Documente Academic
Documente Profesional
Documente Cultură
http://doc.ubuntu-fr.org/ssh
ssh
Installation du serveur SSH Copier des fichiers via SSH Navigation via SSH Nautilus Konqueror Console Se connecter un ordinateur distant via SSH Authentification par mot de passe Authentification par cl publique Restriction d'accs SSH Accs automatique pour des scripts Utiliser le ssh-agent Le fichier de configuration du serveur SSH Utiliser SSH pour faire du SFTP (FTP scuris) Tunnliser sa connexion internet par SSH avec l'aide de Squid Partie serveur Partie client Tunnliser sa connexion internet par SSH (sans Squid) Partie serveur Partie client Dlai lors de la connexion Liens
SSH
OpenSSH est une version libre de la suite de protocole de SSH, des outils de connectivit de rseau sur lesquels un nombre croissant de personnes sur l'Internet viennent s'appuyer. Beaucoup d'utilisateurs de Telnet, Rlogin, FTP, ou d'autres programmes identiques, ne se rendent pas compte que leur mot de passe est transmis travers les rseaux en clair. OpenSSH chiffre tout le trafic (mots de passe y compris). OpenSSH fournit galement une varit de mthodes d'authentification. Comme son nom l'indique, OpenSSH est dvelopp dans le cadre du projet OpenBSD
1 sur 8
22/04/2008 08:39
http://doc.ubuntu-fr.org/ssh
Ou en termes profanes, si je dsirais copier un fichier d'un de mes ordinateurs l'autre, je procde de cette manire :
scp fichier.txt hornbeck@192.168.1.103:/home/hornbeck
Vous pouvez aussi bien copier des fichiers partir des ordinateurs distance sur votre disque local :
scp hornbeck@192.168.1.103:/home/hornbeck/urls.txt .
Le point la fin de commande indique de copier le fichier dans le rpertoire courant. Vous pouvez aussi le renommer en le copiant ( mon.txt ) sur le disque local :
scp hornbeck@192.168.1.103:/home/hornbeck/urls.txt ./mon.txt
Vous pouvez trs bien copier un fichier d'un ordinateur vers un autre tout en tant sur un troisime ordinateur :
scp nom@ordi1:chemin/fichier nom@ordi2:chemin/fichier
La copie de fichier se fait avec le glisser-dposer dans la fentre de Nautilus comme sur votre systme de fichier local. Pour accder directement un rpertoire donn (pratique avec l'utilisation des signets), il suffit de rajouter le chemin en fin d'URL :
ssh://username@hostname:port/le/chemin/voulu/
Le principe est similaire celui utilis par Nautilus, l'exception du nom de protocole : fish. Dans la barre d'adresse, tapez :
fish://<username>@<hostname>
Une boite de dialogue apparaitra et demandera le mot de passe. Attention, si vous ne mentionnez pas le nom d'utilisateur, c'est l'utilisateur courant sur la machine locale qui aura la main. Pour pouvoir parcourir vos fichiers accessibles par SSH, il vous faut monter un systme de fichier. Visitez la doc prvue cet effet : SSH Filesystem. Remarque : cette mthode permet aussi d'y accder de manire transparente avec Nautilus ou Konqueror sans utiliser les adresses spciales prcdentes.
2 sur 8
22/04/2008 08:39
http://doc.ubuntu-fr.org/ssh
Pour ouvrir une session sur un ordinateur distant ayant un serveur SSH, vous devez crire quelque chose comme ceci :
ssh <username>@<ipaddress> -p <num_port>
Exemple :
ssh phyrex@192.168.23.42 -p 12345
L'option -p xxx est facultative. Si rien n'est prcis, c'est le port 22 par dfaut qui sera utilis. Vous pouvez employer le hostname (s'il est connu du systme dans /etc/hosts) au lieu des adresses IP.
Dans ce cas, il faut trs basiquement modifier le fichier /etc/ssh/sshd_config de la manire suivante : # Change to yes to enable tunnelled clear text passwords PasswordAuthentication yes Puis en cas de modifications, redmarrer le service avec la commande :
sudo /etc/init.d/ssh restart
Il vous sera alors demand o sauver la cl prive (acceptez juste l'endroit par dfaut) puis de choisir une passphrase. La passphrase est employe pour chiffrer votre cl prive. Toute personne qui obtiendrait l'accs votre cl prive (non protge) aurait vos permissions sur d'autres ordinateurs.
3 sur 8
22/04/2008 08:39
http://doc.ubuntu-fr.org/ssh
Veuillez prendre un instant et choisissez une trs bonne passphrase. Les ordinateurs distants feront confiance la machine qui pourra dchiffrer des cls chiffres avec votre cl publique (en gros, il faut mettre la cl publique sur le serveur auquel on veut accder). Votre clef publique a t cre avec la nouvelle cl prive. Elle est habituellement localise dans le dossier cach ~/.ssh/id_dsa.pub . L'utilisateur distant doit avoir cette cl (c'est une ligne de caractres en code ASCII) dans son fichier de cl d'autorisation situ ~/.ssh/authorized_keys2 sur le systme distant. Ainsi vous copiez-collez juste la ligne dans le fichier authorized_keys2 ou employez la commande ssh-copy-id comme ceci (fileserver01 peut tre l'adresse IP du serveur) :
ssh-copy-id -i ~/.ssh/id_dsa.pub fileserver01
Vous devrez donner le mot de passe utilisateur de cet ordinateur. Si l'authentification par mot de passe est dsactive, alors vous aurez besoin de copier-coller votre cl suivant un autre moyen. Aprs que votre cl publique ait t ajoute, vous devenez un hte de confiance. Lancez :
ssh fileserver01
et vous serez tent de taper votre mot de passe mais c'est votre passphrase qui vous est demande. Il y a une diffrence entre votre mot de passe et la passphrase. Le mot de passe est situ dans /etc/passwd du systme distant alors que la passphrase sert dchiffrer votre cl prive de votre systme local. Pour reprendre, deux choses sont ncessaires pour obtenir un accs rellement scurisant (et scuris ) par authentification cl publique au-dessus de l'authentification par mot de passe classique : 1. Votre cl prive, chiffre ; 2. Votre passphrase, utilise pour dchiffrer votre cl prive. Ainsi si vous choisissez de ne pas avoir de mot de passe (ce qui est possible, voyez la prochaine section), vous aurez un minimum de scurit autant qu'en utilisant seulement une authentification par mot de passe. Vous pouvez vouloir neutraliser l'authentification par mot de passe pour des raisons de scurit en plaant dans le fichier de configuration /etc/ssh/sshd_config la ligne PasswordAuthentication no (et ne pas avoir UsePAM yes !, ou autrement dit en mettant galement UsePAM no ). N'oubliez pas de relancer votre serveur sshd aprs avoir chang la configuration :
sudo /etc/init.d/ssh restart
Si aprs avoir suivi ce tutoriel un mot de passe est toujours demand, il se peut que ce soit du un probleme de droits sur votre 'home directory'. Sur la machine distante regardez le fichier :
tail /var/log/auth.log
Alors faites :
4 sur 8
22/04/2008 08:39
http://doc.ubuntu-fr.org/ssh
Ceci permettrait que seule cette commande puisse tre utilise. Rien d'autre.
Utiliser le ssh-agent
Si vous devez frquemment copier des fichiers avec SSH ou accder d'autres ordinateurs de votre rseau (ce qui est une tche commune pour des administrateurs), vous vous demandez probablement s'il y a une manire de simplifier l'utilisation de la passphrase. En fait il y a SSH agent. Vous devez seulement entrer votre passphrase une fois en employant ssh-add et tout ce que vous commencez comme sous-processus de SSH agent se rappellera cette passphrase. Trop thorique ? Bien, vous n'aurez pas besoin de vous inquiter de l'agent. Votre session X est prte pour avoir le ssh-agent en session automatiquement. Tout ce que vous devez faire c'est lancer ssh-add et saisir votre passphrase. La prochaine fois que vous utiliserez SSH pour accder un autre ordinateur, vous n'aurez pas entrer nouveau votre passphrase. Cool, non ? Vous devrez bloquer votre session pendant vos absences car d'autres pourraient accder aux ordinateurs distants partir de votre machine sans savoir votre passphrase. Si vous voulez rentrer votre passphrase une fois juste aprs l'ouverture de session, vous pouvez ajouter un appel ssh-add comme ceci : Cliquez sur Systme Prferences Sessions Programme au dmarrage. Cliquez sur Ajouter . Entrez la commande ssh-add . la prochaine ouverture de session, vous devrez taper votre passphrase.
5 sur 8
22/04/2008 08:39
http://doc.ubuntu-fr.org/ssh
se doit) d'Ubuntu est suffisante : PermitRootLogin yes Si ce n'tait pas sous Ubuntu ce serait une trs grosse faille de scurit, mais qui pourrait vouloir affecter un mot de passe root ? #Banner /etc/issue.net Vous pouvez dcommenter (c'est--dire enlever le # ) cette ligne. Effet : lorsque vous essayez de vous connecter votre serveur par SSH, le fichier /etc/issue.net est affich ( vous de le personnaliser). #MaxStartups 10:30:60 Vous pouvez aussi dcommenter cette ligne, effet : le 10 reprsente le nombre de connexions acceptes sans qu'un utilisateur ait russi s'identifier, si cela passe au dessus de 10, il y a 30 % de chances que les suivantes soient bloques, et ce pourcentage augmente linairement jusqu' 100 % lorsque le full est atteint, 60 connexions. Trs utile pour viter ce genre de dsagrment. AllowUsers alice bob Ligne ajouter, spcifie les logins des seuls utilisateurs (ici seuls Alice et Bob, pas Carole) autoriss se connecter. Idal pour ouvrir un compte FTP un ami tout en restreignant l'accs au Shell via SSH.
6 sur 8
22/04/2008 08:39
http://doc.ubuntu-fr.org/ssh
sudo squid -z
Grce SSH, les connexions reues par Squid seront des connexions provenant du serveur lui-mme. Mais par dfaut, Squid n'accepte que les connexions loopback. On devrait alors quand mme ajouter une autorisation pour l'adresse IP non loopback (127.0.0.1) du serveur. Vous ouvrez donc le fichier de configuration et vous ajoutez ces deux lignes : acl ordi src 192.168.1.1 http_access allow ordi Dans l'exemple, ordi est le nom que j'ai donn la rgle et 192.168.1.1 est l'adresse IP locale de mon ordinateur. Vous pouvez donc maintenant dmarrer Squid par :
sudo squid start
ou le redmarrer par
sudo squid reload
Squid est normalement prt recevoir les connexions venant de la machine hte. Il faut premirement tlcharger PuTTY si vous ne l'avez pas dj. Il faut ensuite l'ouvrir et marquer l'adresse IP du serveur auquel on veut se connecter. Il faut aller dans l'onglet Tunnels , ajouter un source port , ici j'ai dcid que ce sera le 3128, et une destination, qui est ici l'adresse IP de mon serveur et le port cout par dfaut par Squid (3128) :
On clique sur Apply et on laisse puTTY tourner en fond. On va ensuite dans le navigateur web et on ajoute l'adresse IP loopback du client 127.0.0.1 et le port marqu dans Putty soit ici le 3128 comme proxy. Votre connexion web est maintenant scurise.
7 sur 8
22/04/2008 08:39
http://doc.ubuntu-fr.org/ssh
Ceci dsactive l'identification par GSSAPI qui engendre parfois des dlais lorsqu'elle n'est pas utilise. (Source : http://www.refreshinglyblue.com/2007/5/18/long-delay-before-ssh-authentication)
Liens
Quelques liens en franais pour un complment d'information : SSH : Secure SHell sur math-linux.com http://www.commentcamarche.net/crypto/ssh.php3 http://www.labo-linux.org/articles-fr/mise-en-place-d-un-serveur-ssh/description-ssh http://www.openssh.com/fr/ http://ftp.traduc.org/doc-vf/gazette-linux/html/2006/129/lg129-D.html
Contributeurs : Manu (traduction), gauthier, Id2ndR, Ner0lph, Sploutch. ssh.txt Dernire modification: Le 21/04/2008, 11:25 par 212.99.95.132, 127.0.0.1 Le contenu de ce wiki est sous double licence : CC BY-SA et GNU FDL
8 sur 8
22/04/2008 08:39