Outils pour utilisateurs

Outils du site


debian10:ssh

Configurer et utiliser SSH

Il nous vous faut un pc client et un serveur. C'est mieux 8-).

Dans quel but

Il s’agit de mettre en place une liaison entre un client et un serveur qui garanti des transactions sécurisées.
Utiliser les ressources du serveur distant dans un tunnel, voir VNC.
Installer un système de clés asymétriques permettant d'augmenter la sécurité des connexions.

Avec ssh, tout est crypté.

Installation

apt install openssh-server (sur la machine distante (serveur))
apt install openssh-client (sur la machine utilisée pour piloter le serveur)

Utilisation simple

Dans le terminal:

ssh ip_du_serveur

ou

ssh utilisateur@ip_du_serveur

Le mot de passe sera demandé puis si c'est la première connexion il faudra accepter l'échange de clés d’authentification entre machine.

Voilà on est connecté au serveur.


Utilisation mieux sécurisée en utilisant les clés asymétriques d’authentification

Pour cela vous devez mettre en place des clés qui serviront à ssh pour vous authentifier.

On va définir une paire de clés, *une publique qui sera copiée sur le serveur distant *une privée a conserverez sur sa machine.

La contine du captnfab ( Captnfab administrateur) :
La clé publique c'est un peu la serrure.
La clé privée est la clé.
Tu peux distribuer ta serrure à tout le monde et quand tu viens, tu viens avec ta clé et ça ouvre les portes.

Créer une paire de clé

$ cd
$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jpg/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/jpg/.ssh/id_rsa.
Your public key has been saved in /home/jpg/.ssh/id_rsa.pub.
The key fingerprint is:
5c:d9:d8:c5:3d:8d:0b:10:33:42:9c:83:45:a1:d0:61 

Vérification de .ssh. Attention il y a un “.” devant ssh

jpg@tuxmachine:~$ ls -alR .ssh
.ssh:
total 56
drwx------   2 jpg jpg 4096 mars   2 18:14 .
drwxr-xr-x 135 jpg jpg 4096 mai    1 15:52 ..
-rw-------   1 jpg jpg 1743 sept. 23  2007 id_rsa
-rw-------   1 jpg jpg  630 juin   5  2008 id_rsa.keystore
-rw-r--r--   1 jpg jpg  392 sept. 23  2007 id_rsa.pub
-rw-------   1 jpg jpg   48 sept. 23  2007 key_fingerprint
-rw-r--r--   1 jpg jpg  888 avril 25 20:32 known_hosts
jpg@tuxmachine:~$ 

Cette commande a généré une paire de clé RSA de 2048 bits.
Par défaut les clés sont stockées dans ~/.ssh/id_rsa.pub et ~/.ssh/id_rsa

Lors de la création une passphrase est demandée pour protéger les clés. Il est fortement conseillé d'en mettre une
Les droits sur les clés sont Imperatif rw uniquement au propriétaire, dans le cas contraire ssh refusera la connexion.

Modifier sa passphrase

jpg:$ ssh-keygen -p -f ~/.ssh/id_rsa
Enter old passphrase:
Key has comment '/home/jpg/.ssh/id_rsa'
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.

Exporter la clé publique (.pub) vers le serveur

ssh-copy-id -i ~/.ssh/id_rsa.pub utilisteur@ip_du_serveur

Le système distant demande votre mot de passe pour autoriser la connexion et copier la clé au bon endroit (.ssh/autorized_key)

Vérifier que ça fonctionne.

Il faut se déconnecter puis se reconnecter, ssh va demander la passphrase pour pouvoir établir la connexion sécurisé avec le serveur, cela ne sera plus demandé tant que le terminal ne sera pas fermé plus de 15 mn.

Utiliser un agent ssh

Utiliser un agent ssh, évite d'avoir à retaper la “passphrase” à chaque fois que l'on sollicite l'utilisation de la clé privée.
Un agent ssh stocke en mémoire la clés privées.

Installation de keychain, un agent ssh

apt install keychain
configuration de keychain

Modifier le fichier .bashrc en y rajoutant les lignes suivantes:


###########################################################################
# allow $USER to use keys. Only enter once and it will remain enabled till
# you delete it or reboot the server 
###########################################################################
/usr/bin/keychain $HOME/.ssh/id_rsa
source $HOME/.keychain/$HOSTNAME-sh

Relancer le terminal, keychain demande la passphrase.

qui restera en mémoire jusqu’à ce que quelque chose change sur le serveur.
allow $USER to use keys. Only enter once and it will remain enabled till you delete it or reboot the server 
debian10/ssh.txt · Dernière modification: 2020/05/01 16:33 par jpg