Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:ssh [21/04/2010 09:12] smolski |
doc:reseau:ssh [26/10/2013 12:18] smolski [Connexion par clés asymétriques] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== SSH - TP ====== | ||
+ | |||
+ | |||
+ | * Objets : Connexion à SSH par clés, et relai de ports. | ||
+ | * Niveau requis : DÉBUTANT AVISÉ | ||
+ | * Commentaires : //Connexion à SSH par clés, et relai de ports.// | ||
+ | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
+ | * Le retour sur le forum est ici : [[http://debian-facile.org/viewtopic.php?id=1583 | Lien vers le forum concernant ce tuto]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
+ | |||
+ | ===== Installation ===== | ||
+ | |||
+ | On supposera ici que vous avez déjà suivi le tuto [[:doc:reseau:ssh|ssh]] et que vous savez donc les bases. | ||
+ | |||
+ | |||
+ | ===== Connexion par clés asymétriques ===== | ||
+ | |||
+ | ==== RSA ou DSA ? ==== | ||
+ | |||
+ | |||
+ | Peu importe. | ||
+ | |||
+ | ==== Générer une clé ==== | ||
+ | |||
+ | //Exemple avec une clé DSA.// | ||
+ | |||
+ | Pourquoi ne pas autoriser les connexions uniquement par clefs privés/public et interdire les connections standards où les mots de passes passent en clair. | ||
+ | |||
+ | === Création de la cle === | ||
+ | |||
+ | Le but est de se passer du mot de passe qui au niveau sécurité est trop faible, nous allons généré une clée cryptée unique pour votre PC. | ||
+ | <code user>ssh-keygen -t dsa</code> | ||
+ | <code bash> | ||
+ | Generating public/private dsa key pair. | ||
+ | Enter file in which to save the key (/home/admijoel/.ssh/id_dsa): /home/admijoel/.ssh/nom_fichier | ||
+ | Enter passphrase (empty for no passphrase): (mettre une passphrase qui sera demandée à chaque connexion - ou rien si c'est pas nécessaire pour vous) | ||
+ | </code> | ||
+ | Vous validez 2 fois et vous obtiendrez le résultat en détail de la création de votre cle dsa. | ||
+ | |||
+ | === Exportation de la cle === | ||
+ | |||
+ | Votre clé sera générée en 1024 bits dans votre dossier /home/votre_user/.ssh/ pour la mettre en place il vous suffit de l'exporter sur votre pc distant. | ||
+ | |||
+ | Vérifiez que la clef dans le fichier se termine bien par votre adresse ip ( Ip Internet ) et non par le nom de votre poste. | ||
+ | Si ce n'est pas le cas, remplacer le nom par votre adresse ip. | ||
+ | <code user>ssh-copy-id -i /home/user/.ssh/id_dsa.pub user@192.168.x.x</code> | ||
+ | mot_de_passe (serveur distant) | ||
+ | |||
+ | Voilà votre clé est en place, maintenant passons à la sécurité de votre système. | ||
+ | |||
+ | ==== Restreindre les connexions à SSH ==== | ||
+ | |||
+ | Il suffit d'éditer le fichier ''sshd_config'' en root sur le PC distant. Le fichier se trouve dans le dossier ///etc/ssh/// | ||
+ | <code root>nano /etc/ssh/sshd_config</code> | ||
+ | Puis de modifier les arguments suivant «le cas est pris pour une connection __uniquement par clé__» : | ||
+ | |||
+ | <code bash>PermitRootLogin no # évite la connexion root « plus que recommandé » | ||
+ | RSAAuthentication yes # active la reconnaissance RSA | ||
+ | PubkeyAuthentication yes | ||
+ | AuthorizedKeysFile .ssh/authorized_keys # va uniquement chercher la clé sur ce fichier | ||
+ | PasswordAuthentication no # désactive la connexion par mot de passe | ||
+ | PermitEmptyPasswords no # désactive les mots de passe vide | ||
+ | UsePAM no # désactive la connection par mot de passe | ||
+ | AllowUsers votrelogin secondlogin # restreint l'accès à votre login uniquement | ||
+ | DenyUsers test guest admin root snort apache nobody # interdire l'accès à certains users, pour les paranos... | ||
+ | MaxStartups 1 # limite la connexion, normalement 6 par défaut</code> | ||
+ | |||
+ | # Restreindre la connexion à un utilisateur | ||
+ | |||
+ | |||
+ | Moins de monde autorisé à se connecter via ssh, moins de risques il y aura… | ||
+ | |||
+ | AllowUsers **monuserquipeutseconnecter** | ||
+ | Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin | ||
+ | |||
+ | * Restreindre la connexion à un groupe | ||
+ | dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe. | ||
+ | |||
+ | AllowGroups **mongroupadmin** | ||
+ | Les options qu'il est conseillé de changer dans un premier temps sont : | ||
+ | |||
+ | * Le port **22** # C'est le port par défaut du service SSH | ||
+ | Nous allons le mettre ici à 10010 | ||
+ | Port **10010** | ||
+ | Une fois configuré il vous suffit de relancer SSH, à faire en root : | ||
+ | <code root>service ssh restart</code> | ||
+ | |||
+ | ==== Navigation via SSH ==== | ||
+ | |||
+ | Pour voir les fichiers avec konqueror et Nautilus rien de plus simple | ||
+ | === Konqueror === | ||
+ | |||
+ | <code user>fish://user@192.168.x.x</code> | ||
+ | | ||
+ | === Nautilus === | ||
+ | |||
+ | <code user>ssh://user@192.168.x.x:22</code> | ||
+ | |||
+ | === Terminal === | ||
+ | |||
+ | Pour te connecter sur un serveur ssh qui n'a pas le port 22 par défaut. | ||
+ | <code user>ssh mattux@mon.serveur.org -p 10010</code> | ||
+ | |||
+ | -p **10010** bien sûr à adapter au port ouvert, son numéro ! | ||
+ | |||
+ | Avec la configuration de base le mot de passe de la session vous sera demandé, avec la clé rien ne vous sera demandé. | ||
+ | |||
+ | |||
+ | |||
+ | ==== Tunnel chiffré en SSH ==== | ||
+ | |||
+ | Il se peut que vous vouliez établir une connexion distante pour transiter des données de manière 100% transparente et sécurisée, nous allons donc établir un tunnel ssh. | ||
+ | <code root>ssh -L 5901:localhost:5900 user@80.80.80.80</code> | ||
+ | Cette technique est très utile pour relier en local un bon nombre d'utilisation, comme sur kde distant, un serveur smtp personnel, une boite mail ( pop ou imap ) personnelle, un bon nombre d'utilisations ont recours à cette technique. | ||
+ | |||
+ | === Détail sur la ligne de commande SSH === | ||
+ | |||
+ | *ssh : invoque le protocole | ||
+ | *-L invoque de la création d'un tunnel crypté | ||
+ | *5901 : port coté local | ||
+ | *localhost : indique que l'accès se fera en local de manière transparente | ||
+ | *5900 : port du service distant | ||
+ | *user@80.80.80.80 : indique avec quelle user et sur quelle ip on va établir la connection. | ||
+ | |||
+ | ===== Commandes annexes ===== | ||
+ | |||
+ | * Pour ''COPIER'' un fichier sécurisé vous devez vous servir de : [[:doc:reseau:scp|scp]] | ||
+ | |||
+ | * Pour ''MONTER'' les fichiers servez-vous de : [[:doc:reseau:sshfs|]] | ||
+ | |||