Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
doc:reseau:ssh:sshfs [11/01/2014 15:47] bendia |
doc:reseau:ssh:sshfs [15/01/2019 14:08] (Version actuelle) kawer [sshfs : partage de fichiers sécurisé] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ====== Partage de fichiers sécurisé avec sshfs ====== | + | ====== sshfs : partage de fichiers sécurisé ====== |
| * Objet : Comment partager des fichiers simplement, efficacement et de manière sécurisée | * Objet : Comment partager des fichiers simplement, efficacement et de manière sécurisée | ||
| Ligne 5: | Ligne 5: | ||
| * Commentaires : Avoir un accès sur un serveur ssh | * Commentaires : Avoir un accès sur un serveur ssh | ||
| * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
| - | * Suivi : {{tag>en-chantier à-tester}} | + | * Suivi : {{tag>à-compléter à-tester}} |
| - | * Création par <vous> <date> | + | * Création par [[user>smolski]] le 19/04/2010 |
| - | * Testé par <...> le <...> FIXME | + | * Testé par kawer en 2018 |
| - | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=2190 | Lien vers le forum concernant ce tuto]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | + | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=2190 | ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) |
| + | |||
| ===== Introduction ===== | ===== Introduction ===== | ||
| Ligne 56: | Ligne 58: | ||
| * **L'utilisateur n'a pas le droit de monter un système de fichier avec Fuse.** \\ | * **L'utilisateur n'a pas le droit de monter un système de fichier avec Fuse.** \\ | ||
| - | Aller dans le menu "Système > Administration > Utilisateurs et groupes" et cocher "Fuse" dans l'onglet "Privilèges utilisateur". | + | Il faut ajouter l'utilisateur au groupe fuse. |
| + | |||
| + | <code root>adduser votre-utilisateur fuse</code> | ||
| + | |||
| + | Puis, il faut redémarrer la session utilisateur | ||
| * **Le firewall n'a pas été correctement paramétré.** \\ | * **Le firewall n'a pas été correctement paramétré.** \\ | ||
| Ligne 68: | Ligne 74: | ||
| Créer un petit fichier script dans lequel on écrit simplement la ligne de commande : | Créer un petit fichier script dans lequel on écrit simplement la ligne de commande : | ||
| - | <code bash>#!/bin/bash | + | <file bash mon_script>#!/bin/bash |
| sshfs utilisateur@ip_distante:/chemin/du/partage | sshfs utilisateur@ip_distante:/chemin/du/partage | ||
| - | </code> | + | </file> |
| en adaptant le //chemin/du/partage// évidemment ;-) | en adaptant le //chemin/du/partage// évidemment ;-) | ||
| Ligne 83: | Ligne 89: | ||
| sshfs#utilisateur@192.168.0.1:Public Test fuse uid=1003,gid=100,umask=0,allow_other 0 0 | sshfs#utilisateur@192.168.0.1:Public Test fuse uid=1003,gid=100,umask=0,allow_other 0 0 | ||
| + | | ||
| Principal inconvénient : si le réseau n'est pas encore disponible au démarrage (c'est souvent le cas en wifi), le montage automatique ne se fera pas. :-( | Principal inconvénient : si le réseau n'est pas encore disponible au démarrage (c'est souvent le cas en wifi), le montage automatique ne se fera pas. :-( | ||
| - | ==== Montage automatique par autofs ==== | + | <note tip> |
| + | **Approfondissements dans /etc/fstab** | ||
| - | <note>En construction...</note> | ||
| + | utilisateur@hote:/repertoire/distant/ /repertoire/local/ fuse.sshfs [port=PORT],umask=0,defaults,noauto,user,uid=[UID],gid=[GID],noatime,allow_other,_netdev 0 0 | ||
| - | ===== Les différents fichiers de configuration ===== | ||
| - | * ~/.ssh/config : configuration de ssh pour l'utilisateur. | + | * L'ajout de _netdev permet d'attendre que le réseau soit monté avant de monter le répertoire distant. \\ |
| - | + | * noauto le point de montage sera visible dans Nautilus par exemple, mais pas encore monté réellement (le montage pourra alors être effectif "au clic") | |
| - | * /etc/ssh/sshd_config : configuration du serveur pour tous les utilisateurs de la machine. | + | * Pour un peu plus de souplesse, ajouter la directive user_allow_other au fichier /etc/fuse.conf \\ |
| - | + | </note> | |
| - | * Pour interdire l'authentification par simple mot de passe, modifier les lignes suivantes dans le fichier /etc/ssh/sshd_config | + | |
| - | + | ==== Montage automatique par autofs ==== | |
| - | PasswordAuthentication no | + | |
| - | UsePAM no | + | |
| - | ...sans oublier de redémarrer le démon : | + | |
| - | # /etc/init.d/ssh restart | + | |
| - | + | ||
| - | * Pour indiquer au client ssh la clé qu'il doit utiliser pour chacun des serveurs, il faut spécifier dans le fichier ~/.ssh/config (ou /etc/ssh/ssh_config pour tous les utilisateurs de la machine) : | + | |
| - | + | ||
| - | Host ServeurA | + | |
| - | IdentityFile ~/.ssh/cleA | + | |
| - | Host ServeurB | + | |
| - | IdentityFile ~/.ssh/cleB | + | |
| - | + | ||
| - | + | ||
| - | ===== Sécuriser ssh ===== | + | |
| - | + | ||
| - | * Soigner les paramètres de /etc/ssh/sshd_config | + | |
| - | + | ||
| - | * Dans tout les cas, il est important de regarder les logs de temps en temps. Les tentatives de connections infructueuses sont consignées dans /var/log/auth.log . | + | |
| - | + | ||
| - | # cat /var/log/auth.log | grep Invalid | + | |
| - | * Il est conseillé de changer le port utilisé par défaut par sshd : ''22'', par un numéro de port plus élevé. Cela complique ou évite certaines attaques. \\ | + | <note>TODO</note> |
| - | Cela s'appelle de la sécurité par obscurité. | + | |
| - | * Bien paramétrer son firewall... | ||
| - | * Fail2ban... | ||
| - | * Le port knocking ?... | ||
