ssh: usage des clefs, et exemples de tunnels ssh



Documents pareils
SSH, le shell sécurisé

Anas Abou El Kalam Sécurité SSH SSH

La sécurité avec SSH. Atelier cctld Dakar, Sénégal. Hervey Allen

Installation et mise en œuvre de OpenSSH sous AIX 5L

Antisèches Informatiques. Configuration et utilisation de openssh. Sommaire. Openssh pour linux. Installation. 1 sur 24 04/06/ :04

Installation du transfert de fichier sécurisé sur le serveur orphanet

Table des matières Hakim Benameurlaine 1

Secure SHell. Faites communiquer vos ordinateurs! Romain Vimont ( R om)

TP Sur SSH. I. Introduction à SSH. I.1. Putty

Accès aux ressources informatiques de l ENSEEIHT à distance

SSH. Romain Vimont. 7 juin Ubuntu-Party

Manuel des logiciels de transferts de fichiers File Delivery Services

SSH : Secure SHell. De l utilisateur à l administrateur. Version du 21/10/2004. Frédéric Bongat [fbongat@lmd.ens.fr]

9 - Installation RDS sur 2008R2 SOMMAIRE. Chapitre 1 Mise en place RDS sous Windows 2008 R2 2

Département R&T, GRENOBLE TCP / IP

Services Réseau SSH. Michaël Hauspie. Licence Professionnelle Réseaux et Télécommunications

Guide de démarrage

SSH et compagnie : sftp, scp et ssh-agent

ROYAUME DU MAROC. Office de la Formation Professionnelle et de la Promotion du Travail. Ssh sous Gnu/Linux

Instructions relatives à l installation et à la suppression des pilotes d imprimante PostScript et PCL sous Windows, version 8

Maintenance et gestion approfondie des Systèmes d exploitation Master 2 SILI. Année universitaire David Genest

Partage de fichiers entre MacOS X et Windows. Partager des fichiers, avec un PC, en travaillant sous MacOSX.

Direction des Systèmes d'information

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Spécifications système. Démarrage de l application CertiBru-Res. Premier accès à l application à partir de cet ordinateur

Ne pas prêter son compte à quelqu un d autre : les comptes informatiques sont strictement personnels.

Utilisation des ressources informatiques de l N7 à distance

Contrôle de la DreamBox à travers un canal SSH

Etape 1 : Connexion de l antenne WiFi et mise en route

Vade mecum installation et configuration d une machine virtuelle V5.1.0

Les différentes méthodes pour se connecter

Installation d'un serveur sftp avec connexion par login et clé rsa.

Devoir Surveillé de Sécurité des Réseaux

Le routeur de la Freebox explications et configuration

OpenSSH. Présentation pour le groupe SUR (Sécurité Unix et Réseaux) 08/03/2005. Saâd Kadhi

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR CUPS. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Guide d installation des licences Solid Edge-NB RB

Exemple : vous voulez tester votre site en local avant de l uploader via FTP chez votre hébergeur externe.

But de cette présentation

Installation d'un TSE (Terminal Serveur Edition)

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

PARAMETRER SAMBA 2.2

Mise en place d un firewall d entreprise avec PfSense

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Mac OS X à l IPN d Orsay GUIDE DE L UTILISATEUR

Exécution de PCCOMPTA à distance sous Terminal Server 2003.

Configurer un réseau domestique. Partager ses fichiers, ses dossiers et ses imprimantes sur tous ses PC.

I. Linux/Unix/UnixLike

1. Utilisation PuTTY openssh WinSCP

Démarrer et quitter... 13

Connexion à distance. Pour configurer les automates Beckhoff via un PC de programmation VERSION : 1.0 / PH

Installation d un ordinateur avec reprise des données

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Sauvegarde de postes clients avec BackupPC

WINDOWS Remote Desktop & Application publishing facile!

CTIconnect PRO. Guide Rapide

TP1 - Prise en main de l environnement Unix.

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

Clément Prudhomme, Emilie Lenel

vcenter Server 1. Interface Lancez le vsphere Client et connectez vous à vcenter Server. Voici la page d accueil de vcenter Server.

Ajout et Configuration d'un nouveau poste pour BackupPC

Accès distant Freebox v6 Configuration

Il est courant de souhaiter conserver à

Les clés d un réseau privé virtuel (VPN) fonctionnel

Sauvegardes par Internet avec Rsync

Serveur de sauvegardes incrémental

Saisie sur un ordinateur OS/390 Ici sur jedi.informatik.uni-leipzig.de ou

L annuaire et le Service DNS

Installation d'un FreeNAS (v0.684b du 30/03/2007) pour sauvegarder les données d'un ZEServer

Année Universitaire ième année IMAC Mardi 6 janvier Cloud computing Travaux Pratiques

Préparation à l installation d Active Directory

LINUX REMPLAÇANT WINDOWS NT

Tutoriel : Utilisation du serveur de calcul à distance de PSE

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

TP 4 de familiarisation avec Unix

Manuel de l utilisateur

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier 1. Installation de Windows Server 2003 Standard Edition (pour le serveur)

Numérisation. Copieur-imprimante WorkCentre C2424

TP4 : Installer configurer un contrôleur de domaine

1 DHCP sur Windows 2008 Server Introduction Installation du composant DHCP Autorisation d'un serveur DHCP...

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Travailler à l'ensimag avec son matériel personnel

Les fichiers de configuration d'openerp

Réseau - VirtualBox. Sommaire

GPI Gestion pédagogique intégrée

Configuration de routeur D-Link Par G225

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Administration Switch (HP et autres)

Routeur TP-Link Lite-N sans fil 4 Port 150Mbps WiFi (TL-WR741ND) Manuel de l utilisateur

Trois types de connexions possibles :

2X ThinClientServer Guide d utilisation

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

ftp & sftp : transférer des fichiers

MANUEL D INSTALLATION Sous WINDOWS

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva

Procédure d installation d AMESim 4.3.0

Prise en main d une Cyberclasse

Des postes Des OS (Win/Linux) et logiciels Un réseau Un identifiant + un mot de passe Un compte personnel Une adresse électronique Un espace web Des

Transcription:

ssh: usage des clefs, et exemples de tunnels ssh «Sois fainéant (ou conseil à un nourisson)», Coluche, 1977 Contents AVERTISSEMENT SECURITE......................................... 1 1 Gestion des clefs ssh, ou comment s abstenir de rentrer son mot de passe? 2 1.1 Connexions sans mot de passe........................................ 2 1.2 Générer le couple de clefs publique/privée (id_rsa.pub/id_rsa)..................... 2 copier la clef publique id_rsa.pub sur l hôte cible............................. 2 Enfin, ajouter la clef publique au fichier /.ssh/authorized_keys..................... 3 1.3 Connexions sans mot de passe, avec passphrase.............................. 3 2 Astuces et pistes supplémentaires pour ne pas se fatiguer 3 2.1 prendre le même login sur votre portable perso qu au laboratoire.................... 3 2.2 déclarer univ-littoral.fr comme domaine de recherche........................... 4 2.3 mieux : configurer/renseigner le fichier ~/.ssh/config.......................... 4 3 Exemples de tunnels ssh: impression depuis EDUROAM, accès au serveur de jeton matlab 4 3.1 Exemple 1: imprimer depuis le réseau eduroam.............................. 4 3.2 Exemple 2: accéder au serveur de jeton MATLAB............................ 5 3.3 Simplifier le tout(!) : ajuster ~/.ssh/config et le fichier ~/.alias (ou ~/.bashrc)............. 5 ( et d une manière plus général, comment alléger les procédures de connexions ) AVERTISSEMENT SECURITE Il est important de bien comprendre que les manipulations qui suivent entraînent des risques du point de vue sécurité: si une personne vous vole votre clef privée, il a libre accès à votre compte sans mot de passe, depuis n importe quelle machine. Pensez aussi aux autres: je sais que certaines personnes arguent qu ils n ont pas grand chose sur leur comptes labo en tout cas pas de secrets d états, donc peu importe la qualité du mot de passe etc Ok, mais sachez qu une personne mal intentionnée qui aurait un accès indu au serveur du labo. pourrait très probablement occasionner des dégâts qui concernerait tout le laboratoire, voire pire. 1

1 Gestion des clefs ssh, ou comment s abstenir de rentrer son mot de passe? Ceci étant dit, ne pas rentrer systématiquement son mot de passe est intéressant pour ceux qui utilisent de façon intensive les accès via ssh aux différents serveurs: mutt (mail ), calculs ( machines baru nova ), licence à jeton matlab, sauvegardes (via unison ),? 1.1 Connexions sans mot de passe Figure 1: connexion ssh: répertoire et fichiers Remarque : sur un UNIX ( Mac OS, Linux ) tous les les fichiers se trouvent dans le répertoire caché (car le nom du répertoire commence par un «.» ).ssh de votre répertoire d accueil. Pour vérifier que les droits sont corrects : toto@test:~$ ls -a (option -a pour afficher les fichiers/rep. cachés) drwx------ 2 toto test 4096 mars 7 12:14.ssh Ici le répertoire n est bien accessible qu à l utilisateur toto, la clef privée Vous pouvez supprimer ce répertoire et son contenu sans conséquence ( si ce n est d avoir à recommencer les manipulations suivantes :-)) 1.2 Générer le couple de clefs publique/privée (id_rsa.pub/id_rsa) Dans un terminal, taper la commande : ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/toto/.ssh/id_rsa): # Entrée Enter passphrase (empty for no passphrase): #(cf section suivante si non nulle ) Enter same passphrase again: #...une deuxième fois! Your identification has been saved in /home/toto/.ssh/id_rsa. Your public key has been saved in /home/toto/.ssh/id_rsa.pub. The key fingerprint is: 23:3f:65:e0:dd:13:b9:20:8c:74:30:df:41:84:5c:07 copier la clef publique id_rsa.pub sur l hôte cible Tous les coups sont permis cf. comment transférer un fichier, par exemple: toto@mon_portable: scp ~/.ssh/id_rsa.pub mon_login@cible.fr:~/ 2

Enfin, ajouter la clef publique au fichier /.ssh/authorized_keys toto@mon_portable: ssh mon_login@cible.fr # se connecter sur le serveur (cible) mon_login@cible.fr's password: # mon_login@cible.fr: cat id_rsa.pub >> ~/.ssh/authorized_keys # ajout de la clé à la fin du fichier, # (le crée si fichier inexistant) On peut aussi bien entendu utiliser un éditeur pour ajouter la clef à la fin du fichier authorized_keys. (plusieurs clefs sont possibles pour le même compte cible) Vous pouvez réitérer la manipulation sur tous les serveurs que vous utilisez fréquemment et vous connecter désormais sans mot de passe. 1.3 Connexions sans mot de passe, avec passphrase Cette version est la plus sérieuse du point de vue de sécurité. Figure 2: connexion Si vous avez une saisie une «passphrase» lorsque vous avez générez les deux clefs, alors vous êtes dans ce cas de figure. En effet, la méthode exige de renseigner la passphrase (une fois) à chaque session. Vous confiez la passphrase qui protège votre clef privée à «l agent ssh» et ce dernier, autorisera alors toutes les connexions ssh vers les différentes cibles sans mot de passe. Passer la main à l agent ssh : toto@test : ssh-add ~/.ssh/id_rsa Enter passphrase for /home/toto/.ssh/id_rsa: Identity added: /home/toto/.ssh/id_rsa On peut vérifier que la clef privée est bien présente via la commande ssh-add -l ou supprimer des clefs par la commande ssh-add -d <file>. Si l agent ssh ne démarre pas automatiquement em même temps que votre PC, lancez-le avec la commande suivante: toto@test: eval `ssh-agent` 2 Astuces et pistes supplémentaires pour ne pas se fatiguer 2.1 prendre le même login sur votre portable perso qu au laboratoire La connexion au labo : toto@mon_portable : ssh login_labo@piccolo.univ-littoral.fr ( 41 caractères ) deviendrait : login_labo@mon_portable : ssh piccolo.univ-littoral.fr ( 30 caractères ) 3

2.2 déclarer univ-littoral.fr comme domaine de recherche Pour Windows, le domaine de recherche par défaut doit se paramétrer via les propriétés TCP/IP des connexions réseaux du panneau de configuration. Pour les UNIX ajouter la ligne: search univ-littoral.fr dans le fichier /etc/resolv.conf (nécessite les droits administrateur ) La connexion au labo : login_labo@mon_portable : ssh piccolo.univ-littoral.fr ( 30 caractères ) deviendrait : login_labo@mon_portable : ssh piccolo ( 11 caractères ) Enfin, si vous vous connectez via ssh uniquement au laboratoire alors!ssh (4 caractères!) devraient suffire (!commande rappelle la dernière occurrence de commande). 2.3 mieux : configurer/renseigner le fichier ~/.ssh/config # contenu du $HOME/.ssh/config de votre portable Host pic HostName piccolo.univ-littoral.fr User mon_login_labo La connexion s établie simplement avec la commande: toto@mon_portable: ssh pic Vous pouvez multiplier les services dans ce fichier config 3 Exemples de tunnels ssh: impression depuis EDUROAM, accès au serveur de jeton matlab Lorsque vous n êtes pas sur le «bon» réseau (extérieur, EDUROAM ), le tunnel ssh vous permet d accéder malgré tout à des machines dont les services sont soit masqués par le pare-feu de l université, soit simplement disponibles que sur le réseau local du laboratoire. 3.1 Exemple 1: imprimer depuis le réseau eduroam Vous êtes au labo., connecté sur le réseau EDUROAM: vous n avez pas accès au serveur d imprimante ouvrir le tunnel comme suit: ssh -N -f -l votre_login -L 9631:cornet.univ-littoral.fr:631 piccolo.univ-littoral.fr Qu ès aquò? La commande crée un tunnel ssh (port standard 22 - donc non indiqué - du serveur piccolo) en se connectant sur le service d impression de cornet (service cups dont le port standard est 631, inaccessible de l extérieur). Le service cups (port 631) est redirigé sur le port 9631 du localhost de votre portable. Tout se passe comme si le serveur d impression du labo était transféré sur l adresse http://localhost:9631 de votre portable. autres commentaires ( taper la commande man ssh pour plus d information ): -N : simple redirection de port -f : demande l execution en arrière-plan. 4

-l votre_login : votre login de connexion sur piccolo ( login labo ) localhost : toute machine possède une adresse réseau particulière appelée loopback, dont l adresse IP est 127.0.0.1 (taper la commande ping localhost pour vous en convaincre). 9631 : le port de redirection peut-être choisi à votre convenance (1234 aurait pu faire l affaire). Il ne faut pas prendre un port déjà existant ( conflit ) et un nombre > 1024 (les 1024 premiers ports ne peuvent être ouverts que par l administrateur) Ouaip? mais comment j imprime? Toutes les files d impression sont désormais accessibles depuis votre localhost. Prenons l exemple la file hp2 ( HP LaserJet 4200 recto-verso ) # interroger sa disponibilité lpq -U votre_login -h localhost:9631 -Php2 # imprimer le fichier.pdf ( lpr -U votre_login -H localhost:9631 -Php2 fichier.pdf 3.2 Exemple 2: accéder au serveur de jeton MATLAB Vous n êtes pas sur le réseau du laboratoire et vous voulez utilisez Matlab: le service est masqué derrière le pare-feu. Note: pour plus d informations sur l installation et le choix du serveur de jeton, consulter la fiche matlab Pour la version R2014b ( et plus récentes ) de matlab, le tunnel s ouvre comme suit: ssh -f -N -L 27000:localhost:39555 votre_login@biwa.univ-littoral.fr 3.3 Simplifier le tout(!) : ajuster ~/.ssh/config et le fichier ~/.alias (ou ~/.bashrc) éditer (ou créer) le fichier ~/.ssh/config du portable: # matlab versions antérieures à R2014b Host matlab Hostname saxo.univ-littoral.fr LocalForward 27000 127.0.0.1:39555 User votre_login #version >= R2014b Host matlab2 Hostname biwa.univ-littoral.fr LocalForward 27000 127.0.0.1:39555 User votre_login Host print Hostname piccolo.univ-littoral.fr LocalForward 9631 cornet.univ-littoral.fr:631 User votre_login A partir de là les commandes pour ouvrir les tunnels ( impression et matlab ) se réduisent à # acces imprimantes ssh -f -N print # acces à Matlab version >= R2014b ssh -f -N matlab2 Un petit plus : éditer le ~/.bashrc du portable Mac ou Linux 5

# établir les tunnels pour l'impression et accès aux jetons matlab alias tprint='ssh -f -N print' alias tmatlab='ssh -f -N matlab' alias tmatlab2='ssh -f -N matlab2' # alias pour imprimer (une fois le tunnel établi!) # impression recto-verso sur imprimanteq HP 4200 et HP 602M (salle commune) alias imp2='lpr -U votre_login -H localhost:9631 $1 -Php2' alias imp='lpr -U votre_login -H localhost:9631 $1 -Php' #interrogation hp hp2 alias impq2='lpq -U votre_login -h localhost:9631 -Php2' alias impq='lpq -U votre_login -h localhost:9631 -Php' Ainsi, au final, les commandes se résument à : # avant de lancer matlab, ouvrir le tunnel tmatlab # ouverture du tunnel pour les impressions: tprint # imprimer un fichier (recto-verso, sur HP4200) imp2 le_fichier.ps Quelques liens/sources : http://formation-debian.via.ecp.fr/ssh.html http://plm-doc.math.cnrs.fr/doc/spip.php?article39 http://www.tuteurs.ens.fr/internet/loin/tunnel.html 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back