Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:tor [04/04/2018 14:26] vakuy créée |
doc:reseau:tor [06/09/2019 17:06] smolski [Se connecter sans encombre grâce à SSH et Tor] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ====== Se connecter chez soi depuis partout et sans encombre grâce à SSH et Tor ====== | + | ====== Se connecter sans encombre grâce à SSH et Tor ====== |
| * Objet : Utiliser SSH avec Tor pour se connecter facilement à des serveurs distants | * Objet : Utiliser SSH avec Tor pour se connecter facilement à des serveurs distants | ||
| - | * Niveau requis : Intermédiaire | + | * Niveau requis : {{tag>avisé}} |
| * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
| - | * Suivi : {{tag>à-placer}} | + | * Suivi : {{tag>à-tester}} |
| * Création par [[user>vakuy]] 03/04/2018 | * Création par [[user>vakuy]] 03/04/2018 | ||
| * Testé par <...> le <...> FIXME | * Testé par <...> le <...> FIXME | ||
| - | * Commentaires sur le forum : [[:url-invalide | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) FIXME | + | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?pid=260215#p260215 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) |
| ===== Introduction ===== | ===== Introduction ===== | ||
| Ligne 123: | Ligne 123: | ||
| **Optionnel: d'avantage de sécurité avec un hidden service "stealth"** | **Optionnel: d'avantage de sécurité avec un hidden service "stealth"** | ||
| - | Avec la configuration actuelle, n'importe qui peut tenter de se connecter à notre serveur SSH s'il en connaît l'adresse .onion (hautement improbable, celle-ci étant générée cryptographiquement). Bien sûr, la connaissance du mot de passe (ou de la clé) reste nécessaire pour pouvoir se connecter. Si vous voulez être sûr d'être le seul à "parler" à votre serveur SSH, vous pouvez ajouter une option "stealth" à votre hidden service sur le serveur. De cette manière, seuls les clients étant également en possession d'une clé spécifique pourront initier une connexion à votre serveur SSH. Toutes les autres tentatives aboutiront à un timeout. | + | Avec la configuration actuelle, n'importe qui peut tenter de se connecter à notre serveur SSH s'il en connaît l'adresse .onion (hautement improbable, celle-ci étant générée cryptographiquement et localement). Bien sûr, la connaissance du mot de passe (ou de la clé) reste nécessaire pour pouvoir se connecter. Si vous voulez néanmoins être sûr d'être le seul à pouvoir "parler" à votre serveur SSH, vous pouvez ajouter une option "stealth" à votre hidden service sur le serveur. De cette manière, seuls les clients étant également en possession d'une clé spécifique pourront initier une connexion à votre serveur SSH. Toutes les autres tentatives aboutiront à un timeout. |
| __1. configuration du hidden service "stealth" sur le serveur ssh__ | __1. configuration du hidden service "stealth" sur le serveur ssh__ | ||
| Ligne 147: | Ligne 147: | ||
| HiddenServiceDir /var/lib/tor/other_hidden_service/ | HiddenServiceDir /var/lib/tor/other_hidden_service/ | ||
| #HiddenServicePort 80 127.0.0.1:80 | #HiddenServicePort 80 127.0.0.1:80 | ||
| - | HiddenServicePort 22 127.0.0.1:22</code> | + | HiddenServicePort 22 127.0.0.1:22 |
| HiddenServiceDir /var/lib/tor/hidden_ssh_stealth/ | HiddenServiceDir /var/lib/tor/hidden_ssh_stealth/ | ||
| Ligne 163: | Ligne 163: | ||
| Comme on a ajouté l'option stealth, on a cette fois une courte clé en plus: | Comme on a ajouté l'option stealth, on a cette fois une courte clé en plus: | ||
| <code user> | <code user> | ||
| + | erzi6casesvznend.onion rXc/eL2wK2pTNbYcdGjulh # client: root | ||
| </code> | </code> | ||
| On retient l'ensemble de ces informations dont on aura besoin pour se connecter au serveur depuis notre client. | On retient l'ensemble de ces informations dont on aura besoin pour se connecter au serveur depuis notre client. | ||
| - | __ | + | |
| - | 2. configuration du fichier /etc/tor/torrc sur le client__ | + | __2. configuration du fichier /etc/tor/torrc sur le client__ |
| Sur le client, éditer le fichier /etc/tor/torrc: | Sur le client, éditer le fichier /etc/tor/torrc: | ||
| Ligne 175: | Ligne 176: | ||
| Aller tout à la fin du fichier et ajouter ces lignes: | Aller tout à la fin du fichier et ajouter ces lignes: | ||
| <code user> | <code user> | ||
| - | HidServAuth ivzi6cnsesvzn4nd.onion rXc/eL28K2mTNbYkdGjulh # client: root</code> | + | HidServAuth erzi6casesvznend.onion rXc/eL2wK2pTNbYcdGjulh # client: root</code> |
| - | //Bien entendu, remplacez ces valeurs par les vôtres// | + | //Bien entendu, remplacez ces valeurs par les vôtres!// |
| Puis redémarrer le service tor: | Puis redémarrer le service tor: | ||
| Ligne 182: | Ligne 183: | ||
| <code user>sudo service tor restart</code> | <code user>sudo service tor restart</code> | ||
| - | Pour les options SSH, se référer au chapitre "Installation" ci-dessous. | + | Voilà, c'est tout! Pour les options SSH à utiliser pour se connecter au service, se référer au chapitre "Installation" ci-dessous. |
| **Optionnel: utiliser un hidden service V3 plutôt que V2** | **Optionnel: utiliser un hidden service V3 plutôt que V2** | ||
| Ligne 203: | Ligne 204: | ||
| Comme on peut le constater, l'adresse obtenue est beaucoup plus longue: | Comme on peut le constater, l'adresse obtenue est beaucoup plus longue: | ||
| - | bvo4x2cmv6dvsqdg2vxr7koqolil4iujpg6kvoij3ybd6onryo5fayad.onion | + | <code user>tyo4x3tmv6dvsqdg2fxr7koqolil4iujpg6kvoig3ybd6unryo5ferad.onion</code> |
| Pour le reste, rien ne change. | Pour le reste, rien ne change. | ||
| Ligne 214: | Ligne 215: | ||
| <code user> | <code user> | ||
| - | serverssh@server-ssh:~$ sudo cat /var/lib/tor/other_hidden_service/hostname | + | clientssh@client-ssh:~$ ssh serverssh@wn2na4obqlp73cwk.onion |
| - | sudo: unable to resolve host server-ssh | + | ssh: Could not resolve hostname wn2na4obqlp73cwk.onion: Name or service not known |
| - | ynlna4obqlp73ewk.onion</code> | + | </code> |
| En effet, il faut utiliser des options spécifiques pour indiquer au client SSH comment se connecter à cette adresse. Essayez cette fois-ci avec les arguments suivants: | En effet, il faut utiliser des options spécifiques pour indiquer au client SSH comment se connecter à cette adresse. Essayez cette fois-ci avec les arguments suivants: | ||
| <code user> | <code user> | ||
| - | ssh -o VerifyHostKeyDNS⁼no -o CheckHostIP=no -o IdentitiesOnly=yes -o ProxyCommand⁼"ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p" serverssh@ynlna4obqlp73ewk.onion</code> | + | ssh -o VerifyHostKeyDNS⁼no -o CheckHostIP=no -o IdentitiesOnly=yes -o ProxyCommand⁼"ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p" serverssh@wn2na4obqlp73cwk.onion</code> |
| Vous devriez alors pouvoir vous connecter à votre serveur en attente, tapi dans les tréfonds de Tor: | Vous devriez alors pouvoir vous connecter à votre serveur en attente, tapi dans les tréfonds de Tor: | ||
| <code user> | <code user> | ||
| - | The authenticity of host 'ynlna4obqlp73ewk.onion (<no hostip for proxy command>)' can't be established. | + | The authenticity of host 'wn2na4obqlp73cwk.onion (<no hostip for proxy command>)' can't be established. |
| - | ECDSA key fingerprint is SHA256:LJfKWAyoQzCTTUXurgIcwfmQwT0A4fxCQnX0y+X3mvU. | + | ECDSA key fingerprint is SHA256:IJfKWAyoQzCTEUXurgIcwfmQaT0A2fxCQnX0y+X3mvU. |
| Are you sure you want to continue connecting (yes/no)? yes | Are you sure you want to continue connecting (yes/no)? yes | ||
| - | Warning: Permanently added 'ynlna4obqlp73ewk.onion' (ECDSA) to the list of known hosts. | + | Warning: Permanently added 'wn2na4obqlp73cwk.onion' (ECDSA) to the list of known hosts. |
| - | serverssh@ynlna4obqlp73ewk.onion's password: | + | serverssh@wn2na4obqlp73cwk.onion's password: |
| Linux server-ssh 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 | Linux server-ssh 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 | ||
| Ligne 243: | Ligne 244: | ||
| __Explication des arguments de la commande:__ | __Explication des arguments de la commande:__ | ||
| - | -o ProxyCommand)"ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p" | + | * -o ProxyCommand)"ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p" |
| En réalité, seule cette option est strictement nécessaire. Elle indique à SSH d'utiliser ncat pour ouvrir un proxy qui fera router la connexion SSH, ici Tor. | En réalité, seule cette option est strictement nécessaire. Elle indique à SSH d'utiliser ncat pour ouvrir un proxy qui fera router la connexion SSH, ici Tor. | ||
| Ligne 269: | Ligne 270: | ||
| <code user> | <code user> | ||
| Host Onion | Host Onion | ||
| - | Hostname ynlna4obqlp73ewk.onion | + | Hostname wn2na4obqlp73cwk.onion |
| User serverssh | User serverssh | ||
| proxyCommand ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p | proxyCommand ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p | ||
| Ligne 281: | Ligne 282: | ||
| <code user>clientssh@client-ssh:~$ ssh Onion | <code user>clientssh@client-ssh:~$ ssh Onion | ||
| - | serverssh@ynlna4obqlp73ewk.onion's password: | + | serverssh@wn2na4obqlp73cwk.onion's password: |
| Linux server-ssh 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 | Linux server-ssh 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 | ||
