Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:ssh:sshfs [22/06/2011 17:59] bract |
doc:reseau:ssh:sshfs [11/01/2014 15:47] bendia [Partage de fichiers sécurisé avec sshfs] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | |||
| + | * Le retour sur le forum est ici : ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
| ====== Partage de fichiers sécurisé avec sshfs ====== | ====== Partage de fichiers sécurisé avec sshfs ====== | ||
| - | **Comment partager des fichiers simplement, efficacement et de manière sécurisée.** | + | * Objet : Comment partager des fichiers simplement, efficacement et de manière sécurisée |
| - | + | * Niveau requis : {{tag>débutant avisé}} | |
| - | Sshfs est un outil permettant d'utiliser le protocole [[commande:ssh|ssh]] comme un système de fichiers et ainsi monter un répertoire distant à travers le protocole [[commande:ssh|ssh]]. \\ | + | * Commentaires : Avoir un accès sur un serveur ssh |
| - | Alors que [[commande:ssh|ssh]] s'utilise en ligne de commande, sshfs permet d'utiliser n'importe quel gestionnaire de fichiers de manière transparente. \\ | + | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) |
| - | Cet outil permet ainsi d'allier sécurité et facilité d'emploi pour les utilisateurs. | + | * Suivi : {{tag>en-chantier à-tester}} |
| + | * Création par <vous> <date> | ||
| + | * Testé par <...> le <...> FIXME | ||
| + | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=2190 | Lien vers le forum concernant ce tuto]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
| ===== Débutant ===== | ===== Débutant ===== | ||
| Les pages de référence pour débuter l'utilisation du terminal : | Les pages de référence pour débuter l'utilisation du terminal : | ||
| - | * [[manuel:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | + | * [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) |
| - | ===== Installation côté serveur ===== | + | ===== Introduction ===== |
| - | Installer openssh-server | + | Sshfs est un outil permettant d'utiliser le protocole [[:doc:reseau:ssh|ssh]] comme un système de fichiers et ainsi monter un répertoire distant à travers le protocole [[:doc:reseau:ssh|ssh]]. \\ |
| - | # apt-get install openssh-server | + | Alors que [[:doc:reseau:ssh|ssh]] s'utilise en ligne de commande, sshfs permet d'utiliser n'importe quel gestionnaire de fichiers de manière transparente. \\ |
| + | Cet outil permet ainsi d'allier sécurité et facilité d'emploi pour les utilisateurs. | ||
| - | Démarrer maintenant le démon ssh : | + | ===== Installation côté serveur ===== |
| - | # /etc/init.d/ssh start | + | |
| - | Le serveur est fonctionnel. \\ | + | Il suffit d'avoir un [[doc:reseau:ssh:serveur|serveur ssh]] fonctionnel |
| - | Cela étant, chaque client qui voudra se connecter au serveur devra avoir un compte d'utilisateur sur le serveur. | + | |
| Ligne 30: | Ligne 33: | ||
| Installer simplement sshfs | Installer simplement sshfs | ||
| - | # apt-get install sshfs | ||
| - | Voir aussi : \\ | + | <code root>apt-get update && apt-get install sshfs</code> |
| - | [[commande:sshfs|SSHFS]] | + | |
| ===== Test rapide ===== | ===== Test rapide ===== | ||
| Sur le système client, créer un répertoire dans lequel va être monté le système de fichiers : | Sur le système client, créer un répertoire dans lequel va être monté le système de fichiers : | ||
| - | $ mkdir /home/utilisateur/Test | + | <code user>mkdir /home/utilisateur/Test</code> |
| Monter un répertoire distant (ici ~/Public): | Monter un répertoire distant (ici ~/Public): | ||
| - | $ sshfs utilisateur@ip_distante:/home/utilisateur/Public /home/utilisateur/Test | + | <code user>sshfs utilisateur@ip_distante:/home/utilisateur/Public /home/utilisateur/Test</code> |
| Le mot de passe de l'utilisateur est alors demandé. | Le mot de passe de l'utilisateur est alors demandé. | ||
| Ligne 46: | Ligne 47: | ||
| Enfin, penser à démonter : | Enfin, penser à démonter : | ||
| - | $ fusermount -u /home/utilisateur/Test | + | <code user>fusermount -u /home/utilisateur/Test</code> |
| Prochaine étape : améliorer la sécurité par l'utilisation d'une clé de chiffrement. | Prochaine étape : améliorer la sécurité par l'utilisation d'une clé de chiffrement. | ||
| Ligne 53: | Ligne 54: | ||
| ===== Sécurisation ===== | ===== Sécurisation ===== | ||
| - | L'authentification par simple mot de passe n'est pas infaillible, car ce dernier peut être découvert puis utilisé. Malgré tout, cela reste relativement fiable, car, bien sûr, le mot de passe est __transmis chiffré__. \\ | + | Voir [[doc:reseau:ssh:serveur#securisation|Sécurisation d'un serveur SSH]] |
| - | Par contre, l'utilisation d'une clé de chiffrement, elle-même protégée par une phrase de passe, renforce largement la sécurisation. \\ | + | |
| - | En effet, pour se connecter, il faut alors : | + | |
| - | - être en possession de la clé privée, | + | |
| - | - connaître la phrase de passe qui permet d'utiliser la clé. | + | |
| - | == En résumé : == | ||
| - | |||
| - | Un utilisateur : | ||
| - | - doit donc avoir un compte sur le serveur, | ||
| - | - il doit ensuite envoyer une clé publique de chiffrement au serveur. | ||
| - | Avec cette clé, le serveur peut alors chiffrer les données qu'il renvoie au client, ce dernier pouvant déchiffrer les données avec sa clé privée. | ||
| - | |||
| - | ==== Création des clés ==== | ||
| - | |||
| - | Sur le client, chaque utilisateur qui souhaite se connecter doit créer un couple de clés de chiffrement. \\ | ||
| - | La commande **ssh-keygen** permet de faire cela : | ||
| - | $ ssh-keygen -t rsa -b 4096 | ||
| - | Il est alors demandé de choisir l'emplacement de la clé (laisser par défaut dans ~/.ssh/ ). \\ | ||
| - | Il est aussi demandé d'écrire la phrase de passe (il est conseillé d'utiliser au moins **14** caractères). \\ | ||
| - | Par défaut, l'algorithme de chiffrement **RSA** est utilisé, avec une longueur de clé de 2048 bits. \\ | ||
| - | Il est possible de vérifier la présence des fichiers contenant les clés ainsi : | ||
| - | ls ~/.ssh/ | ||
| - | |||
| - | <note warning>**ATTENTION !** La clé privée ne doit être accessible qu'à l'utilisateur qui l'a créé (c'est le cas par défaut). | ||
| - | </note> | ||
| - | |||
| - | |||
| - | |||
| - | ==== Envoi de la clé publique au serveur ==== | ||
| - | |||
| - | Il faut maintenant envoyer au serveur la clé publique, pour que celui-ci puisse chiffrer les données. \\ | ||
| - | Les clés publiques sont enregistrées sur le serveur dans le fichier : | ||
| - | ~/.ssh/authorized_keys | ||
| - | Chaque utilisateur doit avoir un compte sur la machine. Il faut donc un fichier ''authorized_keys'' par utilisateur. | ||
| - | |||
| - | === Plusieurs solutions pour copier la clé publique sur le serveur : === | ||
| - | |||
| - | * Utiliser simplement une clé usb. | ||
| - | Copier sur la clé usb le fichier contenant la clé publique du client ''~/.ssh/id_rsa.pub'', puis copier-coller le contenu de ce fichier dans le fichier ''~/.ssh/authorized_keys'' qui se trouve sur le serveur. | ||
| - | |||
| - | * ssh-copy-id est un script (fourni avec ssh) qui utilise [[commande:ssh]] pour se connecter à une machine à distance en utilisant __le mot de passe de l'utilisateur__. \\ L'authentification par mot de passe ''PasswordAuthentication yes'' doit donc être autorisée dans le fichier de configuration du serveur ssh (par défaut). \\ Il change également les permissions des répertoires : ~/.ssh, et ~/.ssh/authorized_keys de l'hôte distant pour enlever l'accès en écriture du groupe (qui vous empêcherait de vous connecter si le serveur distant ssh a "StrictModes yes" dans son fichier de configuration). | ||
| - | |||
| - | <note important>Maintenant, seule la phrase de passe protégeant la clé doit être demandée, mais pas le mot de passe de l'utilisateur.</note> | ||
| - | |||
| - | À la première connexion, même avec l'utilisation d'une clé de chiffrement, il est demandé de confirmer (par yes) car le serveur n'est pas reconnu, puisqu'il n'a pas encore eu l'occasion de transmettre sa clé publique au client. | ||
| ===== Problèmes fréquents ===== | ===== Problèmes fréquents ===== | ||
| * **Le montage n'est pas possible à cause des droits d'accès aux répertoires.** \\ | * **Le montage n'est pas possible à cause des droits d'accès aux répertoires.** \\ | ||
| - | Il suffit alors de vérifier (ls -hl) et d'ajouter les droits (chmod ug+r...) au répertoire local (Public dans l'exemple) et au répertoire distant sur le serveur (Test dans l'exemple). | + | Il suffit alors de vérifier (ls -hl) et d'ajouter les droits (chmod(([[doc:systeme:chmod|chmod]])) ug+r...) au répertoire local (Public dans l'exemple) et au répertoire distant sur le serveur (Test dans l'exemple). |
| * **L'utilisateur n'a pas le droit de monter un système de fichier avec Fuse.** \\ | * **L'utilisateur n'a pas le droit de monter un système de fichier avec Fuse.** \\ | ||
| Ligne 118: | Ligne 75: | ||
| Créer un petit fichier script dans lequel on écrit simplement la ligne de commande : | Créer un petit fichier script dans lequel on écrit simplement la ligne de commande : | ||
| - | sshfs utilisateur@ip_distante:/home/... | + | <code bash>#!/bin/bash |
| + | sshfs utilisateur@ip_distante:/chemin/du/partage | ||
| + | </code> | ||
| + | en adaptant le //chemin/du/partage// évidemment ;-) | ||
| On pourra alors créer une icône pour lancer ce script. L'utilisateur n'aura plus qu'à cliquer sur l'icône, une fenêtre graphique lui demandera la phrase de passe de la clé, et le répertoire distant apparaîtra alors sur le bureau. \\ | On pourra alors créer une icône pour lancer ce script. L'utilisateur n'aura plus qu'à cliquer sur l'icône, une fenêtre graphique lui demandera la phrase de passe de la clé, et le répertoire distant apparaîtra alors sur le bureau. \\ | ||
| De la même façon, on pourra créer une icône pour démonter le répertoire. \\ | De la même façon, on pourra créer une icône pour démonter le répertoire. \\ | ||
