SSH
Définition
Protocole réseau sécurisé permettant d’établir une connexion TCP avec une machine distante pour y envoyer et recevoir des données.
- le client et le serveur s’authentifient mutuellement, ce qui évite que des pirates se fassent passer pour l’un ou pour l’autre
- les données échangées sur le réseau sont chiffrées, ce qui garantit leur confidentialité
Se connecter
L’utilisation de SSH pour se connecter à une machine est extrèmement simple.
machineloc ~ $ssh login@machinedist
Authentification
- Par mot de passe
- La façon la plus simple de s’identifier est le mot de passe.
- Par Clé publique
- Une autre méthode utilise ce qu’on appelle une « clef publique », c’est-à -dire un code qui vous identifie.
- il faut que PubkeyAuthentication soit positionné à yes dans les fichiers de configuration
- Type de clé
- SSH1 utilise généralement des clefs RSA1, et SSH2 des clefs DSA.
- Pour connaître la version de SSH distante, tapez
ssh -vsur la machine distante.
- Génération de la clé
- Pour générer une clef DSA (SSH2) :
machineloc ~ $ ssh-keygen -t dsa - Le générateur de clefs va en générer une clef publique et une clef privée. Il va placer la clef privée par défaut sous
$HOME/.ssh/id_dsapour SSH2 et sous$HOME/.ssh/identitypour SSH1 -
Appuyez sur
Enterpour accepter la localisation de la clé. -
ssh-keygenvous demande ensuite une « passphrase » Cette phrase sert à fortifier la clef pour la rendre plus difficilement cassable. à€ partir de là , deux solutions :- si vous tapez une phrase, votre connection sera plus sûre, mais vous devrez utiliser
ssh-agentpour ne pas avoir à la retaper à chaque fois (voir plus bas)
- vous ne tapez pas de phrase (et appuyez seulement sur
Enter), votre connexion sera moins sûre
- si vous tapez une phrase, votre connection sera plus sûre, mais vous devrez utiliser
- Pour générer une clef DSA (SSH2) :
- Placer les clés
- Maintenant, sur la machine distante, allez dans le répertoire
.sshet éditez le fichierauthorized_keys: ajoutez à la fin, et sur une seule ligne la clef publique (identity.pubpour SSH1 ouid_dsa.pubpour SSH2).
- Maintenant, sur la machine distante, allez dans le répertoire
- SSH-Agent
- Si vous avez opté pour la solution « phrase de passe », votre connexion est plus sûre. Mais vous devez taper à chaque fois ladite phrase… Solution, utiliser
ssh-agent. - Il faut lancer
ssh-agent, qui gère les clefs d’identification. Comme l’agent est disponible dans tous les programmes qui découlent, on le lance au début d’une session. Par exemple, quand vous ètes en mode texte et que vous lancez le serveur X( ssh-agent startx ) - Une fois lancé, il faut donner à l’agent la clé à gerer ( ssh-add )
- Si vous avez opté pour la solution « phrase de passe », votre connexion est plus sûre. Mais vous devez taper à chaque fois ladite phrase… Solution, utiliser
Commandes
ssh clipper.ens.fr date
ssh -l rozec -X gaia.auto.emn.fr » unset autologout ; matlab -desktop »
sh toto@brick.ens.fr « uname -p »
scp fichier1 fichier2 fichier3 machinedist:
scp -r répertoire machinedist:
scp machinedist:tagada.txt divers
Commande screen
Il faut utiliser la commande « screen » :
– se connecter en ssh sans passer de commande ;
– lancer la commande « screen » ;
– lancer la commande « matlab … » ;
– se déconnecter de « screen » par un « Ctrl AD » ;
– se déconnecter de la session ssh.
– se reconnecter sur la machine , recupérer la main sur la session par un « screen -r <pid-du-process-SCREEN> ».
Attention terminer la session « screen » par un « Ctrl D », sinon elle reste toujours active.
Xforwarding
Pour que cela soit réalisable, il faut activer l’option X11Forwarding dans les fichiers de configuration.
rozec@pcroze:~$ more /etc/ssh/sshd_config
…
X11Forwarding yes
MEMO
sshd : Serveur ssh
scp : Copie distante sécurisée
ssh-keygen : génération de clefs d’authentification, management et conversion
sftp : Transfert sécurisé de fichiers
slogin/ssh : Client ssh
ssh-add : Ajoute les identités DSA ou RSA à l’agent d’authentification
ssh-agent : Agent d’authentification
ssh-keyscan : Recueille les clefs publiques ssh
