Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:ssh:client [04/10/2013 07:21] smolski [La commande SSH] |
doc:reseau:ssh:client [11/01/2014 15:50] bendia |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ====== La commande SSH ====== | + | ====== SSH coté client====== |
| - | * Objet : Administration à distance avec SSH | + | * Objet : Utilisation de ssh comme client |
| * Niveau requis : {{tag>avisé}} | * Niveau requis : {{tag>avisé}} | ||
| * Commentaires : //Administrer son serveur à distance, établir un tunnel sécurisé pour relayer des ports, etc... // | * Commentaires : //Administrer son serveur à distance, établir un tunnel sécurisé pour relayer des ports, etc... // | ||
| Ligne 15: | Ligne 15: | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| - | |||
| - | ''ssh'' fonctionne sur le mode client/serveur. | ||
| - | |||
| - | Il y a : | ||
| - | * d'un côté le serveur, la machine sur laquelle on veut se connecter, et qui //écoute// par défaut sur le port 22, | ||
| - | * et de l'autre côté le client, la machine depuis laquelle on veut établir la connexion. | ||
| - | |||
| - | Dans la suite, nous présenterons les deux parties: | ||
| - | - la partie cliente : comment faire pour vous connecter à un serveur ''ssh'' existant, | ||
| - | - la partie serveur : comment configurer votre machine pour qu'elle puisse jouer le rôle de serveur ''ssh''. | ||
| - | |||
| - | ===== Client SSH ===== | ||
| Lorsque vous démarrez un ordinateur, à moins que vous n'ayez configuré de connexion automatique, il vous est demandé un nom d'utilisateur et un mot de passe. \\ | Lorsque vous démarrez un ordinateur, à moins que vous n'ayez configuré de connexion automatique, il vous est demandé un nom d'utilisateur et un mot de passe. \\ | ||
| Ligne 38: | Ligne 26: | ||
| mais cette fois, depuis votre PC à une machine distante. | mais cette fois, depuis votre PC à une machine distante. | ||
| - | ==== Installation ==== | + | ===== Installation ===== |
| Comme d'habitude, ça tient en une ligne : | Comme d'habitude, ça tient en une ligne : | ||
| Ligne 70: | Ligne 58: | ||
| - Puis vous lancez votre application graphique via le shell obtenu. | - Puis vous lancez votre application graphique via le shell obtenu. | ||
| - | === Rediriger un port local vers un port distant === | + | ==== Authentification ==== |
| - | FIXME | + | === Par nom d'utilisateur/mot de passe === |
| - | === Rediriger un port distant vers un port local === | + | Le nom d'utilisateur est spécifié dans la commande de connexion. Le serveur nous demande alors notre mot de passe pour nous connecter, de la même façon que sur une machine locale |
| + | |||
| + | <code user>ssh jojo@coincoin</code> | ||
| + | |||
| + | Ce à quoi le serveur vous répond : | ||
| + | |||
| + | jojo@coincoin's password: | ||
| + | |||
| + | |||
| + | === Par clés asymétriques === | ||
| + | |||
| + | Les mots de passes sont souvent peu complexes. On peut alors utiliser une paire de clé publique/privée plus complexe et plus sûre. | ||
| + | |||
| + | Le principe est le suivant, on génère une paire de clé. La clé privé reste sur votre poste client. La clé publique doit être transférée sur le serveur manuellement ou par le réseau. C'est cette clé qui servira alors à l'authentification. | ||
| + | |||
| + | == Création de la cle == | ||
| + | |||
| + | <code user>ssh-keygen -t dsa</code> | ||
| + | <code>Generating public/private dsa key pair. | ||
| + | Enter file in which to save the key (/home/user/.ssh/id_dsa): /home/user/.ssh/nom_fichier | ||
| + | Enter passphrase (empty for no passphrase): (mettre une passphrase qui sera demandée à chaque connexion - ou rien si c'est pas nécessaire pour vous) | ||
| + | </code> | ||
| + | Vous validez 2 fois et vous obtiendrez le résultat en détail de la création de votre cle dsa. | ||
| + | |||
| + | == Exportation de la cle == | ||
| + | |||
| + | Votre clé sera générée en 1024 bits dans votre dossier /home/votre_user/.ssh/ pour la mettre en place il vous suffit de l'exporter sur votre pc distant. | ||
| + | |||
| + | <code user>ssh-copy-id -i /home/user/.ssh/id_dsa.pub user@192.168.x.x</code> | ||
| + | mot_de_passe (serveur distant) | ||
| + | |||
| + | Notez qu'on peut égalementcopier sur la clé usb le fichier contenant la clé publique du client ''~/.ssh/id_rsa.pub'', puis copier-coller le contenu de ce fichier dans le fichier ''~/.ssh/authorized_keys'' qui se trouve sur le serveur. | ||
| + | |||
| + | A présent, lors de votre connexion, seule votre éventuelle //passphrase// iniqué lors de la génération de la clé vous sera demandé, mais plus votre mot de passe. | ||
| + | |||
| + | == ssh-agent == | ||
| FIXME | FIXME | ||
| + | |||
| + | === Navigation via SSH === | ||
| + | |||
| + | Pour voir les fichiers avec konqueror et Nautilus rien de plus simple | ||
| + | |||
| + | == Konqueror == | ||
| + | |||
| + | <code user>fish://user@192.168.x.x</code> | ||
| + | | ||
| + | == Nautilus == | ||
| + | |||
| + | <code user>ssh://user@192.168.x.x:22</code> | ||
| + | |||
| + | === Tunnel chiffré en SSH === | ||
| + | |||
| + | Il se peut que vous vouliez établir une connexion distante pour transiter des données de manière 100% transparente et sécurisée, nous allons donc établir un tunnel ssh. | ||
| + | <code root>ssh -L 5901:localhost:5900 user@80.80.80.80</code> | ||
| + | Cette technique est très utile pour relier en local un bon nombre d'utilisation, comme sur kde distant, un serveur smtp personnel, une boite mail ( pop ou imap ) personnelle, un bon nombre d'utilisations ont recours à cette technique. | ||
| + | |||
| + | **Détail sur la ligne de commande SSH :** | ||
| + | *ssh : invoque le protocole | ||
| + | *-L invoque de la création d'un tunnel crypté | ||
| + | *5901 : port coté local | ||
| + | *localhost : indique que l'accès se fera en local de manière transparente | ||
| + | *5900 : port du service distant | ||
| + | *user@80.80.80.80 : indique avec quelle user et sur quelle ip on va établir la connection. | ||
| ==== Configuration ==== | ==== Configuration ==== | ||
| Ligne 96: | Ligne 145: | ||
| <note>Dans le même fichier de configuration, vous pouvez ajouter plusieurs //alias// comme celui-ci.</note> | <note>Dans le même fichier de configuration, vous pouvez ajouter plusieurs //alias// comme celui-ci.</note> | ||
| + | |||
| + | Host ServeurA | ||
| + | IdentityFile ~/.ssh/cleA | ||
| + | Host ServeurB | ||
| + | IdentityFile ~/.ssh/cleB | ||
| + | |||
| + | |||
| Pour une liste de toutes les options disponibles, et il y en a... //une floppée// ! Tapez : | Pour une liste de toutes les options disponibles, et il y en a... //une floppée// ! Tapez : | ||
| <code user>man ssh_config</code> | <code user>man ssh_config</code> | ||
| Ligne 138: | Ligne 194: | ||
| * Utiliser ssh comme un serveur de fichiers : [[:doc:reseau:sftp | sftp installation et configuration]] | * Utiliser ssh comme un serveur de fichiers : [[:doc:reseau:sftp | sftp installation et configuration]] | ||
| - | ===== Serveur SSH ===== | ||
| - | |||
| - | ==== Installation ==== | ||
| - | |||
| - | <code root>apt-get install openssh-server</code> | ||
| - | |||
| - | ==== Configuration ==== | ||
| - | |||
| - | La configuration par défaut est très bonne. \\ | ||
| - | Si vous voulez la personnaliser, il vous faut éditer le fichier ''/etc/ssh/sshd_config'' : | ||
| - | <code user>nano /etc/ssh/sshd_config</code> | ||
| - | |||
| - | Comme d'hab', plus d'infos dans le : | ||
| - | <code user>man sshd_config</code> | ||
| - | |||
| - | ==== Recommandation importante ==== | ||
| - | |||
| - | Jojo vous recommande de ne pas ouvrir cette connection SSH tel quelle sur le net... il y a des malins qui forcent le passage pour entrer chez vous en essayant des tetra…floppées de mot de passes courants ;-). | ||
| - | |||
| - | Donc si vous voulez **exporter** une session SSH via un PC a 18 000 km :-D de chez vous, restez prudents et sécurisez-là au maximum(([[doc:systeme:securite | De la sécurité...]])), en utilisant par exemple une clé RSA (voir par la suite dans les TP) | ||
| - | |||
| - | ==== TP ==== | ||
| - | |||
| - | TODO | ||
| - | |||
| - | * Rediriger le port 22 de la freebox/livebox/whateverbox vers votre machine pour vous connecter chez vous depuis l'extérieur | ||
| - | * Utilisation de clés RSA | ||
| - | * Configuration de SSH comme serveur de fichier. | ||
