Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
systemes:linux:ssh [2016/01/29 15:27] william |
systemes:linux:ssh [2019/02/06 14:03] (Version actuelle) |
||
---|---|---|---|
Ligne 14: | Ligne 14: | ||
===== Brute Force ===== | ===== Brute Force ===== | ||
- | Pour modifier le port d' | ||
- | <code bash> | + | * Pour modifier le port d' |
+ | * <code bash> | ||
#Package generated configuration file | #Package generated configuration file | ||
#See the sshd_config(5)manpage for details | #See the sshd_config(5)manpage for details | ||
Ligne 24: | Ligne 24: | ||
…</ | …</ | ||
- | Tentative de connexion au serveur : | + | * Tentative de connexion au serveur : |
- | + | | |
- | <code bash> | + | |
OpenSSH_6.2p2, | OpenSSH_6.2p2, | ||
debug1: Reading configuration data / | debug1: Reading configuration data / | ||
Ligne 38: | Ligne 37: | ||
===== Désactiver le root ===== | ===== Désactiver le root ===== | ||
- | Pour interdire la connexion root, il faut mettre le paramètre **PermitRootLogin** à no | ||
- | Tentative de connexion au serveur : | + | * Pour interdire la connexion root, il faut mettre le paramètre **PermitRootLogin** à no |
- | + | * Tentative de connexion au serveur : | |
- | <code bash> | + | |
… | … | ||
root@10.203.22.220' | root@10.203.22.220' | ||
Ligne 50: | Ligne 48: | ||
===== Désactiver l' | ===== Désactiver l' | ||
- | Pour interdire la connexion root, il faut mettre le paramètre**PermitEmptyPasswords** à no | ||
- | ===== Limiter le temps d' | + | * Pour interdire la connexion root, il faut mettre le paramètre**PermitEmptyPasswords** à no |
- | Pour modifier le temps d' | + | |
+ | ===== Limiter le temps d' | ||
+ | |||
+ | * Pour modifier le temps d' | ||
===== Limiter le nombre de tentatives de mot de passe à 2===== | ===== Limiter le nombre de tentatives de mot de passe à 2===== | ||
- | Pour modifier le nombre de tentatives, il faut changer la valeur du paramètre **MaxAuthTries **à 3 | ||
- | <code bash> | + | * Pour modifier le nombre de tentatives, il faut changer la valeur du paramètre **MaxAuthTries **à 3 |
+ | * <code bash> | ||
root@10.203.22.220' | root@10.203.22.220' | ||
debug1: Authentications that can continue: public key, | debug1: Authentications that can continue: public key, | ||
Ligne 67: | Ligne 67: | ||
===== Isoler un utilisateur dans un chroot===== | ===== Isoler un utilisateur dans un chroot===== | ||
- | Je crée un dossier pour l' | ||
- | <code bash> | + | * Je crée un dossier pour l' |
+ | * <code bash> | ||
- | <code bash> | + | * <code bash> |
17:24:19 root@sshtp: | 17:24:19 root@sshtp: | ||
</ | </ | ||
- | Copie des fichiers suivants dans le chroot : | + | * Copie des fichiers suivants dans le chroot : |
- | + | | |
- | / | + | |
- | / | + | |
- | /etc/group | + | |
- | + | ||
- | Connexion : | + | |
- | <code bash> | + | * Connexion : |
+ | * <code bash> | ||
Password: | Password: | ||
Ligne 105: | Ligne 103: | ||
====== Empreintes ( fingerprint )====== | ====== Empreintes ( fingerprint )====== | ||
+ | |||
Ssh vérifie que l' | Ssh vérifie que l' | ||
===== Sur le client, le fichier d' | ===== Sur le client, le fichier d' | ||
- | A chaque connexion, nous avons ce message | ||
- | <code bash> | + | * A chaque connexion, nous avons ce message |
+ | * <code bash> | ||
... | ... | ||
The authenticity of host' | The authenticity of host' | ||
Ligne 117: | Ligne 116: | ||
</ | </ | ||
- | L' | + | * L' |
====== Utilisation de clés====== | ====== Utilisation de clés====== | ||
- | Les clés sont certainement la meilleure solution de connexion à ce jour. Cela fonctionne par paire (1clé privée et 1 clé publique) | + | |
+ | Les clés sont certainement la meilleure solution de connexion à ce jour. Cela fonctionne par paire (1 clé privée et 1 clé publique) | ||
===== Générer un couple de clés avec ssh-keygen sans passphrase.===== | ===== Générer un couple de clés avec ssh-keygen sans passphrase.===== | ||
- | <code bash> | + | * <code bash> |
Generating public/ | Generating public/ | ||
Enter file in which to savethe key (/ | Enter file in which to savethe key (/ | ||
Ligne 147: | Ligne 147: | ||
</ | </ | ||
- | Nous avons désormais dans le home directory, les fichiers contenant clé publique et clé privée. | + | * Nous avons désormais dans le home directory, les fichiers contenant clé publique et clé privée |
- | ===== Transférer la clé sur le serveur par la méthode | + | ===== Transférer la clé sur le serveur par ssh===== |
- | <code bash> | + | |
+ | * <code bash> | ||
The authenticity of host' | The authenticity of host' | ||
ECDSA key fingerprint is b0: | ECDSA key fingerprint is b0: | ||
Ligne 164: | Ligne 165: | ||
- | ===== Restreindre le serveur pour qu'il n' | + | ===== N'accepter que les connexions que par clé ===== |
- | Pour n' | + | |
- | | + | * Pour n' |
- | | + | - |
- | | + | |
+ | | ||
===== Modifier la clé privée afin qu' | ===== Modifier la clé privée afin qu' | ||
- | <code bash> | + | |
+ | * <code bash> | ||
Key has comment ' | Key has comment ' | ||
Enter new passphrase (emptyfor no passphrase): | Enter new passphrase (emptyfor no passphrase): | ||
Ligne 180: | Ligne 182: | ||
- | Tentative de connexion : | + | * Tentative de connexion : |
- | <code bash> | + | |
... | ... | ||
debug1: key_parse_private_pem: | debug1: key_parse_private_pem: | ||
Ligne 199: | Ligne 201: | ||
====== Utilisation du shell====== | ====== Utilisation du shell====== | ||
- | ===== Afficher le hostname du serveur sans ouvrir de shell distant.===== | + | ===== Afficher le hostname du serveur sans ouvrir de shell distant===== |
- | <code bash> | + | |
+ | * <code bash> | ||
Enter passphrase for key'/ | Enter passphrase for key'/ | ||
sshtp | sshtp | ||
</ | </ | ||
- | ===== Trois exemples différents d' | + | ===== Trois exemples différents d' |
- | <code bash> | + | |
+ | * <code bash> | ||
Enter passphrase for key'/ | Enter passphrase for key'/ | ||
127.0.1.1 sshtp | 127.0.1.1 sshtp | ||
Ligne 219: | Ligne 223: | ||
====== | ====== | ||
- | ===== Transférer un fichier par le biais de SCP.===== | + | ===== Transférer un fichier par le biais de SCP===== |
- | <code bash> | + | |
+ | * <code bash> | ||
Enter passphrase for key'/ | Enter passphrase for key'/ | ||
testSCP 100% 2470 2.4KB/s 00:00 | testSCP 100% 2470 2.4KB/s 00:00 | ||
Ligne 226: | Ligne 231: | ||
===== Transférer un fichier entre deux machines distantes via SCP.===== | ===== Transférer un fichier entre deux machines distantes via SCP.===== | ||
- | Deux commandes possibles | ||
- | <code bash> | + | * Deux commandes possibles: |
+ | - <code bash> | ||
</ | </ | ||
- | ou | + | * ou |
- | + | | |
- | <code bash> | + | |
</ | </ | ||
===== Transférer un fichier par le biais de SFTP===== | ===== Transférer un fichier par le biais de SFTP===== | ||
- | <code bash> | + | |
+ | * <code bash> | ||
Connected to 10.203.22.220. | Connected to 10.203.22.220. | ||
sftp> ls | sftp> ls | ||
Ligne 286: | Ligne 291: | ||
- | ===== Effectuer des transferts de fichiers avec l' | + | ===== RSYNC ===== |
- | Avec rsync, on peut facilement faire des backup, cela permet de ne pas télécharger quotidiennement tout le contenu de la sauvegarde, il fait un check de l' | + | |
- | Il faut installer rsync sur les deux hôtes. | + | * Avec rsync, on peut facilement faire des backup, cela permet de ne pas télécharger quotidiennement tout le contenu de la sauvegarde, il fait un check de l' |
+ | * Il faut installer rsync sur les deux hôtes. | ||
- | <code bash> | + | * <code bash> |
</ | </ | ||
- | + | * <code bash> | |
- | <code bash> | + | |
sending incremental file list | sending incremental file list | ||
./ | ./ | ||
Ligne 306: | Ligne 310: | ||
</ | </ | ||
- | <code bash> | + | * <code bash> |
total 20 | total 20 | ||
drwxr-xr-x 2 test test 4096nov. 18 15:41 . | drwxr-xr-x 2 test test 4096nov. 18 15:41 . | ||
Ligne 324: | Ligne 328: | ||
* <code bash> | * <code bash> | ||
- | ===== Monter un proxy SOCKS via le client SSH et l' | + | ===== Proxy SOCKS ===== |
* <code bash> | * <code bash> | ||
Ligne 340: | Ligne 344: | ||
- | * Liste à puceSur | + | * Sur le navigateur firefox proxy socks 127.0.0.1 : |
* Log ssh : | * Log ssh : | ||
Ligne 366: | Ligne 370: | ||
* **Machine 1 :** | * **Machine 1 :** | ||
- | + | * <code bash> | |
- | <code bash> | + | |
Last login: Mon Feb 914:47:09 2015 from 10.203.22.204 | Last login: Mon Feb 914:47:09 2015 from 10.203.22.204 | ||
14:48:24 root@sshtp: | 14:48:24 root@sshtp: | ||
Ligne 402: | Ligne 405: | ||
192.168.22.0/ | 192.168.22.0/ | ||
</ | </ | ||
- | **Machine 2 :** | ||
- | <code bash> | + | |
+ | * **Machine 2 :** | ||
+ | * <code bash> | ||
14:53:18 root@lisa: | 14:53:18 root@lisa: | ||
14:53:56 root@lisa: | 14:53:56 root@lisa: | ||
Ligne 416: | Ligne 420: | ||
====== X-Forwarding ====== | ====== X-Forwarding ====== | ||
- | ===== Utiliser OpenSSH pour afficher sur votre machine | + | ===== Afficher |
* Installation du paquet x11-apps pour les tests (xeyes, xman, xload..) | * Installation du paquet x11-apps pour les tests (xeyes, xman, xload..) | ||
* <code bash> | * <code bash> | ||
- | |||
15:01:24 root@lisa: | 15:01:24 root@lisa: | ||
</ | </ | ||
+ | * Par défaut, avec -X, la machine distante est considérée comme " | ||
* Pour info sur mon mac, X11 s' | * Pour info sur mon mac, X11 s' |