wiki : ssh - Mis à Jour et copié.

smolski · 14-07-2009 05:37:13

Là, les serveurs :
SSH - TP les clés RSA ou DSA

et là, le ssh en ligne de commande :
SSH - Comment ça marche...

Il s'agirait de les regrouper...
Comme je suis en plein à utiliser ssh, je m'y colle.

Amitié, Joel

Edit :
Merci MicP

Dernière modification par smolski (15-07-2009 20:22:56)

smolski · 14-07-2009 12:12:54

Le mixage proposé ci-dessous, je le copie où ?

- Mè où céti..?
- Mè où céti donc que j'le copie ?
- Hein ?
- A tout petit petit petit pas...
- Hawaïiiiiii....

Quoi Bobby... quoi Bobby... Lapointe ? Tchibâââ !

Installation

L'installation est d'une simplicité déconcertante
# aptitude install ssh

Et voilà le serveur est maintenant prêt à recevoir les premières connexions sur le port 22

Sous openSUSE le SSH est configuré avec un niveau de sécurité très faible, pour ce connecter en local à un PC distant il suffit de faire comme ceci.
$ ssh user@192.168.1.x
mot_de_passe

Remplacer user par votre login sur le second PC et le x par la véritable ip de votre machine hôte, vous devrez répondre à la question par yes et saisir votre mot de passe de session.

ATTENTION !

Je vous recommande de ne pas exporter cette connection SSH tel quelle sur le net… Il y a des malins qui force le passage pour entrer chez vous, donc si vous voulez exporter une session SSH via un PC a 18 000 km de chez vous faites une configuration avancée.

====== Commandes ssh ======

[[commande:ssh|LES COMMANDES SSH]]

Configuration avancée

RSA ou DSA ?

RSA : est un algorithme utilisé pour le protocole ssh 1 et 2, c'est un protocole propriétaire qui est moins bien mis à jour et n'est plus conseillé dans le protocole 2
ATTENTION !
Des faits nouveaux donnent à penser que RSA n'est plus d'actualité pour générer une clé. Choisir DSA, comme indiqué ci-après. Merci à phlinux de nous tenir informé de ses tests et essais en la matière... Trop bon ce phlinux... Yep !

DSA : est un algorithme utilisé à partir du protocole 2 de ssh, c'est un algorithme libre qui est très bien maintenu, il offre une meilleure sécurité à ce jour, il est conseillé en priorité dans un environnement type ssh2.

Générer une clé

Pourquoi ne pas autoriser les connexions uniquement par clefs privés/public et interdire les connections standards où les mots de passes passent en clair.

Le but est de se passer du mot de passe qui au niveau sécurité est trop faible, alors nous allons généré une clée cryptée unique pour votre PC.
$ ssh-keygen -t dsa

Votre clé sera générée en 1024 bits dans votre dossier /home/user/.ssh/ pour la mettre en place il vous suffit de l'exporter sur votre pc distant
Vérifier que la clef dans le fichier se termine bien par votre adresse ip ( Ip Internet ) et non par le nom de votre poste. Si ce n'est pas le cas, remplacer le nom par votre adresse ip
$ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x :/home/user/.ssh/authorized_keys
mot_de_passe

Voilà votre clé est en place, maintenant passons à la sécurité de votre système.
Sécurisé SSH

Il suffit d'éditer le fichier sshd_config en root sur le PC distant. Le fichier se trouve dans le dossier /etc/ssh/

# nano /etc/ssh/sshd_config

Puis de modifier les arguments suivant « le cas est pris pour une connection uniquement par clé » :

PermitRootLogin no -> évite la connection root « plus que recommandé »
RSAAuthentication yes -> active la reconnaissance RSA
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys -> va uniquement chercher la clé sur ce fichier
PasswordAuthentication no -> désactive la connection par mot de passe
PermitEmptyPasswords no -> désactive les mots de passe vide
UsePAM no -> désactive la connection par mot de passe
AllowUsers votrelogin secondlogin -> restreint l'accès à votre login uniquement
DenyUsers test guest admin root snort apache nobody -> interdire l'accès à certains users, pour les paranos...
MaxStartups 1 -> limite la connection, normalement 6 par défaut

Restreindre la connexion à un utilisateur

Moins de monde autorisé à se connecter via ssh, moins de risques il y aura…

AllowUsers monuserquipeutseconnecter

Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin

*
Restreindre la connexion à un groupe

dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe.

AllowGroups mongroupadmin
Les options qu'il est conseillé de changer dans un premier temps sont :

*
Le port ( défaut 22 )

Nous allons le mettre ici à 10010

Port 10010

Une fois configuré il vous suffit de relancer SSH, à faire en root :

# /etc/init.d/sshd restart

Navigation via SSH

Pour voir les fichiers avec konqueror et Nautilus rien de plus simple
Konqueror
$ fish://user@192.168.1.x

Nautilus

$ ssh://user@192.168.1.x:22

Pour te connecter sur un serveur ssh qui n'a pas le port 22 par défaut.
$ ssh mattux@mon.serveur.org -p 10010

-p 10010 bien sûr à adapter au port ouvert, son numéro !

Avec la configuration de base le mot de passe de la session vous sera demandé, avec la clé rien ne vous sera demandé.

Aller plus loin

Tunnel crypté en SSH
Création du tunnel SSH

Il se peut que vous vouliez établir une connexion distante pour transiter des données de manière 100% transparente et sécurisée, nous allons donc établir un tunnel ssh.
# ssh -L 5901:localhost:5900 user@80.80.80.80

Cette technique est très utile pour relier en local un bon nombre d'utilisation, comme sur kde distant, un serveur smtp personnel, une boite mail ( pop ou imap ) personnelle, un bon nombre d'utilisation on recourt à cette technique.

Dernière modification par smolski (01-11-2009 22:08:44)

phlinux · 14-07-2009 18:20:22

Bjr,
Pour ce qui concerne le changement du port 22 vers un autre (10000 dans l'exemple du wiki).
Inscrire clairement que la modif doit être également faites sur le poste client (chez moi dans /etc/ssh/ssh_config).
A moins que openssh ne soit pas configuré pareil ?

Autre point :
"Vérifier que la clef dans le fichier se termine bien par votre adresse ip ( Ip Internet ) et non par le nom de votre poste. Si ce n'est pas le cas, remplacer le nom par votre adresse ip"
Dans ma tentative c'est effectivement le nom d'hôte qui est retenu. Donc je dois mettre une ip, mais laquelle ? L'ip fixe de /etc/network/interfaces ?

Dernière modification par phlinux (14-07-2009 18:25:07)

smolski · 14-07-2009 18:26:54

Tsop phlinux !

Tu peux m'indiquer plus en détail où dans le tuto et comment l'écrire, merci de ton regard...

Amitié, Joel

phlinux · 15-07-2009 00:13:12

re-
[small]' tain je dis plus rien moi...si faut bosser...[/small]

Bon ok, c'est là > http://debian-facile.org/wiki/config:ssh dans ce para...enfin là

le port 10010 doit être aussi écrit chez le client, non ?

Quant à l'ip j'ai mis l'ip fixe du poste client en fin de clé, mais je ne sais pas si c'est sécurisé du coup

Dernière modification par phlinux (15-07-2009 00:22:11)

MaTTuX_ · 15-07-2009 00:49:11

tu es pas obligé de modifier le client a part si c est permanent sinon :

ssh mattux@mon.serveur.org -p 10010

pour te connecter sur un serveur ssh qui a pas le port 22 par defaut.

Salut

MaTTuX_

phlinux · 15-07-2009 09:37:24

Re-
Très juste. Est-ce que cette commande transite en clair sur le réseau ?

Quelque soit le choix il faut le préciser dans le wiki, non ?

smolski · 15-07-2009 14:26:42

Bon, comme soulevé sur le poste1, il s'agirait de regrouper les 2 tutos, avec une rédac en cours proposée post2.

Doit-on rajouté cette variation du port de 20 à 10010 ? Et donc votre discussion là au-dessus...

Et où choisissons-nous de mettre cette nouvelle rédaction... Dans les commandes ou dans les serveurs ? Messeigneurs... Hé hé hééé... façon Bossu Jean Marais !

Yop ?

Amitié, Joel

MaTTuX_ · 15-07-2009 15:59:54

les commandes ne sont pas en clair voir definition de SSH :

Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les trames sont chiffrées. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur. Le protocole SSH a été conçu avec l'objectif de remplacer les différents programmes rlogin, telnet et rsh.

Smolski mets la dans les deux car c est une commande aussi
Salutation

MaTTuX_

phlinux · 15-07-2009 18:56:58

re-
Tiens @smolski, comme un onc j'ai tenté la génération de la clé par rsa. Pas moyen de moyenner : accès par ssh bloqué (obligé de remettre un écran sur le serveur). Par contre dsa nickel, vite fait.

Peut p't'êt alléger le wiki, toua ?

smolski · 15-07-2009 19:54:12

dac phlinux, je moyen de modif tuto pas ok... Merci

Edit :
C'est fait !

Dernière modification par smolski (15-07-2009 19:57:58)

smolski · 15-07-2009 20:24:47

Comme indiqué par MaTTux, la copie est doublée entre
configurer un serveur ssh
et
la commande ssh
Mêmes liens que post1

Merci les grands
de nous instruire tant
Tontaine...

Amitié, Joel

Dernière modification par smolski (15-07-2009 20:26:15)

phlinux · 17-07-2009 15:33:10

re-
Pour être honnête, mon problème avec rsa aurait apparemment une solution, puisque ça fonctionne chez d'autres > http://forum.debian-fr.org/viewtopic.php?f=3&t=21877
Donc il faut peut être réviser le wiki. Désolé, Joel

smolski · 17-07-2009 17:41:53

C'est un plaisir phlinux...

De toute façon, je n'ai pas encore été jusqu'à créer une clé et tout l'toutim.
Je travaille en reseau local exclusivement et passe un peu (beaucoup...) par-dessus pas mal de sécurités...

J'attends donc que les résolutions se fassent chez ceuss qui sont actuellement concernés, comme une grosse feignasse des doigts et des neurones, puis je transcris et étudie les conclusions.

Trôôô belle la vie, des fois... Yep !

Amitié, Joel

MaTTuX_ · 17-07-2009 20:52:23

phlinux a écrit :

re-
Tiens @smolski, comme un onc j'ai tenté la génération de la clé par rsa. Pas moyen de moyenner : accès par ssh bloqué (obligé de remettre un écran sur le serveur). Par contre dsa nickel, vite fait.

Peut p't'êt alléger le wiki, toua ?

Tu en dirais plus sur ton erreur on pourrai t aider

MaTTuX_

phlinux · 17-07-2009 22:41:52

>> VOIR ICI

phlinux · 09-08-2009 21:54:06

Re-
Je viens d'installer un nouveau pc distant, vers lequel on se connecte en ssh.
En fait j'ai galéré un moment car sur ce pc je n'avais pas créé de compte au nom de celui qui se connecte. Par exemple j'ai un user "dvd" sur le distant et "phlinux" sur le local : connexion refusée pour ce dernier et donc obligé de lui créer un /home.
Je ne sais pas si c'est la seule solution, mais il ne me semble pas voir cela dans le tuto du dessus

smolski · 10-08-2009 08:10:19

Salut phlinux !

Serait-ce une ambiguîté dans cette rédaction là :

Remplacer user par votre login sur le second PC et le x par la véritable ip de votre machine hôte,

qu'il faudrait lire :

Remplacer user par le login du PC serveur et le x par la véritable ip du même PC serveur également,

Car je crois comprendre que tu as utilisé le nom de l'user sur le PC d'où tu tapes la commande ssh (PC hôte)...
Et non l'user (et le passwd) de celui du PC serveur (le PC où tu veux te diriger...)

Yop ?

Auquel cas, une reformulation est indispensable...

Quid des bonnes volontés ?
Je sors coquine (dans sa robe gitane rose pâle... mmmmmmmmh !) pour quelques courses ce matin...

Amitié, Joel

Dernière modification par smolski (10-08-2009 08:11:08)

phlinux · 10-08-2009 09:56:17

Re-
Pas exactement.
1 - D'après ma galère d'hier, il faut que le user en local ait un /home sur le serveur. Ce qui se tient pour la correspondance de la clé dsa (ou rsa)

2 - Ou, peut être, que le user en local doit faire partie du groupe du user principal sur le serveur ? A essayer ou à confirmer par les connaisseurs

Donc, je n'ai pas vu, ou cela n'est pas formulé dans le tuto

smolski · 17-08-2009 07:37:22

phlinux,

Dans ton fichier : /etc/ssh/sshd_config
as-tu les paramètres désignés ci-après :

PermitRootLogin no -> évite la connection root « plus que recommandé »
RSAAuthentication yes -> active la reconnaissance RSA
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys -> va uniquement chercher la clé sur ce fichier
PasswordAuthentication no -> désactive la connection par mot de passe
PermitEmptyPasswords no -> désactive les mots de passe vide
UsePAM no -> désactive la connection par mot de passe
AllowUsers votrelogin secondlogin -> restreint l'accès à votre login uniquement
DenyUsers test guest admin root snort apache nobody -> interdire l'accès à certains users, pour les paranos...
MaxStartups 1 -> limite la connection, normalement 6 par défaut

Comme indiqué dans le tuto ?
Je pense que oui, mais une confirmation serait le bienvenu... Yop !

Perso, je n'utilise pas de clé...

Amitié, Joel

phlinux · 14-10-2009 11:56:21

Bjr-
Sur cette page http://debian-facile.org/wiki/config:ssh
Dans la ligne de commande

Si ce n'est pas le cas, remplacer le nom par votre adresse ip.

$ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x/home/user/.ssh/authorized_keys
mot_de_passe

Voilà votre clé est en place, maintenant passons à la sécurité de votre système.

veiller à mettre " : " après l'ip du serveur

smolski · 14-10-2009 12:05:44

Tchop ?

$ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x/home/user/.ssh/authorized_keys
mot_de_passe
devient :
$ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x : /home/user/.ssh/authorized_keys
mot_de_passe
avec les espaces entre les deux points ?

No comprendo là !

A mi doué, Joel

phlinux · 14-10-2009 13:28:54

re-
Non pas d'espaces, juste les 2 points (enfin pas d'espaces horizontaux, juste vertical)
A vérifier bien sur, mais sur mon pc "@192.168.1.x/home" ça passe pas

smolski · 14-10-2009 13:50:58

Toujours pas compris la manoeuvre phlinoux !

Je dois mollassionner du cervical...
Tu peux écrire la modification qui marche en clair ?

Tchap !

phlinux · 14-10-2009 19:18:08

re-
Voilà

$ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x :/home/user/.ssh/authorized_keys

Debian-facile

#1 14-07-2009 05:37:13

wiki : ssh - Mis à Jour et copié.

#2 14-07-2009 12:12:54

Re : wiki : ssh - Mis à Jour et copié.

#3 14-07-2009 18:20:22

Re : wiki : ssh - Mis à Jour et copié.

#4 14-07-2009 18:26:54

Re : wiki : ssh - Mis à Jour et copié.

#5 15-07-2009 00:13:12

Re : wiki : ssh - Mis à Jour et copié.

#6 15-07-2009 00:49:11

Re : wiki : ssh - Mis à Jour et copié.

#7 15-07-2009 09:37:24

Re : wiki : ssh - Mis à Jour et copié.

#8 15-07-2009 14:26:42

Re : wiki : ssh - Mis à Jour et copié.

#9 15-07-2009 15:59:54

Re : wiki : ssh - Mis à Jour et copié.

#10 15-07-2009 18:56:58

Re : wiki : ssh - Mis à Jour et copié.

#11 15-07-2009 19:54:12

Re : wiki : ssh - Mis à Jour et copié.

#12 15-07-2009 20:24:47

Re : wiki : ssh - Mis à Jour et copié.

#13 17-07-2009 15:33:10

Re : wiki : ssh - Mis à Jour et copié.

#14 17-07-2009 17:41:53

Re : wiki : ssh - Mis à Jour et copié.

#15 17-07-2009 20:52:23

Re : wiki : ssh - Mis à Jour et copié.

#16 17-07-2009 22:41:52

Re : wiki : ssh - Mis à Jour et copié.

#17 09-08-2009 21:54:06

Re : wiki : ssh - Mis à Jour et copié.

#18 10-08-2009 08:10:19

Re : wiki : ssh - Mis à Jour et copié.

#19 10-08-2009 09:56:17

Re : wiki : ssh - Mis à Jour et copié.

#20 17-08-2009 07:37:22

Re : wiki : ssh - Mis à Jour et copié.

#21 14-10-2009 11:56:21

Re : wiki : ssh - Mis à Jour et copié.

#22 14-10-2009 12:05:44

Re : wiki : ssh - Mis à Jour et copié.

#23 14-10-2009 13:28:54

Re : wiki : ssh - Mis à Jour et copié.

#24 14-10-2009 13:50:58

Re : wiki : ssh - Mis à Jour et copié.

#25 14-10-2009 19:18:08

Re : wiki : ssh - Mis à Jour et copié.

Pied de page des forums