• Objet : Utilisation de ssh comme client
• Niveau requis :

  avisé
• Commentaires : Administrer son serveur à distance, établir un tunnel sécurisé pour relayer des ports, etc…
• Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !.
• Suivi :

  en-chantier
  • Création par <vous> <date>
  • Testé par <…> le <…>
• Commentaires sur le forum : Lien vers le forum concernant ce tuto¹⁾

Contributeurs, les sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli !

Lorsque vous démarrez un ordinateur, à moins que vous n'ayez configuré de connexion automatique, il vous est demandé un nom d'utilisateur et un mot de passe.
C'est le processus de login qui vous permet de vous authentifier en tant qu'utilisateur de la machine.
À l'issue de cette authentification, vous avez accès à une interface vous permettant de lancer des commandes, souvent une interface graphique comme shell.

Le principe ici va être le même :
via un canal sécurisé²⁾ vous allez fournir

1. un nom d'utilisateur et
2. un mot de passe

mais cette fois, depuis votre PC à une machine distante.

Comme d'habitude, ça tient en une ligne :

apt-get install openssh-client

Pour pouvoir accéder à une machine via la couche IP (qu'utilise SSH), il nous faut :

• soit l'adresse IP de la machine,
• soit son nom d'hôte.

Par exemple, pour se connecter au serveur Debian, vous pouvez lui envoyer des ping via son IP ainsi :

ping 128.31.0.51

ou via son nom d'hôte :

ping debian.org

Par exemple, pour vous connecter sous le nom d'utilisateur³⁾ jojo sur la machine d'IP coincoin⁴⁾, vous faites simplement :

ssh jojo@coincoin

Si le serveur ssh distant n'écoute pas sur le port 22, vous pouvez spécifier le port à l'aide de l'option -p :

ssh -p 1234 jojo@coincoin

Il est aussi possible de lancer sur le serveur distant une application graphique qui s'affichera sur votre ordinateur client.

Pour vous connecter sous le nom d'utilisateur jojo sur la machine d'IP coincoin et obtenir l'export X,

1. vous faites simplement :

   ssh -X jojo@coincoin

2. Puis vous lancez votre application graphique via le shell obtenu.

=== Par nom d'utilisateur/mot de passe

Le nom d'utilisateur est spécifié dans la commande de connexion. Le serveur nous demande alors notre mot de passe pour nous connecter, de la même façon que sur une machine locale

ssh jojo@coincoin

Ce à quoi le serveur vous répond :

  jojo@coincoin's password:

Cependant, l'utilisation du seul mot de passe peut poser quelques problèmes en terme de sécurité. Afin d'être plus simple à mémoriser, les mots de passe sont en effet relativement peu complexes.

=== Par

Par défaut, SSH n'a pas besoin de configuration. Cependant, pour se simplifier la vie ou pour les cas particuliers, il est possible de préciser préalablement quelques informations sur les connexions que l'on effectue régulièrement.

Cela se fait au moyen de l'édition du fichier de configuration ~/.ssh/config⁵⁾ :

nano ~/.ssh/config

Si vous vous connectez régulièrement sur l'ordinateur de votre maman, d'IP ordi.de.ma.maman sous le nom d'utilisateur gaston , et sachant que son serveur ssh est configuré pour écouter sur le port 444 , ajoutez ceci dans votre fichier de configuration :

Host maman
Hostname ordi.de.ma.maman
User gaston
Port 444

Et, pour vous connecter sur l'ordi de votre môman, il vous suffira maintenant de taper simplement la ligne suivante :

ssh maman

Pour une liste de toutes les options disponibles, et il y en a… une floppée ! Tapez :

man ssh_config

Si le pc serveur est réinstallé, la clé unique l'identifiant est changée.
Le client va détecter le changement et soupçonner que quelqu'un d'autre essaye de se faire passer pour le serveur original et vous obtiendrez alors un message comme celui-ci :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending key in /home/user/.ssh/known_hosts:9
RSA host key for 192.168.X.XX has changed and you have requested strict checking.
Host key verification failed.

Ce message indique la ligne contenant l'empreinte de l'ancien serveur ici :

 Offending key in ~/.ssh/known_hosts:9

Dans cet exempole, il faut alors supprimer la 9ème ligne de son fichier /home/user/.ssh/known_hosts

Donc nous éditons⁶⁾ ce fichier en user⁷⁾ :

nano ~/.ssh/known_hosts

et nous supprimons cette 9ème ligne.

À notre prochain contact vers le serveur, après le yes d'acceptation habituelle, une nouvelle clé d'identification sera créée et tout ira pour le meilleur des mondes ssh possible.

• Pour COPIER un fichier sécurisé vous devez vous servir de : SCP
• Pour MONTER les fichiers servez-vous de : SSHFS
• Utiliser ssh comme un serveur de fichiers : sftp installation et configuration

apt-get install openssh-server

La configuration par défaut est très bonne.
Si vous voulez la personnaliser, il vous faut éditer le fichier /etc/ssh/sshd_config :

nano /etc/ssh/sshd_config

Comme d'hab', plus d'infos dans le :

man sshd_config

Jojo vous recommande de ne pas ouvrir cette connection SSH tel quelle sur le net… il y a des malins qui forcent le passage pour entrer chez vous en essayant des tetra…floppées de mot de passes courants .

Donc si vous voulez exporter une session SSH via un PC a 18 000 km de chez vous, restez prudents et sécurisez-là au maximum⁸⁾, en utilisant par exemple une clé RSA (voir par la suite dans les TP)

• Utilisation de clés RSA

TODO

• Rediriger le port 22 de la freebox/livebox/whateverbox vers votre machine pour vous connecter chez vous depuis l'extérieur
• Configuration de SSH comme serveur de fichier.