Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ceci est une ancienne révision du document !
L'installation est d'une simplicité déconcertante
# aptitude install ssh
Et voilà le serveur est maintenant prêt à recevoir les premières connexions sur le port 22
SSH est configuré avec un niveau de sécurité très faible, pour ce connecter en local à un PC distant il suffit de faire comme ceci.
$ ssh user@192.168.1.x mot_de_passe
Remplacer user par votre login sur le second PC et le x par la véritable ip de votre machine hôte, vous devrez répondre à la question par yes et saisir votre mot de passe de session.
ATTENTION !
Je vous recommande de ne pas exporter cette connection SSH tel quelle sur le net… Il y a des malins qui force le passage pour entrer chez vous, donc si vous voulez exporter une session SSH via un PC a 18 000 km de chez vous faites une configuration avancée.
Peu importe.
Exemple avec une clé DSA.
Pourquoi ne pas autoriser les connexions uniquement par clefs privés/public et interdire les connections standards où les mots de passes passent en clair.
Le but est de se passer du mot de passe qui au niveau sécurité est trop faible, nous allons généré une clée cryptée unique pour votre PC.
$ ssh-keygen -t dsa
Votre clé sera générée en 1024 bits dans votre dossier /home/votre_user/.ssh/ pour la mettre en place il vous suffit de l'exporter sur votre pc distant.
Vérifiez que la clef dans le fichier se termine bien par votre adresse ip ( Ip Internet ) et non par le nom de votre poste. Si ce n'est pas le cas, remplacer le nom par votre adresse ip.
$ ssh-copy-id -i /home/user/.ssh/id_dsa.pub user@192.168.1.x mot_de_passe
Voilà votre clé est en place, maintenant passons à la sécurité de votre système.
Il suffit d'éditer le fichier sshd_config en root sur le PC distant. Le fichier se trouve dans le dossier /etc/ssh/
# nano /etc/ssh/sshd_config
Puis de modifier les arguments suivant «le cas est pris pour une connection uniquement par clé» :
PermitRootLogin no -> évite la connection root « plus que recommandé » RSAAuthentication yes -> active la reconnaissance RSA PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys -> va uniquement chercher la clé sur ce fichier PasswordAuthentication no -> désactive la connection par mot de passe PermitEmptyPasswords no -> désactive les mots de passe vide UsePAM no -> désactive la connection par mot de passe AllowUsers votrelogin secondlogin -> restreint l'accès à votre login uniquement DenyUsers test guest admin root snort apache nobody -> interdire l'accès à certains users, pour les paranos... MaxStartups 1 -> limite la connection, normalement 6 par défaut
Moins de monde autorisé à se connecter via ssh, moins de risques il y aura…
AllowUsers monuserquipeutseconnecter
Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin
dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe.
AllowGroups mongroupadmin
Les options qu'il est conseillé de changer dans un premier temps sont :
Nous allons le mettre ici à 10010
Port 10010
Une fois configuré il vous suffit de relancer SSH, à faire en root :
# service ssh restart
Pour voir les fichiers avec konqueror et Nautilus rien de plus simple
$ fish://user@192.168.1.x
$ ssh://user@192.168.1.x:22
Pour te connecter sur un serveur ssh qui n'a pas le port 22 par défaut.
ssh mattux@mon.serveur.org -p 10010
-p 10010 bien sûr à adapter au port ouvert, son numéro !
Avec la configuration de base le mot de passe de la session vous sera demandé, avec la clé rien ne vous sera demandé.
Il se peut que vous vouliez établir une connexion distante pour transiter des données de manière 100% transparente et sécurisée, nous allons donc établir un tunnel ssh.
# ssh -L 5901:localhost:5900 user@80.80.80.80
Cette technique est très utile pour relier en local un bon nombre d'utilisation, comme sur kde distant, un serveur smtp personnel, une boite mail ( pop ou imap ) personnelle, un bon nombre d'utilisations ont recours à cette technique.
COPIER
un fichier sécurisé vous devez vous servir de : SCPMONTER
les fichiers servez-vous de : SSHFS