Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:ssh [07/01/2014 21:28] bendia [Différents usages de ssh] |
doc:reseau:ssh [07/01/2014 22:29] bendia |
||
|---|---|---|---|
| Ligne 36: | Ligne 36: | ||
| * Pour ouvrir un shell sur une machine distante, | * Pour ouvrir un shell sur une machine distante, | ||
| * Pour transférer des fichiers directement avec [[doc:reseau:scp|la commande SCP]] ou par l'intermédiaire du protocole [[doc:reseau:sftp|SFTP]], | * Pour transférer des fichiers directement avec [[doc:reseau:scp|la commande SCP]] ou par l'intermédiaire du protocole [[doc:reseau:sftp|SFTP]], | ||
| - | * Pour monter un système de fichier avec [[doc:reseau:ssh:sshfs:partage-de-fichiers|sshfs]], | + | * Pour monter un système de fichier avec [[doc:reseau:sshfs|La commande SSHFS]], |
| * Pour protéger des communications transitant en clair : on parle alors de tunnel. | * Pour protéger des communications transitant en clair : on parle alors de tunnel. | ||
| Ligne 71: | Ligne 71: | ||
| Voilà votre clé est en place, maintenant passons à la sécurité de votre système. | Voilà votre clé est en place, maintenant passons à la sécurité de votre système. | ||
| - | ==== Restreindre les connexions à SSH ==== | ||
| - | |||
| - | Il suffit d'éditer le fichier ''sshd_config'' en root sur le PC distant. Le fichier se trouve dans le dossier ///etc/ssh/// | ||
| - | <code root>nano /etc/ssh/sshd_config</code> | ||
| - | Puis de modifier les arguments suivant «le cas est pris pour une connection __uniquement par clé__» : | ||
| - | |||
| - | <code bash>PermitRootLogin no # évite la connexion root « plus que recommandé » | ||
| - | RSAAuthentication yes # active la reconnaissance RSA | ||
| - | PubkeyAuthentication yes | ||
| - | AuthorizedKeysFile .ssh/authorized_keys # va uniquement chercher la clé sur ce fichier | ||
| - | PasswordAuthentication no # désactive la connexion par mot de passe | ||
| - | PermitEmptyPasswords no # désactive les mots de passe vide | ||
| - | UsePAM no # désactive la connection par mot de passe | ||
| - | AllowUsers votrelogin secondlogin # restreint l'accès à votre login uniquement | ||
| - | DenyUsers test guest admin root snort apache nobody # interdire l'accès à certains users, pour les paranos... | ||
| - | MaxStartups 1 # limite la connexion, normalement 6 par défaut</code> | ||
| - | |||
| - | === Restreindre la connexion à un utilisateur === | ||
| - | |||
| - | Moins de monde autorisé à se connecter via ssh, moins de risques il y aura… | ||
| - | |||
| - | AllowUsers **monuserquipeutseconnecter** | ||
| - | Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin | ||
| - | |||
| - | === Restreindre la connexion à un groupe === | ||
| - | |||
| - | dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe. | ||
| - | |||
| - | AllowGroups **mongroupadmin** | ||
| - | Les options qu'il est conseillé de changer dans un premier temps sont : | ||
| - | |||
| - | === Le port === | ||
| - | |||
| - | * Le port **22** # C'est le port par défaut du service SSH | ||
| - | Nous allons le mettre ici à 10010 | ||
| - | Port **10010** | ||
| - | |||
| - | Une fois configuré il vous suffit de relancer SSH, à faire en root : | ||
| - | <code root>service ssh restart</code> | ||
| ==== Navigation via SSH ==== | ==== Navigation via SSH ==== | ||
