PulseHeberg (hébergement VPS) a un VNC incorporé mais j’ai pas su m’en servir. Je vais réessayer, car oui c’est une bonne idée de regarder les dates

ljf · February 6, 2021, 12:36pm

Peut être que pulseheberg a passé ton serveur en mode rescue. Ou que tu as demandé une réinstallation par erreur ?

atahualpa · February 8, 2021, 1:20pm

Non, ils n’ont rien changé, et moi non plus. Le seul changement c’est une MàJ YunoHost, c’est pour ça que je tentais ma chance ici.

J’ai oublié de préciser que c’est la deuxième fois que ça arrive en 1 mois. La 1ère fois les gens de PulseHeberg pensaient que c’était un problème de configuration d’ARP, mais finalement ça ne semble pas être le cas.

Je vais encore demander un avis sur d’autres forums, et si je n’en tire rien peut-être réinstaller le serveur.

system · February 23, 2021, 1:21pm

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.