SSH et compagnie : sftp, scp et ssh-agent

Documents pareils
Table des matières Hakim Benameurlaine 1

Installation et mise en œuvre de OpenSSH sous AIX 5L

SSH, le shell sécurisé

Installation du transfert de fichier sécurisé sur le serveur orphanet

La sécurité avec SSH. Atelier cctld Dakar, Sénégal. Hervey Allen

Le service FTP. M.BOUABID, Page 1 sur 5

I. Linux/Unix/UnixLike

Les commandes relatives aux réseaux

Atelier individuel. Linux 101. Frédérick Lefebvre & Maxime Boissonneault frederick.lefebvre@calculquebec.ca U. Laval - Janv. 2014

TP Sur SSH. I. Introduction à SSH. I.1. Putty

Linux LTE 2 - ISSBA. Année universitaire Linux Réseau et Archivage. Jean-Michel RICHER Faculté des Sciences, H206 1

SSH. Romain Vimont. 7 juin Ubuntu-Party

PPe jaune. Domingues Almeida Nicolas Collin Leo Ferdioui Lamia Sannier Vincent [PPE PROJET FTP]

Atelier Le gestionnaire de fichier

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

Anas Abou El Kalam Sécurité SSH SSH

Projet Administration Réseaux

Manuel des logiciels de transferts de fichiers File Delivery Services

Bon ben voilà c est fait!

OpenSSH. Présentation pour le groupe SUR (Sécurité Unix et Réseaux) 08/03/2005. Saâd Kadhi

Sauvegardes par Internet avec Rsync

ftp & sftp : transférer des fichiers

Tutorial Terminal Server sous

Services Réseau SSH. Michaël Hauspie. Licence Professionnelle Réseaux et Télécommunications

Aide-Mémoire unix. 9 février 2009

Les différentes méthodes pour se connecter

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

SSH : Secure SHell. De l utilisateur à l administrateur. Version du 21/10/2004. Frédéric Bongat [fbongat@lmd.ens.fr]

Secure SHell. Faites communiquer vos ordinateurs! Romain Vimont ( R om)

1 Démarrage de Marionnet

Manuel du Desktop Sharing

Serveur de sauvegarde à moindre coût

L3 informatique TP n o 2 : Les applications réseau

ROYAUME DU MAROC. Office de la Formation Professionnelle et de la Promotion du Travail. Ssh sous Gnu/Linux

FlashWizard v4.5b PRO

Installation ou mise à jour du logiciel système Fiery

Contrôle de la DreamBox à travers un canal SSH

TP 1 Prise en main de l environnement Unix

Le protocole SSH (Secure Shell)

Introduction. Adresses

Installation d'un serveur sftp avec connexion par login et clé rsa.

Transférer des fichiers à l aide de WinSCP et 2 contextes d utilisation dans des sites SPIP avec FCK editor

Exécution de PCCOMPTA à distance sous Terminal Server 2003.

Manuel de KNetAttach. Orville Bennett Traduction française : Pierre Hécart Relecture de la documentation française : Ludovic Grossard

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Administration de Parc Informatique TP07 : Installation de Linux Debian

ARes - Lab n 2. Couche application (1) : Telnet, SSH, FTP, TFTP et Web

0.1 Mail & News : Thunderbird

Antisèches Informatiques. Configuration et utilisation de openssh. Sommaire. Openssh pour linux. Installation. 1 sur 24 04/06/ :04

Serveurs de noms Protocoles HTTP et FTP

Maintenir Debian GNU/Linux à jour

Procédures informatiques administrateurs Création d un serveur FTP sous Linux

TP1 - Prise en main de l environnement Unix.

DOCUMENT D ACCOMPAGNEMENT POUR L INSTALLATION DU LOGICIEL ESTIMACTION

Chapitre VII : Principes des réseaux. Structure des réseaux Types de réseaux La communication Les protocoles de communication

Couche application. La couche application est la plus élevée du modèle de référence.

Serveur FTP. 20 décembre. Windows Server 2008R2

Guide d installation de MySQL

Accès aux ressources informatiques de l ENSEEIHT à distance

avast! EP: Installer avast! Small Office Administration

Introduction à Linux (pour le HPC) «Linux 101» Présentation :

Transfert de fichiers (ftp) avec dreamweaver cs5 hébergement et nom de domaine. MC Benveniste

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Enoncé du TP 7 Réseaux

Manuel du logiciel PrestaTest.

Cisco Certified Network Associate

PPE Installation d un serveur FTP

TP 4 de familiarisation avec Unix

Client SFTP Filezilla. Version anglaise du client 1/14

Manuel de l utilisateur

Manuel de System Monitor

TP LINUX : MISE EN RÉSEAU D UN SERVEUR LINUX

Introduction au protocole FTP. Guy Labasse

Utiliser le portail d accès distant Pour les personnels de l université LYON1

COMMENT INSTALLER LE SERVEUR QIPAIE

Cloud public d Ikoula Documentation de prise en main 2.0

Recommandations pour la protection des données et le chiffrement

Suite logicielle ZOOM version 7.1 Guide d installation 94ZM-ZMJ1F-712

Quelques protocoles et outils réseaux

Administration Réseau sous Ubuntu SERVER Serveur FTP. Installation d un serveur FTP (File Transfert Protocol) sous Ubuntu Server 12.

Partage de fichiers entre MacOS X et Windows. Partager des fichiers, avec un PC, en travaillant sous MacOSX.

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Note technique. Recommandations pour un usage sécurisé d (Open)SSH

Terminal Server RemoteAPP pour Windows Server 2008

Tutoriel Création d une source Cydia et compilation des packages sous Linux

Sauvegarde automatique des données de GEPI

Installation de GFI MailEssentials

il chiffrer les flux d'authentification et les flux de données il n'y a pas de soucis d'ouverture de ports avec des modes actif/passif à gérer

Guide d installation et d utilisation

Créer et partager des fichiers

Réseaux CPL par la pratique

SSH Préambule. Olivier Hoarau (olivier.hoarau@fnac.net) V1.0 du

Pré-requis pour les serveurs Windows 2003, Windows 2008 R2 et Windows 2012

MODE OPERATOIRE CORIM PROGRESS / SECTION MEI. Exploitation Informatique

Services Réseaux - Couche Application. TODARO Cédric

Figure 1a. Réseau intranet avec pare feu et NAT.

Configuration du FTP Isolé Active Directory

Sécurité et Firewall

Transcription:

SSH et compagnie : sftp, scp et ssh-agent Linux Gazette numéro 64 Matteo Dell Omodarme matt@martine2.difi.unipi.it Le but de cet article est de faire une introduction à quelques programmes utiles dans la suite SSH, à savoir sftp, scp, ssh-agent, et ssh-add. Nous supposerons dans ce qui va suivre que le daemon sshd2 est bien configuré et lancé. 1. sftp et vue d ensemble de scp Concentrons-nous sur sftp et scp. Le premier (sftp - en anglais, protocole de transfert de fichier sécurisé) est un client à la mode ftp utilisé pour transférer des fichiers à travers le réseau. Il n utilise pas de daemon FTP (ftpd ou wu-ftpd) pour les connexions, ce qui permet une amélioration significative de la sécurité du système. En fait, en surveillant les fichiers journaux de nos systèmes, nous avons noté que 80% des attaques du mois dernier étaient lancées 1

contre le daemon ftpd. L utilisation de sftp empêche tous ces essais puisqu elle permet d arrêter le daemon wu-ftpd potentiellement dangereux. La seconde (scp - en anglais, copie sécurisée) est employée pour copier des fichiers à travers le réseau de façon sécurisée. C est un remplacement pour la peu sûre commande rcp. sftp et scp n exigent aucun daemon dédié puisque les deux programmes sont liés au serveur sshd. Afin d utiliser sftp et scp vous devez insérer la ligne suivante dans le fichier de configuration /etc/ssh2/sshd2_config : subsystem-sftp sftp-server Vous devez redémarrer sshd après cette modification. Vous pourrez ainsi utiliser sftp et scp sur les systèmes où sshd est en fonction. 1.1. sftp sftp utilise SSH2 pour ses connexions, le transport du fichier bénéficiant ainsi de la meilleure sécurité possible. Il y a deux avantages à utiliser sftp au lieu de ftp : Les mots de passe ne sont jamais transférés en clair, empêchant n importe quelle attaque de type écoute passive. Les données sont chiffrées pendant le transfert, rendant difficile l espionnage ou la modification de la connexion. L utilisation de sftp2 est simple. Supposons que vous vous connectiez à votre compte mon_nom sur la machine serveur1. Pour ce faire, utilisez la commande : sftp mom_nom@serveur1 Quelques options peuvent être spécifiées sur la ligne de commande (voir la page de manuel afférante à sftp pour les détails complets). 2

Quand sftp2 est prêt à accepter des commandes utilisateur, il envoie une invite sftp>. Vous trouverez dans la page de manuel de sftp une liste complète des commandes que l utilisateur peut utiliser, avec parmi elles : quit cd {répertoire} lcd {répertoire} Quitte l application Change le répertoire de travail courant distant Change le répertoire de travail courant local ls [-R] [-l] fichier... lls [-R] [-l] fichier... get fichier... put fichier... mkdir répertoire... Renvoie la liste des fichiers disponibles sur le serveur. Si l argument est un répertoire, son contenu est renvoyé. Quand l option -R est spécifiée, l arborescence est renvoyée récursivement (par défaut, les sous-répertoires des répertoires en argument ne sont pas visités.) Quand l option -l est indiquée, les permissions, propriétaires, tailles et heures de modifications de fichier sont aussi montrées. Quand aucun argument n est spécifié, le contenu du répertoire courant est renvoyé. Les options -R et -l sont mutuellement incompatibles. idem ls, mais sur les fichiers et répertoires locaux. Transfère les fichiers indiqués spécifiés du serveur vers le client. Les répertoires sont récursivement copiés avec leur contenu. Transfère les fichiers indiqués spécifiés du client vers le serveur. Les répertoires sont récursivement copiés avec leur contenu. Essaye de créer le répertoire dont le nom est indiqué en argument 3

rmdir répertoire... Essaye de détruire le répertoire dont le nom est indiqué en argument sftp2 supporte l utilisation de caractères jokers en paramètre des commandes ls, lls, get et put. Le format en est défini dans la page de manuel sshregex. Puisque sftp utilise des techniques de chiffrement, il existe un inconvénent : la connexion est plus lente (d un facteur de 2 ou 3 au vu de mon expérience), mais ce point est d un intérêt marginal considérant les grands avantages de sécurité apportés. Dans un essai conduit sur notre réseau local, un renifleur de réseau pouvait récupérer une moyenne de 4 mots de passe à l heure sur les connexions FTP. La mise en oeuvre de sftp en tant que protocole standard pour le transfert de fichier à travers le réseau a pu éliminer ce problème de sécurité. 1.2. scp scp2 (copie sécurisée) est utilisé pour copier des fichiers à travers le réseau de manière sécurisée. Il utilise SSH2 pour le transfert des données : il utilise la même authentification et fournit la même sécurité que SSH2. C est probablement la manière la plus simple de copier un fichier sur une machine à distance. Supposons que vous voulez copier le fichier nom_fichier contenu dans le répertoire rep_local au répertoire rep_distant de votre compte mon_nom du serveur serveur1. En utilisant scp, vous pouvez taper la ligne de commande : scp rep_local/nom_fichier mon_nom@serveur1:rep_distant Le fichier est ainsi copié en gardant son nom. Des caractères jokers peuvent être utilisés (à ce sujet, consulter la page de manuel de sshregex). La commande : scp rep_local/* mon_nom@serveur1:rep_distant 4

copie tous les fichiers du répertoire rep_local dans le répertoire rep_distant de la machine serveur1. La commande: scp mon_nom@serveur1:rep_distant/nom_fichier. copie le fichier nom_fichier du répertoire distant sur serveur1 rep_distant sur le répertoire local courant. scp supporte bon nombre d options et permet des copies entre deux systèmes distants comme dans l exemple suivant : scp mon_nom@serveur1:rep_distant/nom_fichier mon_nom@serveur2:autre_rep Voyez la page de manuel pour une présentation complète. Évidemment, en utilisant scp, vous devez connaître l arborescence exacte des répertoires de la machine distante, si bien que dans la pratique sftp est souvent préféré 1. 2. Gestion des clés de SSH La suite SSH contient deux programmes permettant de gérer les clés d authentification, permettant à l utilisateur de se connecter sans saisir de mot de passe ou de phrase de passe. Ces programmes sont ssh-agent et ssh-add. 2.1. ssh-agent Dans la page de manuel de ssh-agent, nous pouvons lire : «ssh-agent2 est un programme pour conserver des clés privées d authentification. L idée est que ssh-agent2 est démarré au début d une session X-Window ou d une session de connexion terminal, et que tous les autres programmes ou fenêtres sont lancés en tant 5

que processus fils de ssh-agent2 (la commande lance X ou l interpréteur de commande interactif de l utilisateur). Les programmes lancés par l agent héritent de la connexion à l agent, et l agent est automatiquement utilisé pour l authentification à clé publique lors de connexions à d autres machines utilisant ssh.» Il y a deux manières d utiliser ssh-agent selon que vous utilisiez xdm ou non. Dans le premier cas, il vous faudra modifier votre fichier.xsession de votre répertoire utilisateur ($HOME). Deux procédures pour y arriver : copiez.xsession en.xsession.toto et mettez uniquement la ligne qui suit dans.xsession : exec ssh-agent./.xsession-toto Vous pouvez aussi modifier.xsession et chercher chaque ligne contenant l expression «exec programme». Modifiez ces lignes pour qu elles apparaissent sous la forme «exec ssh-agent programme» Quittez votre session X et redémarrez-la. ssh-agent démarrera la session X en tant que processus fils unique et attendra les clés SSH à ajouter à sa base de données. Si xdm ne tourne pas sur votre machine, la procédure est plus simple car vous n aurez qu à lancer votre session X en utilisant la commande : ssh-agent startx Ainsi, ssh-agent s exécutera correctement. 2.2. ssh-add Dès que ssh-agent est en place, vous pouvez ajouter des identités à sa base de données en utilisant la commande ssh-add. Vous ne pouvez ajouter ces identités que depuis des processus fils d un ancêtre ssh-agent, sinon le message d erreur suivant vous sera affiché : Failed to connect to authentication agent - agent not 6

running? L utilisation de ssh-add est simple : lancez la commande suivante : ssh-add ssh-add balaiera le fichier $HOME/.ssh2/identification qui contient les noms des clés privées utilisées pour l authentification. Si ce fichier n existe pas, le nom standard de la clé privée est utilisé (à savoir : $HOME/.ssh2/id_dsa_1024_a.) Si une clé publique requiert une phrase de passe, ssh-add la demande à l utilisateur : Adding identity: /home/matt/.ssh2/id_dsa_1024_a.pub Need passphrase for /home/matt/.ssh2/id_dsa_1024_a (..) Enter passphrase: Vous pouvez obtenir la liste de toutes les identités endossées par l agent en utilisant la commande ssh-add -l : Listing identities. The authorization agent has one key: id_dsa_1024_a: 1024-bit dsa, (...) 3. Conclusion, liens utiles Beaucoup d utilisateurs de telnet, de rlogin, de ftp ne se rendent pas compte que leur mot de passe est transmis en clair à travers le réseau, mais il l est. L utilisation de protocoles sécurisés a pû permettre une transmission sécurisée à travers des réseaux non-sûrs. SSH, en chiffrant le trafic, élimine pertinemment l écoute clandestine, le détournement de connexion, et d autres attaques réseau. Ces articles sont seulement une introduction à SSH ; vous trouverez plus d informations à ce sujet dans les pages de manuel de ssh, de sshd et de sftp. Vous pouvez obtenir la suite SSH de www.ssh.com/products/ssh/ (http://www.ssh.com/products/ssh), site principal de SSH ou d un site miroir. Vous y trouverez également quelques informations très intéressantes sur la technologie de SSH et la cryptographie en général dans le Tech corner (http://www.ssh.com/tech/). Vous pouvez aussi visiter www.openssh.com (http://www.openssh.com/) où vous pouvez télécharger OpenSSH, mise en oeuvre libre du protocole SSH. La version 7

portable est disponible à www.openssh.com/portable.html (http://www.openssh.com/portable.html). Vous pouvez également lire la FAQ d OpenSSH : www.openssh.com/faq.html (http://www.openssh.com/faq.html). Copyright 2001, Matteo Dell Omodarme Copying license http://www.linuxgazette.com/copying.html Paru dans le numéro 64 de la Linux Gazette, mars 2001. Traduction française par Jérôme Fenal <jerome@fenal.org>. Notes 1. NdT : disons plutôt que scp sera utilisé pour lancer des transferts programmés avec cron, par exemple, et que sftp sera utilisé en mode interactif. 8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back