Installation et mise en œuvre de OpenSSH sous AIX 5L

Documents pareils
SSH, le shell sécurisé

La sécurité avec SSH. Atelier cctld Dakar, Sénégal. Hervey Allen

Anas Abou El Kalam Sécurité SSH SSH

Antisèches Informatiques. Configuration et utilisation de openssh. Sommaire. Openssh pour linux. Installation. 1 sur 24 04/06/ :04

SSH et compagnie : sftp, scp et ssh-agent

Services Réseau SSH. Michaël Hauspie. Licence Professionnelle Réseaux et Télécommunications

Table des matières Hakim Benameurlaine 1

Manuel des logiciels de transferts de fichiers File Delivery Services

ROYAUME DU MAROC. Office de la Formation Professionnelle et de la Promotion du Travail. Ssh sous Gnu/Linux

SSH : Secure SHell. De l utilisateur à l administrateur. Version du 21/10/2004. Frédéric Bongat [fbongat@lmd.ens.fr]

Accès aux ressources informatiques de l ENSEEIHT à distance

I. Linux/Unix/UnixLike

Modernisation et développement d applications IBM i Stratégies, technologies et outils. Volubis.fr

Configuration de Gentoo 12.x

Les commandes relatives aux réseaux

Devoir Surveillé de Sécurité des Réseaux

FTP-SSH-RSYNC-SCREEN au plus simple

Installation du transfert de fichier sécurisé sur le serveur orphanet

Les différentes méthodes pour se connecter

1. Utilisation PuTTY openssh WinSCP

Sauvegarde automatique des données de GEPI

sshgate Patrick Guiran Chef de projet support

OpenSSH. Présentation pour le groupe SUR (Sécurité Unix et Réseaux) 08/03/2005. Saâd Kadhi

Guide Installation Serveur Extensive Testing

SSH Préambule. Olivier Hoarau (olivier.hoarau@fnac.net) V1.0 du

SSH: Secure Shell Login

Préparation LPI. Exam Securité. Document sous licence Creative commons «by nc sa» nc sa/2.

TP Sur SSH. I. Introduction à SSH. I.1. Putty

Guide Installation Serveur Extensive Testing

Présentation et Mise en Oeuvre de SSF/SSH Documentation extraite de la formation continue INPG "Internet et Intranet"

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Note technique. Recommandations pour un usage sécurisé d (Open)SSH

PUPPET. Romain Bélorgey IR3 Ingénieurs 2000

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

il chiffrer les flux d'authentification et les flux de données il n'y a pas de soucis d'ouverture de ports avec des modes actif/passif à gérer

Sécuriser ses connexions avec OpenSSH5.1p1

SSH. Romain Vimont. 7 juin Ubuntu-Party

IceWarp serveur sur Linux : Guide d'installation

Secure SHell. Faites communiquer vos ordinateurs! Romain Vimont ( R om)

MANUEL D UTILISATEUR. Mettre en place un canal SFTP. Version 13

Plan du Cours. 1. Architecture du Réseau

Mise en place d un serveur trixbox sur un domaine Kwartz. Version 1.0 du 25 juin 2012 Lycée Polyvalent d Artois, Noeux les Mines Adrien Bonnel

Installation d'un FreeNAS (v0.684b du 30/03/2007) pour sauvegarder les données d'un ZEServer

Installation de VirtualPOPC-1 sur Ubuntu Server LTS 64bits

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 5

INFO-F-404 : Techniques avancées de systèmes d exploitation

Mac OS X à l IPN d Orsay GUIDE DE L UTILISATEUR

Installation d'un serveur sftp avec connexion par login et clé rsa.

I. Présentation du serveur Samba

Serveur de sauvegardes incrémental

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Projet Administration Réseaux

Les techniques de la télémaintenance

Projet de mise en œuvre d un serveur ftp sur serveur dédié

ArcGis Server 10 (sur VM CentOS bits) DOCUMENT D INSTALLATION

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Département R&T, GRENOBLE TCP / IP

Contrôle de la DreamBox à travers un canal SSH

Aide-Mémoire unix. 9 février 2009

Interconnexion de serveurs Asterisk avec IAX

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Le protocole SSH (Secure Shell)

Sauvegardes par Internet avec Rsync

Commandes Linux. Gestion des fichiers et des répertoires. Gestion des droits. Gestion des imprimantes. Formation Use-IT

Comment surfer tranquille au bureau

Programmation Réseau SSH et TLS (aka SSL)

Hardware Information Partitionnement sous AIX avec une console HMC ESCALA POWER5 REFERENCE 86 F1 34EW 00

Couche application. La couche application est la plus élevée du modèle de référence.

Ajout et Configuration d'un nouveau poste pour BackupPC

Vade mecum installation et configuration d une machine virtuelle V5.1.0

Gérard Castagnoli OSU PYTHEAS 25/06/2013 VVT2013 1

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

Déploiement de SAS Foundation

Contrôles des identifiants Nessus pour Unix et Windows. 17 janvier 2014 (Révision 32)

Enoncé du TP 7 Réseaux

Amiens Métier 39 : Gestion des réseaux informatiques. Jour 2, première partie. Durée : 3 heures

TP LINUX : MISE EN PLACE DU SERVEUR DE MESSAGERIE QMAIL

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva

Service FTP. Stéphane Gill. Introduction 2

Dexia Guide d installation de NetWorker Server 25 juin Legato Systems, Inc.

TP LINUX : LINUX-SAMBA SERVEUR DE FICHIERS POUR UTILISATEURS WINDOWS

NOUVELLES TECHNOLOGIES RESEAUX SSH SSL TLS

Serveur de sauvegarde à moindre coût

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Client SFTP Filezilla. Version anglaise du client 1/14

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

OpenSSH for Windows - 1 / 22 - I.Présentation...2

LINUX REMPLAÇANT WINDOWS NT

Procédure d installation d AMESim 4.3.0

Protection des protocoles

Mise en place d un serveur de sauvegarde à moindre coût

Cours 14. Crypto. 2004, Marc-André Léger

Cours Linux. Cours en ligne Administrateur Systèmes Linux. Académie Libre

Installation d'un serveur FTP géré par une base de données MySQL

Administration de Parc Informatique TP07 : Installation de Linux Debian

Transcription:

Installation et mise en œuvre de OpenSSH sous AIX 5L Marie-Lorraine BONTRON (IBM Suisse) Introduction à OpenSSH Vous êtes administrateur d IBM eserver pseries et souhaitez améliorer la sécurité et l intégrité de vos systèmes AIX, vous pouvez remplacer les services réseaux standard, réputés peu fiables, par les services sécurisés fournis par OpenS nssh (Open Secure SHell). OpenSSH est un logiciel de type open source qui supporte les protocoles SSH1 et SSH2. Cet outil est largement accepté par l industrie IT pour remplacer les r-commands, Telnet et les services ftp, en établissant des sessions sécurisées et cryptées entre deux machines à travers le réseau. Très facile à configurer, OpenSSH utilise la méthode d authentification par clef f publi liqu que / clef f privée vée. Le produit OpenSSH Nom du produit IBM : opensshi Version : openssh 3.4.0 (octobre 2002) Version d AIX : AIX 5L - ML2 Prérequis : rpm.rte (RPM Package Manager) > 3.0.5.20 - format installp openssl (secure socket layer) - format rpm prgnd (pseudo random number generator daemon) - format rpm 1

Installation Où trouver openssl et prgnd Sur Internet (définir un login/passwd) : http://www6.software.ibm.com/dl/aixtbx/aixtbx-p/ Sur le CD-ROM : AIX toolbox for Linux applications Où trouver opensshi Sur Internet : http://oss.software.ibm.com/developerworks/projects/opensshi Sur le CD-ROM : CD AIX 5L for Power version 5.1 Bonus pack (depuis avril 2002) Installation des rpm openssl et prgnd # rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm (version d octobre 2002) # rpm -i openssl-0.9.6e-2.aix4.3.ppc.rpm (version d octobre 2002) ( optionnel ( # rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm - outil de développement ( # rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm - documentation Installation de opensshi # cd répertoire_with_opensshi_tar_file.z # ls openssh_install.tar.z # zcat openssh_install.tar.z tar xf - # ls openssh.base openssh.man.en_us openssh.license openssh.msg.en_us openssh_install.tar.z # inutoc. # smitty install_latest 2

Si l installation de openssh.base ne marche pas : Vérifier l existence du fichier /.ssh/prngd qui est créé par prngd dans le home de l utilisateur root. Si c est nécessaire, passer la commande : #ln -s $HOMEROOT/.ssh /.ssh Vérification de l installation Il est possible de vérifier l installation de deux manières : Soit : # lslpp -L openssl openssl 0.9.6e C R Secure Sockets Layer and ( openssl-devel 0.9.6e C R Secure Sockets Layer and ( openssl-doc 0.9.6e C R OpenSSL miscellaneous files Soit : # rpm -q openssl openssl-0.9.6e-2 # rpm -qa egrep (openssl prng) prngd-0.9.23-2 openssl-0.9.6e-2 ( openssl-doc-0.9.6e-2 ( openssl-devel-0.9.6e-2 # lslpp -l grep ssh openssh.base.client 3.4.0.0 COMMITTED Open Secure Shell Commands openssh.base.server 3.4.0.0 COMMITTED Open Secure Shell Server openssh.license 3.4.0.0 COMMITTED Open Secure Shell License openssh.man.en_us 3.4.0.0 COMMITTED Open Secure Shell openssh.base.client 3.4.0.0 COMMITTED Open Secure Shell Commands openssh.base.server 3.4.0.0 COMMITTED Open Secure Shell Server 3

Gestion du serveur OpenSSH Démarrage des daemons sshd et prngd Au moment du boot, l entrée suivante dans /etc/inittab démarre tous les scripts commençant par S dans le répertoire /etc/rc.d/rc2.d. l2:2:wait:/etc/rc.d/rc 2 # ls -al /etc/rc.d/rc2.d grep ssh -r-xr-xr-x 1 root system 307 16 jul 11:12 Ksshd -r-xr-xr-x 1 root system 308 16 jul 11:12 Ssshd Le daemon prngd est démarré via /etc/inittab : # grep prngd /etc/inittab prng:2:wait:/usr/bin/startsrc -sprngd Le fichier /etc/ssh/sshd_config contient la configuration du daemon sshd. Une modification dans ce fichier nécessite l arrêt et le redémarrage du daemon sshd. Le redbook (sg24-6606-00) Managing AIX server farms, au chapitre 4.2, recommande de : configurer uniquement le protocole SSH2 avec les clefs d encryption DSA, régénérer périodiquement les clefs du serveur. Editer le fichier /etc/ssh/sshd_config :... Port 22 Protocol 2... # HostKey for protocol version 1 # HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 # HostKey /etc/ssh/ssh_host_rsa_key # HostKey /etc/ssh/ssh_host_dsa_key... sshd et prngd sont enregistrés comme des sous-systèmes AIX, on peut donc les contrôler avec les commandes startsrc et stopsrc : # startsrc -s sshd 0513-059 The sshd Subsystem has been started. Subsystem PID is 50360. 4

Génération des clefs des machines Les clefs d une machine (serveur / host) sont générées automatiquement au moment de l installation du fileset opensshi. Cryptage DSA Clef privée : /etc/ssh/ssh_host_dsa_key Clef publique : /etc/ssh/ssh_host_dsa_key.pub Cryptage RSA Clef privée : /etc/ssh/ssh_host_rsa_key Clef publique : /etc/ssh/ssh_host_rsa_key.pub Génération de nouvelles clefs Utiliser les commandes : # ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key # ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key ATTENTION : La passphrase demandée doit être vide (appuyer sur <Enter>) sinon sshd ne démarrera pas car il ne peut pas décrypter la clef privée lors du démarrage. Les permissions sur les fichiers de clefs privés doivent être 0600. # ls -al /etc/ssh/*_key -rw 1 root system 672 16 jul 11:13 /etc/ssh/ssh_host_dsa_key -rw 1 root system 515 16 jul 11:13 /etc/ssh/ssh_host_key -rw 1 root system 887 16 jul 11:12 /etc/ssh/ssh_host_rsa_key Vérification du fonctionnement de sshd La commande suivante permet de vérifier le protocole et la version d openssh : # tn 127.0.0.1 22 Trying... Connected tau 127.0.0.1. Escape character is ^T. SSH-2.0-OpenSSH_3.4p1 (Appuyer sur < Ctrl > et < C > pour terminer) 5

Utilisation de OpenSSH en tant que user Génération des clefs pour l utilisateur user Type DSA - protocole SSH2 user@hishost> ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which tau save thé key (/home/user/.ssh/id_dsa): Enter passphrase (empty for no passphrase): xxxxxxxxxx Enter same passphrase again: xxxxxxxxxx Your identification has been saved in /home/user/.ssh/id_dsa. Your public key has been saved in /home/user/.ssh/id_dsa.pub. The key fingerprint is: f4:2d:2d:b3:93:35:cd:c4:6c:7f:b3:4d:0e:a0:66:d6 user@hishost.astaix.france.ibm.com Type RSA - protocole SSH2 user@hishost> ssh-keygen -t rsa Type protocole SSH1 user@hishost> ssh-keygen -t rsa1 Remarques Une passphrase doit être plus compliquée qu un mot de passe (password)... Elle n est entrée qu une fois par session, au moment de l authentification sur la machine du user. La clef publique du user se trouve : en SSH2 dans : $HOME/.ssh/id_dsa.pub et : $HOME/.ssh/id_rsa.pub en SSH1 dans : $HOME/.ssh/identity.pub user@hishost> ls -al $HOME/.ssh -rw 1 user staff 736 18 jul 09:46 id_dsa -rw-r r 1 user staff 626 18 jul 09:46 id_dsa.pub user@hishost> pg $HOME/.ssh/id_dsa.pub ssh-dss AAAAB3NzaC1kc3MAAACBAKn3OnjLAwl/TGEX0oC+wzdbPtbyXsCbsId98qToyrJ1oJte.........+lxxl4iijvbJpgQ= user@hishost.astaix.france.ibm.com 6

La clef est sur une seule ligne. L adresse e-mail en 3 champ peut être modifiée en éditant le fichier (c est un commentaire). Utilisation de ssh, scp, sftp... Supposons que l utilisateur user soit autorisé à se connecter (log in) comme utilisateur root de la machine otherhost. Il n aura pas besoin de connaître un mot de passe si l administrateur de otherhost ajoute la clef publique ssh de user dans le fichier des clefs autorisées de root (dans : /.ssh/authorized_keys2 en SSH2 ou authorized_keys en SSH1). root@otherhost> pg /.ssh/authorized_keys2 ssh-rsa \ AAAAB3NzaC1yc2EAAAABIwAAAQEA5HJVaJxE/fdzQYb6cUY2jvDzAzYcyhvpuicdf0VOjVoMwecAdvZ6/ FXH0n36LFFjuW6XBIa3F2yIsWCt6EU0P/PGz09T964aA/3iAXV9zq+PWDEDGtf0dfkTDH57uUVGjZo55A C2kBBbvNNo+I+J9S3VChHpLN1m7f8UR32HmU1X8l5m7k37/RIqoA9VBZUidvc+kujq51ekJ0ncngZeSAz ITgf/UJ40eSIWxkkzydJNQe5BxAm0wEy7CNdLwAINslFVwD89zYBuylldJArvzg1Gok37XMokoE2RU3MQ S2XixrpqaL28Cv2XHKpk6jjML/jM0Q/ /OGFqiA1rQgJFlw== martin@test133_2.astaix.france.ibm.com ssh-dss \ AAAAB3NzaC1kc3MAAACBAKn3OnjLAwl/TGEX0oC+wzdbPtbyXsCbsId98qToyrJ1oJ7AnL1+APsb81Zy GbYnKPlfOvmOQpKj/tQGeJDcBoIjp/j3S5qYG34FrFUUr37kCH61/lwieGNyjFvHQ+95esS5v1v3SDFY BpRfQrq+ToRwY9eBVuW7ViRBfO95wP8TAAAAFQCeSuzIfYwQbr4jGI0MpThoHz8kSwAAAIAeU8Pqe3DU 4qwtMajPIC7Ouzd4D/p77iJ1X1a8YpM8HcLwmwjP41U1JWYh+HS59ZLSyBK2wrg7sr/RvV9Cn0ILysIm qk3f1uo1moofthc/1lpvi+uky7vg8j7xigq0exhughj5lnz9jipiolggflm/h8dvn+bxu3v2lfdtxmhu MwAAAIEAjwAenSewO1cT5tdmnrh9sBs2FXq7/DXTeiKdCbkY8d9F8Ild8K1DSVOx2zxpFTOII4s5++sB V0tYXzUXMRtiJJupZRrOSrXOjOviWFtTYxhCUNuMMucZrRKeTpWyAWLLlI1IgcgNDfGgMSEzpeZuX6gr cnzv+lxxl4iijvbjpgq= user@fr.ibm.com On voit ici, que l utilisateur martin peut également se connecter en tant que root sur otherhost, avec une clef de type rsa. Authentification dans une fenêtre X sur la machine locale user@hishost> ssh-agent ksh (ou autre shell, tcsh, bash...) user@hishost> ssh-add $HOME/.ssh/id_dsa Enter passphrase for /home/user/.ssh/id_dsa: xxxxxxxxx Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) user@hishost> env grep SSH SSH_AUTH_SOCK=/tmp/ssh-xfc44098/agent.44098 SSH_AGENT_PID=44018 Par exemple, sur CDE toutes les dtterms ouvertes depuis cette fenêtre héritent de l authentification SSH. Voir aussi l option X11forwarding qui fait suivre l authentification et le DISPLAY de machine à machine. 7

Login de user sur otherhost user@hishost> ssh otherhost -l root The authenticity of host otherhost (9.101.4.72) can t be established. RSA key fingerprint is b4:85:0b:06:c9:61:12:25:48:73:dd:2f:24:8f:1d:64. Are you sure you want tau continue connecting (yes/no)? yes Warning: Permanently added otherhost,9.101.4.72 (RSA) to the list of known hosts. otherhost@root> La question Are you sure... n est posée que la première fois où user se connecte depuis un host inconnu de otherhost. En environnement openssh, les paramètres ssh, scp et sftp remplacent respectivement rsh, rcp et ftp. PuTTY: client ssh pour Windows Ce produit peut être déchargé à partir du site Internet suivant : http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back