systemes:linux:ssh

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
systemes:linux:ssh [2016/01/29 14:27] williamsystemes:linux:ssh [2019/02/06 13:03] (Version actuelle) – modification externe 127.0.0.1
Ligne 14: Ligne 14:
  
 ===== Brute Force ===== ===== Brute Force =====
-Pour modifier le port d'écoute, il faut configurer le paramètre **port** avec la valeur souhaitée du fichier sshd_config 
  
-<code bash>10:01:23 root@sshtp:/etc/ssh#cat sshd_config+  * Pour modifier le port d'écoute, il faut configurer le paramètre **port** avec la valeur souhaitée du fichier sshd_config 
 +  * <code bash>10:01:23 root@sshtp:/etc/ssh#cat sshd_config
 #Package generated configuration file #Package generated configuration file
 #See the sshd_config(5)manpage for details #See the sshd_config(5)manpage for details
Ligne 24: Ligne 24:
 …</code> …</code>
  
-Tentative de connexion au serveur : +  * Tentative de connexion au serveur : 
- +  <code bash>10:02:45 William@MBPWx:~# ssh-vp 22222 root@10.203.22.220
-<code bash>10:02:45 William@MBPWx:~# ssh-vp 22222 root@10.203.22.220+
 OpenSSH_6.2p2, OSSLShim 0.9.8r8 Dec 2011 OpenSSH_6.2p2, OSSLShim 0.9.8r8 Dec 2011
 debug1: Reading configuration data /etc/ssh_config debug1: Reading configuration data /etc/ssh_config
Ligne 38: Ligne 37:
  
 ===== Désactiver le root ===== ===== Désactiver le root =====
-Pour interdire la connexion root, il faut mettre le paramètre **PermitRootLogin** à no 
  
-Tentative de connexion au serveur : +  * Pour interdire la connexion root, il faut mettre le paramètre **PermitRootLogin** à no 
- +  * Tentative de connexion au serveur : 
-<code bash>10:04:45 William@MBPWx:~# ssh-vp 22222 root@10.203.22.220 root@10.203.22.220+  <code bash>10:04:45 William@MBPWx:~# ssh-vp 22222 root@10.203.22.220 root@10.203.22.220
  
 root@10.203.22.220's password: root@10.203.22.220's password:
Ligne 50: Ligne 48:
  
 ===== Désactiver l'authentification sans mot de passe===== ===== Désactiver l'authentification sans mot de passe=====
-Pour interdire la connexion root, il faut mettre le paramètre**PermitEmptyPasswords** à no 
  
-===== Limiter le temps d'attente maximum de mot de passe=====  +  * Pour interdire la connexion root, il faut mettre le paramètre**PermitEmptyPasswords** à no 
-Pour modifier le temps d'attente, il faut changer la valeur du paramètre **LoginGraceTime **+ 
 +===== Limiter le temps d'attente maximum=====  
 + 
 +  * Pour modifier le temps d'attente, il faut changer la valeur du paramètre **LoginGraceTime **
  
 ===== Limiter le nombre de tentatives de mot de passe à 2===== ===== Limiter le nombre de tentatives de mot de passe à 2=====
-Pour modifier le nombre de tentatives, il faut changer la valeur du paramètre **MaxAuthTries **à 3 
  
-<code bash>debug1: Next authentication method: password+  * Pour modifier le nombre de tentatives, il faut changer la valeur du paramètre **MaxAuthTries **à 3 
 +  * <code bash>debug1: Next authentication method: password
 root@10.203.22.220's password: root@10.203.22.220's password:
 debug1: Authentications that can continue: public key,password debug1: Authentications that can continue: public key,password
Ligne 67: Ligne 67:
  
 ===== Isoler un utilisateur dans un chroot===== ===== Isoler un utilisateur dans un chroot=====
-Je crée un dossier pour l'utilisateur : 
  
-<code bash>10:38:38 root@sshtp:/etc/ssh# mkdir -p /data/ssh/share/test/</code>+  * Je crée un dossier pour l'utilisateur : 
 +  * <code bash>10:38:38 root@sshtp:/etc/ssh# mkdir -p /data/ssh/share/test/</code>
  
-<code bash>17:24:06 root@sshtp:~# apt-get install debootstrap+  * <code bash>17:24:06 root@sshtp:~# apt-get install debootstrap
 17:24:19 root@sshtp:~#debootstrap wheezy /data/ssh/share/test/ http://http.debian.net/debian/ 17:24:19 root@sshtp:~#debootstrap wheezy /data/ssh/share/test/ http://http.debian.net/debian/
 </code> </code>
  
-Copie des fichiers suivants dans le chroot : +  * Copie des fichiers suivants dans le chroot : 
- +  /etc/apt/sources.list 
-/etc/apt/sources.list +  /etc/passwd 
-/etc/passwd +  /etc/group
-/etc/group +
- +
-Connexion :+
  
-<code bash>17:31:10 William@MBPWx:~# ssh test@10.203.22.220+  * Connexion : 
 +  * <code bash>17:31:10 William@MBPWx:~# ssh test@10.203.22.220
 Password: Password:
  
Ligne 105: Ligne 103:
  
 ====== Empreintes ( fingerprint )====== ====== Empreintes ( fingerprint )======
 +
 Ssh vérifie que l'empreinte du serveur distant n'a pas changé entre deux connexions Ssh vérifie que l'empreinte du serveur distant n'a pas changé entre deux connexions
  
 ===== Sur le client, le fichier d'empreinte est ~/.ssh/known_hosts.===== ===== Sur le client, le fichier d'empreinte est ~/.ssh/known_hosts.=====
-A chaque connexion, nous avons ce message 
  
-<code bash>11:03:00 root@lisa:~# ssh -vp22222 root@10.203.22.220+  * A chaque connexion, nous avons ce message 
 +  * <code bash>11:03:00 root@lisa:~# ssh -vp22222 root@10.203.22.220
 ... ...
 The authenticity of host'[10.203.22.220]:22222 ([10.203.22.220]:22222)' can't be established. The authenticity of host'[10.203.22.220]:22222 ([10.203.22.220]:22222)' can't be established.
Ligne 117: Ligne 116:
 </code> </code>
  
-L'empreinte n'est pas connue, le client nous demande  si on est sûr de cette connexion,et dans l'affirmative, le fingerprint sera enregistré dans le fichier known_hosts. Cela permet, lors d'un changement de fingerprint sur serveur, que le client s'en rende compte et nous en informe. Il protège également de la connexion à un mauvais serveur.+  * L'empreinte n'est pas connue, le client nous demande  si on est sûr de cette connexion,et dans l'affirmative, le fingerprint sera enregistré dans le fichier known_hosts. Cela permet, lors d'un changement de fingerprint sur serveur, que le client s'en rende compte et nous en informe. Il protège également de la connexion à un mauvais serveur.
  
 ====== Utilisation de clés====== ====== Utilisation de clés======
-Les clés sont certainement la meilleure solution de connexion à ce jour. Cela fonctionne par paire (1clé privée et 1 clé publique)+ 
 +Les clés sont certainement la meilleure solution de connexion à ce jour. Cela fonctionne par paire (1 clé privée et 1 clé publique)
  
 ===== Générer un couple de clés avec ssh-keygen sans passphrase.===== ===== Générer un couple de clés avec ssh-keygen sans passphrase.=====
-<code bash>11:07:20 root@lisa:~#ssh-keygen+  * <code bash>11:07:20 root@lisa:~#ssh-keygen
 Generating public/private rsakey pair. Generating public/private rsakey pair.
 Enter file in which to savethe key (/root/.ssh/id_rsa): Enter file in which to savethe key (/root/.ssh/id_rsa):
Ligne 147: Ligne 147:
 </code> </code>
  
-Nous avons désormais dans le home directory, les fichiers contenant clé publique et clé privée.+  * Nous avons désormais dans le home directory, les fichiers contenant clé publique et clé privée dans .ssh .
  
  
  
-===== Transférer la clé sur le serveur par la méthode ssh.===== +===== Transférer la clé sur le serveur par ssh===== 
-<code bash>11:15:09 root@lisa:~#ssh-copy-id -i .ssh/id_rsa.pub root@10.203.22.220+ 
 +  * <code bash>11:15:09 root@lisa:~#ssh-copy-id -i .ssh/id_rsa.pub root@10.203.22.220
 The authenticity of host'10.203.22.220 (10.203.22.220)' can't be established. The authenticity of host'10.203.22.220 (10.203.22.220)' can't be established.
 ECDSA key fingerprint is b0:e0:76:9d:c8:15:91:88:99:02:e9:cf:0c:4e:fb:c2. ECDSA key fingerprint is b0:e0:76:9d:c8:15:91:88:99:02:e9:cf:0c:4e:fb:c2.
Ligne 164: Ligne 165:
  
  
-===== Restreindre le serveur pour qu'il n'accepte les connexions que par clé ===== +===== N'accepter que les connexions que par clé =====
-Pour n'utiliser que les clés, il faut mettre les 3 paramètres suivants :+
  
- ChallengeResponseAuthentication no +  * Pour n'utiliser que les clés, il faut mettre les 3 paramètres suivants : 
- PasswordAuthentication no +  -  ChallengeResponseAuthentication no 
- UsePAM no+  -  PasswordAuthentication no 
 +  -  UsePAM no
  
  
 ===== Modifier la clé privée afin qu'elle ait une passphrase.===== ===== Modifier la clé privée afin qu'elle ait une passphrase.=====
-<code bash>11:21:59 root@lisa:~# ssh-keygen -p -f .ssh/id_rsa+ 
 +  * <code bash>11:21:59 root@lisa:~# ssh-keygen -p -f .ssh/id_rsa
 Key has comment '.ssh/id_rsa' Key has comment '.ssh/id_rsa'
 Enter new passphrase (emptyfor no passphrase): Enter new passphrase (emptyfor no passphrase):
Ligne 180: Ligne 182:
  
  
-Tentative de connexion : +  * Tentative de connexion : 
-<code bash>11:22:25 root@lisa:~# ssh -v root@10.203.22.220 root@10.203.22.220+  <code bash>11:22:25 root@lisa:~# ssh -v root@10.203.22.220 root@10.203.22.220
 ... ...
 debug1: key_parse_private_pem:PEM_read_PrivateKey failed debug1: key_parse_private_pem:PEM_read_PrivateKey failed
Ligne 199: Ligne 201:
  
 ====== Utilisation du shell====== ====== Utilisation du shell======
-===== Afficher le hostname du serveur sans ouvrir de shell distant.===== +===== Afficher le hostname du serveur sans ouvrir de shell distant===== 
-<code bash>11:26:39 root@lisa:~# ssh root@10.203.22.220 hostname+ 
 +  * <code bash>11:26:39 root@lisa:~# ssh root@10.203.22.220 hostname
 Enter passphrase for key'/root/.ssh/id_rsa': Enter passphrase for key'/root/.ssh/id_rsa':
 sshtp sshtp
 </code> </code>
  
-===== Trois exemples différents d'utilisation du pipe.===== +===== Trois exemples différents d'utilisation du pipe===== 
-<code bash>12:37:47 root@lisa:~# ssh root@10.203.22.220 '(cat /etc/hosts | sed -s s/sshtop/sshtp/g >/tmp/testCMD); cat /tmp/testCMD' | grep sshtp+ 
 +  * <code bash>12:37:47 root@lisa:~# ssh root@10.203.22.220 '(cat /etc/hosts | sed -s s/sshtop/sshtp/g >/tmp/testCMD); cat /tmp/testCMD' | grep sshtp
 Enter passphrase for key'/root/.ssh/id_rsa': Enter passphrase for key'/root/.ssh/id_rsa':
 127.0.1.1 sshtp 127.0.1.1 sshtp
Ligne 219: Ligne 223:
  
 ======  Transferts de fichiers====== ======  Transferts de fichiers======
-===== Transférer un fichier par le biais de SCP.===== +===== Transférer un fichier par le biais de SCP===== 
-<code bash>13:16:53 root@lisa:~# scp./testSCP root@10.203.22.220:/root+ 
 +  * <code bash>13:16:53 root@lisa:~# scp./testSCP root@10.203.22.220:/root
 Enter passphrase for key'/root/.ssh/id_rsa': Enter passphrase for key'/root/.ssh/id_rsa':
 testSCP 100% 2470 2.4KB/s 00:00 testSCP 100% 2470 2.4KB/s 00:00
Ligne 226: Ligne 231:
  
 ===== Transférer un fichier entre deux machines distantes via SCP.===== ===== Transférer un fichier entre deux machines distantes via SCP.=====
-Deux commandes possibles 
  
-<code bash>13:26:51 William@MBPWx:~# scp-3 root@10.203.22.204:/root/testSCP root@10.203.22.220 root@10.203.22.220:/root/+  * Deux commandes possibles: 
 +  - <code bash>13:26:51 William@MBPWx:~# scp-3 root@10.203.22.204:/root/testSCP root@10.203.22.220 root@10.203.22.220:/root/
 </code> </code>
-ou +  * ou 
- +  <code bash>13:27:06 William@MBPWx:~# sshroot@10.203.22.204 '(scp ./testSCP root@10.203.22.220:/root/)'
-<code bash>13:27:06 William@MBPWx:~# sshroot@10.203.22.204 '(scp ./testSCP root@10.203.22.220:/root/)'+
 </code> </code>
  
 ===== Transférer un fichier par le biais de SFTP===== ===== Transférer un fichier par le biais de SFTP=====
-<code bash>13:31:49 root@lisa:~# sftp root@10.203.22.220+ 
 +  * <code bash>13:31:49 root@lisa:~# sftp root@10.203.22.220
 Connected to 10.203.22.220. Connected to 10.203.22.220.
 sftp> ls sftp> ls
Ligne 286: Ligne 291:
  
  
-===== Effectuer des transferts de fichiers avec l'outil rsync en utilisant ssh===== +===== RSYNC =====
-Avec rsync, on peut facilement faire des backup, cela permet de ne pas télécharger quotidiennement tout le contenu de la sauvegarde, il fait un check de l'ensemble et ne sauvegarde que les modifications.+
  
-Il faut installer rsync sur les deux hôtes.+  * Avec rsync, on peut facilement faire des backup, cela permet de ne pas télécharger quotidiennement tout le contenu de la sauvegarde, il fait un check de l'ensemble et ne sauvegarde que les modifications. 
 +  * Il faut installer rsync sur les deux hôtes.
  
-<code bash>13:42:14 root@lisa:~# apt-get install rsync+  * <code bash>13:42:14 root@lisa:~# apt-get install rsync
 </code> </code>
  
- +  * <code bash>13:43:27 root@lisa:~# rsync -avz -e ssh /home/test/ root@10.203.22.220:/data/bck/test/
-<code bash>13:43:27 root@lisa:~# rsync -avz -e ssh /home/test/ root@10.203.22.220:/data/bck/test/+
 sending incremental file list sending incremental file list
 ./ ./
Ligne 306: Ligne 310:
 </code> </code>
  
-<code bash>13:43:43 root@sshtp:~# ll /data/bck/test+  * <code bash>13:43:43 root@sshtp:~# ll /data/bck/test
 total 20 total 20
 drwxr-xr-x 2 test test 4096nov. 18 15:41 . drwxr-xr-x 2 test test 4096nov. 18 15:41 .
Ligne 324: Ligne 328:
   * <code bash>13:57:13 root@sshtp:~# ssh -L 2080:10.203.22.204:80 root@10.203.22.204</code>   * <code bash>13:57:13 root@sshtp:~# ssh -L 2080:10.203.22.204:80 root@10.203.22.204</code>
  
-===== Monter un proxy SOCKS via le client SSH et l'emprunter avec le logiciel de votre choix.=====+===== Proxy SOCKS =====
  
   * <code bash>14:15:50 William@MBPWx:~# ssh-nvNT -C -D 1080 root@10.203.22.204   * <code bash>14:15:50 William@MBPWx:~# ssh-nvNT -C -D 1080 root@10.203.22.204
Ligne 340: Ligne 344:
  
  
-  * Liste à puceSur le navigateur firefox proxy socks 127.0.0.1 : 1080+  * Sur le navigateur firefox proxy socks 127.0.0.1 : 1080
  
   * Log ssh :   * Log ssh :
Ligne 366: Ligne 370:
  
   * **Machine 1 :**   * **Machine 1 :**
- +  * <code bash>14:48:23 root@lisa:~# ssh -w 0:0 root@10.203.22.220
-<code bash>14:48:23 root@lisa:~# ssh -w 0:0 root@10.203.22.220+
 Last login: Mon Feb 914:47:09 2015 from 10.203.22.204 Last login: Mon Feb 914:47:09 2015 from 10.203.22.204
 14:48:24 root@sshtp:~# ip l 14:48:24 root@sshtp:~# ip l
Ligne 402: Ligne 405:
 192.168.22.0/24 dev tun0 proto kernel scope link src 192.168.22.220 192.168.22.0/24 dev tun0 proto kernel scope link src 192.168.22.220
 </code> </code>
-**Machine 2 :** 
  
-<code bash>14:52:57 root@lisa:~# ip l setup dev tun0+ 
 +  * **Machine 2 :** 
 +  * <code bash>14:52:57 root@lisa:~# ip l setup dev tun0
 14:53:18 root@lisa:~# ip a a 192.168.22.204 dev tun0 14:53:18 root@lisa:~# ip a a 192.168.22.204 dev tun0
 14:53:56 root@lisa:~# ip r a 192.168.22.0/24 via 192.168.22.204 dev tun0 14:53:56 root@lisa:~# ip r a 192.168.22.0/24 via 192.168.22.204 dev tun0
Ligne 416: Ligne 420:
  
 ====== X-Forwarding ====== ====== X-Forwarding ======
-===== Utiliser OpenSSH pour afficher sur votre machine une application distante.=====+===== Afficher une application distante.=====
  
   * Installation du paquet x11-apps pour les tests (xeyes, xman, xload..)   * Installation du paquet x11-apps pour les tests (xeyes, xman, xload..)
   * <code bash>14:37:02 William@MBPWx:~# ssh -X root@10.203.22.204 root@10.203.22.204   * <code bash>14:37:02 William@MBPWx:~# ssh -X root@10.203.22.204 root@10.203.22.204
- 
 15:01:24 root@lisa:~# xeyes 15:01:24 root@lisa:~# xeyes
 </code> </code>
 +  * Par défaut, avec -X, la machine distante est considérée comme "untrusted", et certaines limitations sont appliquées (comme une limitation dans le temps par exemple, ou le fait qu'un programme ne suis accéder qu'à sa propre fenêtre graphique). C'est l'option conseillée, elle évite de nombreuses failles possibles. L'utilisation de -Y à la place de -X indique que la machine distante est "trusted", ses programmes ont donc un accès complet à notre display. Ils peuvent réaliser des taches comme prendre des impressions écran, capturer le clavier, injecter de l'input dans les autres programmes, etc. C'est une option moins sûre. Il est à noter que tout ceci peut être changé dans la configuration de SSH.
  
   * Pour info sur mon mac, X11 s'ouvre correctement sans autre configuration   * Pour info sur mon mac, X11 s'ouvre correctement sans autre configuration
  • systemes/linux/ssh.1454077657.txt.gz
  • Dernière modification : 2019/02/06 13:02
  • (modification externe)