logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 14-07-2009 05:37:13

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

wiki : ssh - Mis à Jour et copié.

Là, les serveurs :
SSH - TP les clés RSA ou DSA

et là, le ssh en ligne de commande :
SSH - Comment ça marche...

Il s'agirait de les regrouper...
Comme je suis en plein à utiliser ssh, je m'y colle.

Amitié, Joel smile

Edit :
Merci MicP wink

Dernière modification par smolski (15-07-2009 20:22:56)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#2 14-07-2009 12:12:54

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

Le mixage proposé ci-dessous, je le copie où ?

- Mè où céti..?
- Mè où céti donc que j'le copie ?
- Hein ?
- A tout petit petit petit pas...
- Hawaïiiiiii....

Quoi Bobby... quoi Bobby... Lapointe ? Tchibâââ ! lol

Installation

L'installation est d'une simplicité déconcertante

# aptitude install ssh


Et voilà le serveur est maintenant prêt à recevoir les premières connexions sur le port 22

Sous openSUSE le SSH est configuré avec un niveau de sécurité très faible, pour ce connecter en local à un PC distant il suffit de faire comme ceci.

$ ssh user@192.168.1.x
mot_de_passe


Remplacer user par votre login sur le second PC et le x par la véritable ip de votre machine hôte, vous devrez répondre à la question par yes et saisir votre mot de passe de session.

ATTENTION !

Je vous recommande de ne pas exporter cette connection SSH tel quelle sur le net… Il y a des malins qui force le passage pour entrer chez vous, donc si vous voulez exporter une session SSH via un PC a 18 000 km de chez vous faites une configuration avancée.

====== Commandes ssh ======

[[commande:ssh|LES COMMANDES SSH]]

Configuration avancée

RSA ou DSA ?

RSA : est un algorithme utilisé pour le protocole ssh 1 et 2, c'est un protocole propriétaire qui est moins bien mis à jour et n'est plus conseillé dans le protocole 2
ATTENTION !
Des faits nouveaux donnent à penser que RSA n'est plus d'actualité pour générer une clé. Choisir DSA, comme indiqué ci-après. Merci à phlinux de nous tenir informé de ses tests et essais en la matière... Trop bon ce phlinux... Yep !

DSA : est un algorithme utilisé à partir du protocole 2 de ssh, c'est un algorithme libre qui est très bien maintenu, il offre une meilleure sécurité à ce jour, il est conseillé en priorité dans un environnement type ssh2.

Générer une clé

Pourquoi ne pas autoriser les connexions uniquement par clefs privés/public et interdire les connections standards où les mots de passes passent en clair.

Le but est de se passer du mot de passe qui au niveau sécurité est trop faible, alors nous allons généré une clée cryptée unique pour votre PC.

$ ssh-keygen -t dsa


Votre clé sera générée en 1024 bits dans votre dossier /home/user/.ssh/ pour la mettre en place il vous suffit de l'exporter sur votre pc distant
Vérifier que la clef dans le fichier se termine bien par votre adresse ip ( Ip Internet ) et non par le nom de votre poste. Si ce n'est pas le cas, remplacer le nom par votre adresse ip

$ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x :/home/user/.ssh/authorized_keys
mot_de_passe


Voilà votre clé est en place, maintenant passons à la sécurité de votre système.
Sécurisé SSH

Il suffit d'éditer le fichier sshd_config en root sur le PC distant. Le fichier se trouve dans le dossier /etc/ssh/

# nano /etc/ssh/sshd_config


Puis de modifier les arguments suivant « le cas est pris pour une connection uniquement par clé » :

PermitRootLogin no -> évite la connection root « plus que recommandé »
RSAAuthentication yes -> active la reconnaissance RSA
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys -> va uniquement chercher la clé sur ce fichier
PasswordAuthentication no -> désactive la connection par mot de passe
PermitEmptyPasswords no -> désactive les mots de passe vide
UsePAM no -> désactive la connection par mot de passe
AllowUsers votrelogin secondlogin -> restreint l'accès à votre login uniquement
DenyUsers test guest admin root snort apache nobody -> interdire l'accès à certains users, pour les paranos...
MaxStartups 1 -> limite la connection, normalement 6 par défaut

Restreindre la connexion à un utilisateur

Moins de monde autorisé à se connecter via ssh, moins de risques il y aura…

AllowUsers monuserquipeutseconnecter

Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin

    *
      Restreindre la connexion à un groupe

dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe.

AllowGroups mongroupadmin
Les options qu'il est conseillé de changer dans un premier temps sont :

    *
      Le port ( défaut 22 )

Nous allons le mettre ici à 10010

Port 10010

Une fois configuré il vous suffit de relancer SSH, à faire en root :

# /etc/init.d/sshd restart


Navigation via SSH

Pour voir les fichiers avec konqueror et Nautilus rien de plus simple
Konqueror

$ fish://user@192.168.1.x


Nautilus

$ ssh://user@192.168.1.x:22


Pour te connecter sur un serveur ssh qui n'a pas le port 22 par défaut.

$ ssh mattux@mon.serveur.org -p 10010


-p 10010 bien sûr à adapter au port ouvert, son numéro !

Avec la configuration de base le mot de passe de la session vous sera demandé, avec la clé rien ne vous sera demandé.

Aller plus loin

Tunnel crypté en SSH
Création du tunnel SSH

Il se peut que vous vouliez établir une connexion distante pour transiter des données de manière 100% transparente et sécurisée, nous allons donc établir un tunnel ssh.

#  ssh -L 5901:localhost:5900 user@80.80.80.80


Cette technique est très utile pour relier en local un bon nombre d'utilisation, comme sur kde distant, un serveur smtp personnel, une boite mail ( pop ou imap ) personnelle, un bon nombre d'utilisation on recourt à cette technique.

Dernière modification par smolski (01-11-2009 22:08:44)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#3 14-07-2009 18:20:22

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

Bjr,
Pour ce qui concerne le changement du port 22 vers un autre (10000 dans l'exemple du wiki).
Inscrire clairement que la modif doit être également faites sur le poste client (chez moi dans /etc/ssh/ssh_config).
A moins que openssh ne soit pas configuré pareil ?

Autre point :
"Vérifier que la clef dans le fichier se termine bien par votre adresse ip ( Ip Internet ) et non par le nom de votre poste. Si ce n'est pas le cas, remplacer le nom par votre adresse ip"
Dans ma tentative c'est effectivement le nom d'hôte qui est retenu. Donc je dois mettre une ip, mais laquelle ? L'ip fixe de /etc/network/interfaces ?

Dernière modification par phlinux (14-07-2009 18:25:07)


Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#4 14-07-2009 18:26:54

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

Tsop phlinux !

Tu peux m'indiquer plus en détail où dans le tuto et comment l'écrire, merci de ton regard... tongue

Amitié, Joel

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#5 15-07-2009 00:13:12

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

re-
[small]' tain je dis plus rien moi...si faut bosser...[/small]

Bon ok, c'est là > http://debian-facile.org/wiki/config:ssh dans ce para...enfin là
wiki_s10.jpg
le port 10010 doit être aussi écrit chez  le client, non ?

Quant à l'ip j'ai mis l'ip fixe du poste client en fin de clé, mais je ne sais pas si c'est sécurisé du coup

Dernière modification par phlinux (15-07-2009 00:22:11)


Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#6 15-07-2009 00:49:11

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : wiki : ssh - Mis à Jour et copié.

tu es pas obligé de modifier le client a part si c est permanent sinon :

ssh mattux@mon.serveur.org -p 10010


pour te connecter sur un serveur ssh qui a pas le port 22 par defaut.

Salut

MaTTuX_


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#7 15-07-2009 09:37:24

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

Re-
Très juste. Est-ce que cette commande transite en clair sur le réseau ?

Quelque soit le choix il faut le préciser dans le wiki, non ?

Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#8 15-07-2009 14:26:42

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

Bon, comme soulevé sur le poste1, il s'agirait de regrouper les 2 tutos, avec une rédac en cours proposée post2.

Doit-on rajouté cette variation du port de 20 à 10010 ? Et donc votre discussion là au-dessus...

Et où choisissons-nous de mettre cette nouvelle rédaction... Dans les commandes ou dans les serveurs ? Messeigneurs... Hé hé hééé... façon Bossu Jean Marais !

Yop ?

Amitié, Joel

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#9 15-07-2009 15:59:54

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : wiki : ssh - Mis à Jour et copié.

les commandes ne sont pas en clair voir definition de SSH :

Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les trames sont chiffrées. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur. Le protocole SSH a été conçu avec l'objectif de remplacer les différents programmes rlogin, telnet et rsh.


Smolski mets la dans les deux car c est une commande aussi
Salutation

MaTTuX_


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#10 15-07-2009 18:56:58

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

re-
Tiens @smolski, comme un onc j'ai tenté la génération de la clé par rsa. Pas moyen de moyenner :  accès par ssh bloqué (obligé de remettre un écran sur le serveur). Par contre dsa nickel, vite fait.

Peut p't'êt alléger le wiki, toua ?

Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#11 15-07-2009 19:54:12

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

dac phlinux, je moyen de modif tuto pas ok... Merci big_smile

Edit :
C'est fait ! tongue

Dernière modification par smolski (15-07-2009 19:57:58)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#12 15-07-2009 20:24:47

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

Comme indiqué par MaTTux, la copie est doublée entre
    configurer un serveur ssh
et
   la commande ssh
Mêmes liens que post1

Merci les grands
de nous instruire tant

Tontaine...

Amitié, Joel wink

Dernière modification par smolski (15-07-2009 20:26:15)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#13 17-07-2009 15:33:10

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

re-
Pour être honnête, mon problème avec rsa aurait apparemment une solution, puisque ça fonctionne chez d'autres > http://forum.debian-fr.org/viewtopic.php?f=3&t=21877
Donc il faut peut être réviser le wiki. Désolé, Joel

Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#14 17-07-2009 17:41:53

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

C'est un plaisir phlinux...

De toute façon, je n'ai pas encore été jusqu'à créer une clé et tout l'toutim.
Je travaille en reseau local exclusivement et passe un peu (beaucoup...) par-dessus pas mal de sécurités...

J'attends donc que les résolutions se fassent chez ceuss qui sont actuellement concernés, comme une grosse feignasse des doigts et des neurones, puis je transcris et étudie les conclusions.

Trôôô belle la vie, des fois... Yep ! wink

Amitié, Joel

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#15 17-07-2009 20:52:23

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : wiki : ssh - Mis à Jour et copié.

phlinux a écrit :

re-
Tiens @smolski, comme un onc j'ai tenté la génération de la clé par rsa. Pas moyen de moyenner :  accès par ssh bloqué (obligé de remettre un écran sur le serveur). Par contre dsa nickel, vite fait.

Peut p't'êt alléger le wiki, toua ?


Tu en dirais plus sur ton erreur on pourrai t aider big_smile

MaTTuX_


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#16 17-07-2009 22:41:52

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.


Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#17 09-08-2009 21:54:06

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

Re-
Je viens d'installer un nouveau pc distant, vers lequel on se connecte en ssh.
En fait j'ai galéré un moment car sur ce pc je n'avais pas créé de compte au nom de celui qui se connecte. Par exemple j'ai un user "dvd" sur le distant et "phlinux" sur le local : connexion refusée pour ce dernier et donc obligé de lui créer un /home.
Je ne sais pas si c'est la seule solution, mais il ne me semble pas voir cela dans le tuto du dessus

Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#18 10-08-2009 08:10:19

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

Salut phlinux !

Serait-ce une ambiguîté dans cette rédaction là :

Remplacer user par votre login sur le second PC et le x par la véritable ip de votre machine hôte,


qu'il faudrait lire :

Remplacer user par le login du PC serveur et le x par la véritable ip du même PC serveur également,


Car je crois comprendre que tu as utilisé le nom de l'user sur le PC d'où tu tapes la commande ssh (PC hôte)...
Et non l'user (et le passwd) de celui du PC serveur (le PC où tu veux te diriger...)

Yop ?

Auquel cas, une reformulation est indispensable... wink

Quid des bonnes volontés ?
Je sors coquine (dans sa robe gitane rose pâle... mmmmmmmmh !) pour quelques courses ce matin...

Amitié, Joel

Dernière modification par smolski (10-08-2009 08:11:08)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#19 10-08-2009 09:56:17

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

Re-
Pas exactement.
1 - D'après ma galère d'hier, il faut que le user en local ait un /home sur le serveur. Ce qui se tient  pour la correspondance de la clé dsa (ou rsa)

2 - Ou, peut être, que le user en local doit faire partie du groupe du user principal sur le serveur ? A essayer ou à confirmer par les connaisseurs

Donc, je n'ai pas vu, ou cela n'est pas formulé dans le tuto

Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#20 17-08-2009 07:37:22

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

phlinux,

Dans ton fichier : /etc/ssh/sshd_config
as-tu les paramètres désignés ci-après :

PermitRootLogin no -> évite la connection root « plus que recommandé »
RSAAuthentication yes -> active la reconnaissance RSA
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys -> va uniquement chercher la clé sur ce fichier
PasswordAuthentication no -> désactive la connection par mot de passe
PermitEmptyPasswords no -> désactive les mots de passe vide
UsePAM no -> désactive la connection par mot de passe
AllowUsers votrelogin secondlogin -> restreint l'accès à votre login uniquement
DenyUsers test guest admin root snort apache nobody -> interdire l'accès à certains users, pour les paranos...
MaxStartups 1 -> limite la connection, normalement 6 par défaut


Comme indiqué dans le tuto ?
Je pense que oui, mais une confirmation serait le bienvenu... Yop !

Perso, je n'utilise pas de clé... wink

Amitié, Joel


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#21 14-10-2009 11:56:21

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

Bjr-
Sur cette page http://debian-facile.org/wiki/config:ssh
Dans la ligne de commande

Si ce n'est pas le cas, remplacer le nom par votre adresse ip.

      $ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x/home/user/.ssh/authorized_keys
      mot_de_passe

Voilà votre clé est en place, maintenant passons à la sécurité de votre système.


veiller à mettre  " : " après l'ip du serveur


Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#22 14-10-2009 12:05:44

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

Tchop ?

      $ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x/home/user/.ssh/authorized_keys
      mot_de_passe
devient :
      $ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x : /home/user/.ssh/authorized_keys
      mot_de_passe
avec les espaces entre les deux points ?

No comprendo là ! roll

A mi doué, Joel

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#23 14-10-2009 13:28:54

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

re-
Non pas d'espaces, juste les 2 points (enfin pas d'espaces horizontaux, juste vertical)
A vérifier bien sur, mais sur mon pc "@192.168.1.x/home" ça passe pas

Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

#24 14-10-2009 13:50:58

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : wiki : ssh - Mis à Jour et copié.

Toujours pas compris la manoeuvre phlinoux !

Je dois mollassionner du cervical...
Tu peux écrire la modification qui marche en clair ? roll

Tchap !

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#25 14-10-2009 19:18:08

phlinux
Membre
Distrib. : Buster
Noyau : 5.10
(G)UI : Openbox (+Rox+Feh)
Inscription : 09-05-2009

Re : wiki : ssh - Mis à Jour et copié.

re-
Voilà

$ scp /home/user/.ssh/id_dsa.pub user@192.168.1.x :/home/user/.ssh/authorized_keys


Pages perso : feh, omegat, udisks, passerelle, schroot vraiment transparent

Hors ligne

Pied de page des forums