Certaines applications Linux se servent d’une paire de clefs SSH fixe/connue et par défaut dans leur installation de base. C’est le cas de NXSERVEUR de NOMACHINE et/ou FREENX .
Suite à l’introduction récente d’une liste de blacklistage de clefs (mise à jour de Openssl), il arrive donc hélas que la paire de clef NX en configuration par défaut ne peut plus fonctionner. C’est bien entendu détournable, mais assez pénalisant pour l’administration puisqu’il faut générer une paire de clefs perso et écraser les clefs SSH par défaut du serveur NX et des clients.
A faire :
=> sur le serveur :
1 - générer une paire de clef dsa (id_dsa et id_dsa.pub) avec un “ssh-keygen -t dsa” et les copier dans /var/lib/nxserver/home/.ssh
2 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/authorized_keys2 par celui de id_dsa.pub (clef publique)
3 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/client.id_dsa.key par celui de id_dsa (clef privée)
4 - éditer le fichier de clef publique (authorized_keys2) et rajouter juste avant le bloc “ssh-dss…” les options : no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver"
(pour obtenir donc no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" ssh-dss…)
=> sur le client (Windows ou Linux) :
1 - lancez nxclient et allez dans configuration
2 - éditer le fichier dans la section KEY, supprimez la clef NOMACHINE (commençant par MIIBuwIBAA…) et mettez à la place le contenu de clef privée fichier “client.id_dsa.key”.
Il faut hélas changer la clef privée sur tous les clients NXCLIENT. C’est pénalisant mais on positivera en disant que ça renforce la sécurité puisque ce n’est plus une clef NOMACHINE par défaut.
C’était une petite remontée d’info puisque j’ai eu le soucis… 