Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 10-04-2011 10:57:48

Zabuca
Membre
Distrib. : Wheezy
Noyau : Linux 3.2.0-4-amd64
Inscription : 10-04-2011

[Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Bonjour,

Je suis nouveau sur Debian Facile.

Je viens de me créer un serveur ssh avec une Debian squeeze en utilisant la méthode avancée du Wiki (cad clefs privés/public). Je n'ai aucun problème de connexion sur le serveur, mais je m'interroge sur sécurité de se connecter de cette manière !

En effet, en surfant sur le sujet, je me suis aperçu qu'il y avait la possibilité de créer un tunnel sécurisé entre le serveur et la machine cliente. C'est pour ça que je pose la question si la connexion par clefs est vraiment sûr pour taper quelques commandes à distance et se connecter en root pour effectuer des maj ?

En vous remerciant de m'accorder un peu de temps.

Je vous souhaite une bonne journée.

Dernière modification par Zabuca (14-04-2011 21:24:20)

Hors ligne

#2 10-04-2011 12:41:55

Pollux
Membre
Distrib. : Squeeze
Noyau : 2.6.32
(G)UI : aucune
Inscription : 19-11-2009

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

la connexion SSH est toujours par clé, ce que tu fait je suppose, c'est une connexion automatique ? il n'y a aucun soucis avec sa, à moins de ce faire piquer sa clé privé.

Hors ligne

#3 10-04-2011 13:34:22

Zabuca
Membre
Distrib. : Wheezy
Noyau : Linux 3.2.0-4-amd64
Inscription : 10-04-2011

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Merci de m'avoir répondu.

Effectivement, j'utilise une connexion automatique (clef privé), avec une "passphrase".

En revanche, je ne dois pas avoir compris l'utilité d'un tunnel sécurisé avec ssh ! A quoi sert-il alors ?

Hors ligne

#4 10-04-2011 16:20:21

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

A plein de chose, ton serveur est dans le reseau local ou non ?

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#5 10-04-2011 16:30:17

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Salut,

Options -R et  -L permettent à ssh de créer des << tunnels chiffrés >> entre deux machines, deportant de manière sécurisée un port TCP local vers une machine distante ou vice versa. Dans ton cas, il s'agit de créer des connexions vers le port 25 de la machine serveur, qui passent au travers du tunnel SSH établi entre la machine locale et la machine intermediaire. Entrée du tunnel est le port 8000 local, et les données transitenet vers intermediaire avant de se diriger vers serveur sur le réseau << public >>

Dernière modification par arien (11-04-2011 00:37:10)

#6 10-04-2011 16:35:31

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Euhh le 25 c est le port smtp

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#7 10-04-2011 17:08:09

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Salut M.

Je ne suis pas un grand spécialiste comme Toi (12 serveurs) Je voulus mettre XX a la place de 25 mais comme d'hab j'envoyai trop vite. Il faut absolument le port 80  ? Il faut absolument le port 8000 ?
http://www.iana.org/assignments/port-numbers

Dernière modification par arien (11-04-2011 00:40:56)

#8 10-04-2011 17:45:15

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

il vaut mieux utiliser des ports superieur a 1024

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#9 10-04-2011 18:17:18

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Je compte de récréer un serveur sous Squeeze et dans mon cahier perso qui date un peu (Etch/Lenny testing) j'ai ça.

ssh -L 8000:serveur:25 intermediaire lance un ssh qui établit une session vers intermediaire tout en écoutant le port 8000 local. Tout connexion établie sur ce port fera débuter par ssh une connexion de l'ordinateur intermediaire vers le port 25 de serveur, à laquelle ssh la reliera.


Peux-tu éventuellement me traduire/actualiser ce texte en trois mots.....J'ai la mémoire qui flanche.

#10 10-04-2011 21:17:40

Zabuca
Membre
Distrib. : Wheezy
Noyau : Linux 3.2.0-4-amd64
Inscription : 10-04-2011

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

A MaTTuX_ : Mon serveur est dans un réseau local.

A arien : je comprends bien ton explication, mais quand je me logue sur le serveur, je n'utilise que la commande "ssh login@ip" et il va me chercher ma clef privé en auto, et non "ssh -R ou -L", c'est pour ça que je me pose des questions sur ma façon de faire, je n'ai pas envie de me faire pirater mon serveur !

D'ailleurs, quand je fais une copie de fichier, j'utilise la commande "scp", les données transitent bien cryptées en me connectant avec "ssh login@ip" sans options ?

Je dois me faire des nœuds au cerveau à force de trop réfléchir...

Hors ligne

#11 10-04-2011 23:33:54

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Yep!

L'interêt et l'avantage d'utiliser une connection de type ssh réside dans le fait que les données qui transitent sur le réseau sont cryptées, donc trés trés difficile à déchiffrer.

Avant, il était coutumier d'utiliser son pendant appelé Telnet. Le gros inconvénient de celui-ci est que les données transitaient en "clair". Si un individu analyse ce type de transaction, il apercevrait les mots de passe comme dans un fichier texte, c-a-d qu'il n'aurait aucun besoin d'utiliser d'algorithme complexe pour déchiffrer le contenu.
Ainsi, le ssh, ftps, sftp, vpn sont des tunnels qui utilisent des clés de vérouillage mathématiques. Sans ces clés, impossible de parler le même language, de se comprendre et celui qui ne possède pas la première clé est rejeté tout simplement. Un pirate informatique abandonnera systématiquement tant la tâche est ardue et consommateur de temps.

Si tu crains pour ton serveur, ce n'est pas dans le protocole que tes craintes doivent se fonder. Ce protocole est sûr. Mais bien plus dans la manière d'administrer ton serveur, dans la manière dont tu gères tes administrés, tes services, tes logiciels,etc.

Dans ce cas, la machine ne fait pas d'erreur. Elle a certe ses faiblesses, à nous de les comprendre et de les soulager.

Cher Arien,

Ta commande s'appelle du port forwarding, elle consiste à créer un tunnel entre le port 22 (ssh) du serveur et le port 25 (smtp) de celui-ci, le port 8000 (local) servant de refuge. Ideal si on n'a pas d'accés direct au port 25.

@+

Zoroastre.

Hors ligne

#12 11-04-2011 00:26:09

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Salut Zoroastre 74,

arien a écrit :

Je compte de récréer un serveur sous Squeeze et dans mon cahier perso qui date un peu (Etch/Lenny testing) j'ai ça.


Comme tu vois je suis en retard, effectivement le protocole telnet a été le pire du point de vue de la securité.

zoroastre74 a écrit :

Ta commande s'appelle du port forwarding, elle consiste à créer un tunnel entre le port 22 (ssh) du serveur et le port 25 (smtp) de celui-ci, le port 8000 (local) servant de refuge. Ideal si on n'a pas d'accés direct au port 25.


Merci pour ton explication. Je viens d'étudier ce petit tuto et j'ai eu un éclair dans mon cerveau ( j'imagine peut-être ) es-que c'est la bonne commande à ce jour ?

 #  ssh -L 8001:localhost:8000 user@80.80.80.80


@Zabuca. Options -R et -L c'est justement pour créer des tunnels chiffres.

Dernière modification par arien (11-04-2011 13:00:31)

#13 11-04-2011 07:42:35

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Yep!

Cher Arien,

Topo : ssh -L 8000:client:25 SERVER

CLIENT                                               SERVER
22 (ssh) ---------------------------------> 22 (ssh)
                                                                |
                                                                |
                         tunnel                             |       
8000 <----------------------------------> 25 (smtp)

Ainsi tu as accés au protocole smtp en local grace au port forwarding.

!!!

ssh -L 8001:localhost:8000 user@80.80.80.80


Ici tu crée un tunnel entre le port 8000 de (80.80.80.80) et le port 8001 (localhost).

@+

Zoroastre.

Hors ligne

#14 11-04-2011 13:02:28

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Salut,

Tout s'explique bien évidement comme d'habitude sous Debian. En revanche je me pose la question sur les ports à utiliser :

irdmi           8000/tcp    iRDMI
irdmi           8000/udp    iRDMI
#                           Gil Shafriri <shafriri&ilccm1.iil.intel.com>
vcom-tunnel    8001/tcp    VCOM Tunnel
vcom-tunnel    8001/udp    VCOM Tunnel


@+

#15 11-04-2011 18:11:40

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Yep!

Comme te l'as signifié MaTTuX_, il est indispensable d'utiliser pour ce type de tunnel ou bien même dans certaines circonstances, des ports autres que les 1024 premiers (de 0 à 1023).
En effet, ceux-ci sont réservés aux systèmes d'exploitation selon une convention établie lors de la création des protocoles tcp/ip (usa, vers 1960 lors de la guerre froide).

Ainsi, les protocoles réseaux ont été définis. Le ftp, 21, ssh, le 22, dns, le 53, http, le 80, ntp, smtp, icmp, netbios, etc. Il est évident que dans l'hypothèse où tu décides de créer un serveur web sur le port 53, tu te priverais de toutes résolutions des noms de domaine...il se peut d'ailleurs que ton serveur ne démarre jamais en raison de conflit entre services.

Tu peux trés bien créer un serveur ftp sur le port 21 (il est fait pour çà) comme tu peux décider d'occuper le port 2121 ou 10000 ou 35665. La différence se situera au niveau du client qui aura à connaître le port du serveur et à renseigner son logiciel en circonstance.
D'ailleurs, les procédures de connections sont elles aussi conventionnées : login:mot_de_passe@ip_serveur:port_serveur

Tu évoques également tcp et udp, ce sont tous deux des couches de transports (c-a-d la manière dont sont empaquetés les données), le premier est une version "verbose" des coms, le second, certes plus rapide, ne te retourne pas d'erreur sur la com (pas d'accusé de reception, pas de confirmation de l'envoi). Tout dépend de ce que tu envoies et de la garantie nécessaire à apporter aux données. Si tu envoies à répetition sur un serveur une constante, le udp peut trés bien faire l'affaire.

@+

Zoroastre.

Dernière modification par zoroastre74 (11-04-2011 18:20:26)

Hors ligne

#16 11-04-2011 19:15:30

Zabuca
Membre
Distrib. : Wheezy
Noyau : Linux 3.2.0-4-amd64
Inscription : 10-04-2011

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Encore merci de vos explications.

Juste un petit exemple pour voir si j'ai bien compris :

- Si je veux administrer, copier des données vers un autre pc, lancer un téléchargement, etc sur le serveur, je n'ai qu'à me logué avec "ssh login@ip" ?

- Si je veux accéder depuis l'extérieur à une ressource "samba", il faut que je créé un tunnel sécurisé avec "ssh -L 8001:localhost:8000 user@80.80.80.80", et ensuite utiliser le port local de la machine cliente pour obtenir les données ?

A+

Zabuca

Hors ligne

#17 12-04-2011 00:21:46

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Yep!

Pour ssh login@ip c tout bon wink

Pour ssh -L 8001:localhost:8000 user@80.80.80.80, je vais dire théoriquement oui dans le cas où ton serveur samba utilise le port 8000.
Il y a longtemps que je n'ai pas mis en place de partage de ce type (wahou presque 10 ans!), mais à mon souvenir, les partages réseaux de type samba utilisent une paire (ou 3) ports (137, 138, udp_445, ???).

@+

Zoroastre.

Hors ligne

#18 12-04-2011 09:36:46

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Salut,

Le réseau Internet, et la plupart des réseaux locaux qui y sont raccordés, fonctionnent en mode paquet et non en mode connecté, c'est-à-dire qu'un paquet émis depuis un ordinateur en direction d'un autre va s'arrêter sur plusieurs routeurs intermédiaires pour être acheminé jusqu'à sa destination. On peut néanmoins simuler un fonctionnement connecté, selon lequel le flux est encapsulé dans des paquets IP normaux; ces paquets suivent leur chemin habituel, mais le flux est restitué tel quel à destination. On parle alors de << tunnel >>, par analogie avec un tunnel routier, dans lequel les véhicules roulent directement de l'entrée à la sortie sans rencontrer de carrefours, par opposition au trajet en surface qui impliquerait des intersections et des changements de direction.
On peut profiter de l'opération pour ajouter du chiffrement au tunnel: le flux qui y circule est alors méconnaissable de l'extérieur, mais il est restauré à son état de flux en clair à la sortie du tunnel.
Maintenant, va savoir si c'est ce vraiment indispensable ? Merci a Zoroastre pour ses l'éxplications.

#19 12-04-2011 10:06:54

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Aye aye aye !

Tellement que cette explication du tunnel m'a plu que je l'ai ajouté au wiki df là :
http://debian-facile.org/doc:reseau:int … #le_tunnel

Tchibâââ ! lol

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#20 12-04-2011 13:30:50

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

smile et smile
@

Dernière modification par arien (13-04-2011 00:22:11)

#21 14-04-2011 21:14:53

Zabuca
Membre
Distrib. : Wheezy
Noyau : Linux 3.2.0-4-amd64
Inscription : 10-04-2011

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Bonsoir à tous,

Je vous remercie de m'avoir répondu à mes interrogations concernant SSH.

Très bonne analogie avec le tunnel routier "arien", et bonne initiative de l'avoir ajouté au wiki "smolski", je pense que ça va en aider plus d'un...

Je passe le sujet en résolu.

Bonne soirée,

Zabuca

Hors ligne

#22 15-04-2011 10:54:05

Invité-5
Banni(e)

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Salut,

Peux-tu remplir infodistri dans ton Profil ? Le tuto est là :
http://debian-facile.org/atelier:indications-forum

#23 15-04-2011 17:56:08

Zabuca
Membre
Distrib. : Wheezy
Noyau : Linux 3.2.0-4-amd64
Inscription : 10-04-2011

Re : [Résolu] - Connexion SSH par clefs privé/public où par tunnel crypté ?

Ok, pas de problème.

Hors ligne

Pied de page des forums