• Objet : Comment partager des fichiers simplement, efficacement et de manière sécurisée
• Niveau requis :

  débutant, avisé
• Commentaires : Avoir un accès sur un serveur ssh
• Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !.
• Suivi :

  en-chantier, à-tester
  • Création par <vous> <date>
  • Testé par <…> le <…>
• Commentaires sur le forum : Lien vers le forum concernant ce tuto²⁾

Les pages de référence pour débuter l'utilisation du terminal :

• Utiliser GNU/Linux en ligne de commande, tout commence là !.

Installer openssh-server

# apt-get install openssh-server 

Démarrer maintenant le démon ssh :

# /etc/init.d/ssh start

Le serveur est fonctionnel.
Cela étant, chaque client qui voudra se connecter au serveur devra avoir un compte d'utilisateur sur le serveur.

Note : Les paquets “openssh-client” et “fuse-utils” sont requis, mais il sont déjà installés par défaut sous Debian depuis 2009.

Installer simplement sshfs

# apt-get install sshfs

Voir aussi :
SSHFS

Sur le système client, créer un répertoire dans lequel va être monté le système de fichiers :

$ mkdir /home/utilisateur/Test

Monter un répertoire distant (ici ~/Public):

$ sshfs utilisateur@ip_distante:/home/utilisateur/Public /home/utilisateur/Test

Le mot de passe de l'utilisateur est alors demandé.

Ouvrir Nautilus (ou n'importe quel gestionnaire de fichiers) pour accèder à vos fichiers distants.

Enfin, penser à démonter :

$ fusermount -u /home/utilisateur/Test

Prochaine étape : améliorer la sécurité par l'utilisation d'une clé de chiffrement.

L'authentification par simple mot de passe n'est pas infaillible, car ce dernier peut être découvert puis utilisé. Malgré tout, cela reste relativement fiable, car, bien sûr, le mot de passe est transmis chiffré.
Par contre, l'utilisation d'une clé de chiffrement, elle-même protégée par une phrase de passe, renforce largement la sécurisation.
En effet, pour se connecter, il faut alors :

1. être en possession de la clé privée,
2. connaître la phrase de passe qui permet d'utiliser la clé.

Un utilisateur :

1. doit donc avoir un compte sur le serveur,
2. il doit ensuite envoyer une clé publique de chiffrement au serveur.

Avec cette clé, le serveur peut alors chiffrer les données qu'il renvoie au client, ce dernier pouvant déchiffrer les données avec sa clé privée.

Sur le client, chaque utilisateur qui souhaite se connecter doit créer un couple de clés de chiffrement.
La commande ssh-keygen permet de faire cela :

$ ssh-keygen -t rsa -b 4096

Il est alors demandé de choisir l'emplacement de la clé (laisser par défaut dans ~/.ssh/ ).
Il est aussi demandé d'écrire la phrase de passe (il est conseillé d'utiliser au moins 14 caractères).
Par défaut, l'algorithme de chiffrement RSA est utilisé, avec une longueur de clé de 2048 bits.
Il est possible de vérifier la présence des fichiers contenant les clés ainsi :

 ls ~/.ssh/
 

Il faut maintenant envoyer au serveur la clé publique, pour que celui-ci puisse chiffrer les données.
Les clés publiques sont enregistrées sur le serveur dans le fichier :

 ~/.ssh/authorized_keys

Chaque utilisateur doit avoir un compte sur la machine. Il faut donc un fichier authorized_keys par utilisateur.

• Utiliser simplement une clé usb.

Copier sur la clé usb le fichier contenant la clé publique du client ~/.ssh/id_rsa.pub, puis copier-coller le contenu de ce fichier dans le fichier ~/.ssh/authorized_keys qui se trouve sur le serveur.

• ssh-copy-id est un script (fourni avec ssh) qui utilise ssh pour se connecter à une machine à distance en utilisant le mot de passe de l'utilisateur.
  L'authentification par mot de passe PasswordAuthentication yes doit donc être autorisée dans le fichier de configuration du serveur ssh (par défaut).
  Il change également les permissions des répertoires : ~/.ssh, et ~/.ssh/authorized_keys de l'hôte distant pour enlever l'accès en écriture du groupe (qui vous empêcherait de vous connecter si le serveur distant ssh a “StrictModes yes” dans son fichier de configuration).

À la première connexion, même avec l'utilisation d'une clé de chiffrement, il est demandé de confirmer (par yes) car le serveur n'est pas reconnu, puisqu'il n'a pas encore eu l'occasion de transmettre sa clé publique au client.

• Le montage n'est pas possible à cause des droits d'accès aux répertoires.
  

Il suffit alors de vérifier (ls -hl) et d'ajouter les droits (chmod³⁾ ug+r…) au répertoire local (Public dans l'exemple) et au répertoire distant sur le serveur (Test dans l'exemple).

• L'utilisateur n'a pas le droit de monter un système de fichier avec Fuse.
  

Aller dans le menu “Système > Administration > Utilisateurs et groupes” et cocher “Fuse” dans l'onglet “Privilèges utilisateur”.

• Le firewall n'a pas été correctement paramétré.
  

Vérifier que le port utilisé est bien ouvert sur le serveur.
Il n'y a rien à faire côté client.

Créer un petit fichier script dans lequel on écrit simplement la ligne de commande :

 sshfs utilisateur@ip_distante:/home/... 

On pourra alors créer une icône pour lancer ce script. L'utilisateur n'aura plus qu'à cliquer sur l'icône, une fenêtre graphique lui demandera la phrase de passe de la clé, et le répertoire distant apparaîtra alors sur le bureau.
De la même façon, on pourra créer une icône pour démonter le répertoire.

• Avantage : c'est simple.
• Inconvénient : aucun message d'erreur n'est renvoyé en cas de problème.

Automatiser complètement le montage en ajoutant une ligne au fichier /etc/fstab :

sshfs#utilisateur@192.168.0.1:Public Test fuse uid=1003,gid=100,umask=0,allow_other 0 0

Principal inconvénient : si le réseau n'est pas encore disponible au démarrage (c'est souvent le cas en wifi), le montage automatique ne se fera pas.

• ~/.ssh/config : configuration de ssh pour l'utilisateur.

• /etc/ssh/sshd_config : configuration du serveur pour tous les utilisateurs de la machine.

• Pour interdire l'authentification par simple mot de passe, modifier les lignes suivantes dans le fichier /etc/ssh/sshd_config

PasswordAuthentication no
UsePAM no

…sans oublier de redémarrer le démon :

 # /etc/init.d/ssh restart

• Pour indiquer au client ssh la clé qu'il doit utiliser pour chacun des serveurs, il faut spécifier dans le fichier ~/.ssh/config (ou /etc/ssh/ssh_config pour tous les utilisateurs de la machine) :

Host ServeurA
IdentityFile ~/.ssh/cleA
Host ServeurB
IdentityFile ~/.ssh/cleB

• Soigner les paramètres de /etc/ssh/sshd_config

• Dans tout les cas, il est important de regarder les logs de temps en temps. Les tentatives de connections infructueuses sont consignées dans /var/log/auth.log .

# cat /var/log/auth.log | grep Invalid

• Il est conseillé de changer le port utilisé par défaut par sshd : 22, par un numéro de port plus élevé. Cela complique ou évite certaines attaques.
  

Cela s'appelle de la sécurité par obscurité.

• Bien paramétrer son firewall…

• Fail2ban…

• Le port knocking ?…

sshfs (tout comme ssh) est très fiable et les retours d'expérience négatifs semblent être rares.

Les débits obtenus dépendent principalement des performances du réseau utilisé. Il est ainsi possible d'atteindre plusieurs centaines de mégabits par seconde.
Même avec des machines vieillissantes, le chiffrement des données ralenti peu les échanges.