[Résolu] Rancid & Pfsense 2.2.2 spawn ssh



  • Bonjour,
    Je souhaite récupérer régulièrement les configs d'un Pfsense 2.2.2 via un serveur Rancid. Tout "marchait" parfaitement avec la version 2.0.1 de Pfsense, mais depuis le passage en 2.2.2, la sauvegarde ne se fait plus.
    Il est impossible de se connecter en spawn ssh (envoi de mot de passe).
    J'ai essayé en local sur mon poste de travail depuis le Pac Manager, impossible de se connecter avec le mot de passe pré-enregistré sur mon poste de travail (méthode spawn), on doit taper le mot de passe à la main.

    La question est comment "activer" cette méthode sur le Pfsense ?

    Merci d'avance.

    Cordialement.



  • Vous ne pouvez pas vous être inscrit sans voir le fil intitulé 'A LIRE EN PREMIER …' : merci de respecter la présentation des fils (ne pas le faire est de la paresse et un manque de respect pour les lecteurs ...)

    Vous utilisez beaucoup de sigles très peu habituels : Rancid, Pac Manager, Spawn ssh : merci d'indiquer ce quoi s'agit-il !

    Concernant la sauvegarde de la config, n'y aurait-il pas un moyen bien plus simple ?
    Par exemple, il doit bien y avoir un fichier de conf directement stocké quelque part sur l'arborescence, à récupérer simplement par un scp ?



  • Désolé pour la gêne,
    Le problème concerne surtout Pfsense (2.2.2) & Rancid qui utilise une méthode => spawn ssh -c … pour se connecter à Pfsesne. Mais cela ne fonctionne pas.
    Pfsense n’accepte plus "l'envoi automatique" de mot de passe. Je faisais le parallèle avec PacManager, car c'est le même phénomène avec la méthode spawn ssh.

    Pour le scp, pas de problème puisqu'on tape manuellement le password.
    Du moment où l'on tape le mot de passe, il n'y a aucun problème, mais ça devient galère autrement.

    Rancid est pour moi une solution vraiment automatisé, avec la version 2.0.1 de Pfsense cela fonctionnait bien avec cela : https://code.google.com/p/pfrancid/source/browse/#svn%2Ftrunk
    depuis la mise à jour plus moyen de faire fonctionner Rancid.

    Il y a t-il un paramétrage à faire sur Pfsense pour accepter les connexions spawn ?



  • Vous n'écoutez pas bien :

    • la présentation est utile pour les lecteurs
    • les sigles : j'ai été obligé de chercher car ces 3 mots sont TRES peu courants
    • je propose une piste …


  • Contexte : Milieu Pro / Administrateur GNU/Linux

    Besoin :  J'ai besoin d'automatiser les sauvegardes de configurations du Pfsense 2.2.2 sur un serveur Rancid.

    Question : Avec la version 2.0.1 de Pfsense, les sauvegardes automatiques sur Rancid se faisaient sans problème (aussi à l'aide de : https://code.google.com/p/pfrancid/source/browse/#svn%2Ftrunk).
    depuis le passage à Pfsense 2.2.2 la méthode de connexion "spawn ssh -c " ne fonctionne plus.

    rancid@xxx:~/bin$ /usr/lib/rancid/bin/clogin 192.168.1.254
    192.168.1.254
    spawn ssh -c aes128-cbc -x -l admin 192.168.1.254
    Password for admin@pfsense.xxx … Error: TIMEOUT reached

    En gros, pas moyen de se connecter automatiquement en ssh sur le Pf. Pas de problème si l'on tape le mot de passe en manuel.
    Peut-on paramétrer Pfsense pour accepter ce type de connexion ?

    Pistes imaginées
    J'utilise PacManager sur mon poste Linux, avec le mot de passe enregistré, celui-ci utilise également la méthode "spawn ssh" pour se connecter à Pfsense 2.2.2. et cela non plus ne fonctionne plus.

    Je n'ai aucune piste mes recherches sur internet sont sans résultats probants.



  • @soudk:

    Il est impossible de se connecter en spawn ssh (envoi de mot de passe).
    J'ai essayé en local sur mon poste de travail depuis le Pac Manager, impossible de se connecter avec le mot de passe pré-enregistré sur mon poste de travail (méthode spawn), on doit taper le mot de passe à la main.

    La question est comment "activer" cette méthode sur le Pfsense ?

    Je ne sais pas ce qui a changé entre ces versions (et je n'ai donc pas de solution pour le mode spwan) mais as-tu essayé de t'authentifier avec un certificat, ce qui t'évite de devoir fournir un login/pwd ?



  • Bonjour et merci pour ta réponse,

    en fait je voudrais éviter ce type de connexion, mais pouvoir continuer à "backup-er" depuis Rancid.

    Cordialement.



  • Je ne comprends pas en quoi établir une session SSH à partir d'un certificat plutôt qu'un login/pwd pose des problèmes.
    Est-ce que cela a un impact quelconque dans le process utilisé par Rancid ?



  • Il y a plusieurs choses que je ne comprend das dans ce message.
    Les modifications sur un firewall sont, après sa mise en place, assez rares. En tout cas pas de de l’ampleur de celle d'un serveur de fichiers. Partant de là je ne vois pas la pertinence d'une sauvegarde automatique qui suppose la connexion au firewall de façon elle aussi automatique, ce qui est un problème de sécurité considérable (je pèse mes mots).
    La bonne pratique serait de réaliser une sauvegarde manuelle avant chaque modification. Éventuellement une copie périodique sous forme d'image binaire du système.

    Il est impossible de se connecter en spawn ssh (envoi de mot de passe).
    J'ai essayé en local sur mon poste de travail depuis le Pac Manager, impossible de se connecter avec le mot de passe pré-enregistré sur mon poste de travail (méthode spawn), on doit taper le mot de passe à la main.

    La question est comment "activer" cette méthode sur le Pfsense ?

    Cette pratique est tout à fait contraire aux principe de base de la sécurité.
    1. La connexion d'un équipement dans une zone de moindre confiance vers un équipement en principe dans une zone de confiance qui devrait être élevée est en principe à proscrire.
    2. Autoriser les connexions automatiques vers un équipement aussi sensible qu'un firewall est une hérésie en terme de sécurité.

    Mais si l'on ne se préoccupe pas de sécurité …



  • Problème résolu.

    Ce blocage venait de l'option $sshconf .= "ChallengeResponseAuthentication yes\n";
    qui se trouve dans le script /etc/sshd
    Modifier directement le fichier /etc/ssh/sshd_config ne sert à rien, mais plutôt modifier directement depuis ce scripte

    Le choix final à été de changer le port par défaut du service ssh, puis de n'autoriser que les connexion par clé ssh.
    Mais vous pouvez combiner les deux.

    Je vous passe le détail sur l'échange de clé ssh …

    Pour Rancid il existe un module pour Pfsense => http://pfrancid.googlecode.com/svn/trunk/
    Ce checkout donne 4 scripts Perl qu'il faut déplacer dans le répertoire des binaires de Rancid /usr/lib/rancid/bin :

    pfrancid
        pflogin
        m0n0login
        m0n0rancid

    Ensuite, toujours dans le même répertoire, il faut modifier le script rancid-fe pour ajouter la ligne 'pfsense' ⇒ 'pfrancid', dans le tableau %vendortable

    Dans le fichier router.db, mettre => xxxx.xxxx.xxxx.xxxx:pfsense:up

    Sur le Pfense, il faut modifier le prompt depuis le fichier .tcshrc , commenter la ligne set prompt d'origine et la remplacer par :

    set prompt="# "

    Si on oublie ce tuning, Rancid se connecte bien à l'équipement mais passe mal les commandes d'export de conf, du coup le fichier produit est vide.

    Sur Rancid à nouveau dans le fichier ./.cloginrc

    add method xxxx.xxxx.xxxx.xxxx ssh
    add user xxxx.xxxx.xxxx.xxxxl admin
    add identity xxxx.xxxx.xxxx.xxxx /var/lib/rancid/.ssh/id_dsa
    add password xxxx.xxxx.xxxx.xxxx MotDepasse



  • Il est bien évident que, pour ceux qui se préoccupe de sécurité, tout ce qui est décrit plus haut est à proscrire formellement. Stocker un mot de passe dans un script pour établir une connexion ssh reste quand même la base de ce qu'il faut ne pas faire.

    Je vous passe le détail sur l'échange de clé ssh …

    Ce qui permet de craindre le pire: entropie, choix cryptographiques, stockage des clés, …. .Demandez à l'intérieur ce que vous ne voyez pas à l’étalage !



  • Salut salut

    Je dirais même plus à quoi bon mettre un pare-feu quel qu'il soit.
    Autant ne rien mettre.
    Apres ne pas venir pleurer quand vous vous serez fait cassé l'ensemble.

    Cordialement.


Log in to reply