Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
ssh [Le 16/11/2021, 16:13] bruno [Authentification par un système de clés publique/privée] |
ssh [Le 20/12/2021, 21:41] wiki-corrector-bot passage de http à https sur les liens externes (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | |||
| {{tag>administration sécurité serveur}} | {{tag>administration sécurité serveur}} | ||
| Ligne 247: | Ligne 248: | ||
| Parce qu'il est parfois nécessaire de faire un transfert de fichier à partir d'une machine sous MS Windows, il existe un logiciel libre nommé ''WinSCP'' qui permet de faire du SFTP avec une interface semblable à celle des clients FTP. | Parce qu'il est parfois nécessaire de faire un transfert de fichier à partir d'une machine sous MS Windows, il existe un logiciel libre nommé ''WinSCP'' qui permet de faire du SFTP avec une interface semblable à celle des clients FTP. | ||
| - | [[http://winscp.net/eng/docs/lang:fr|Site officiel du logiciel WinSCP]] | + | [[https://winscp.net/eng/docs/lang:fr|Site officiel du logiciel WinSCP]] |
| === FileZilla === | === FileZilla === | ||
| Ligne 350: | Ligne 351: | ||
| * Coté client : Il faut que le client ait mis sa clé privée en $HOME/.ssh/ (côté client). | * Coté client : Il faut que le client ait mis sa clé privée en $HOME/.ssh/ (côté client). | ||
| * Coté client : la clé doit être connue de l'agent ssh (ssh-add) | * Coté client : la clé doit être connue de l'agent ssh (ssh-add) | ||
| - | * Coté client : Le répertoire $HOME/.ssh doit appartenir au propriétaire de $HOME et les clés privées doivent ne doivent être acessible quà leur propriétaire (mode rw------ ou 600 au maximum) | + | * Coté client : Le répertoire $HOME/.ssh doit appartenir au propriétaire de $HOME et les clés privées ne doivent être accessibles que par leur propriétaire (mode rw------ ou 600 au maximum) |
| * Coté serveur : La clé publique du client doit se trouver dans le fichier $HOME/.ssh/authorized_keys du serveur. | * Coté serveur : La clé publique du client doit se trouver dans le fichier $HOME/.ssh/authorized_keys du serveur. | ||
| * Coté serveur : il vaut mieux refuser l'accès par mot de passe ("PasswordAuthentication no" dans /etc/ssh/sshd_config du serveur) | * Coté serveur : il vaut mieux refuser l'accès par mot de passe ("PasswordAuthentication no" dans /etc/ssh/sshd_config du serveur) | ||
| Ligne 359: | Ligne 360: | ||
| //ssh-copy-id// est un script qui utilise ssh pour se connecter à une machine à distance en utilisant le mot de passe de l'utilisateur. L'[[#authentification par mot de passe]] doit donc être autorisée dans le fichier de configuration du serveur ssh (par défaut sur Ubuntu). Il change également les permissions des répertoires **~/.ssh** et **~/.ssh/authorized_keys** de l'hôte distant pour enlever l'accès en écriture du groupe (qui vous empêcherait de vous connecter si le serveur distant ssh a "StrictModes yes" dans son fichier de configuration, ce qui est le cas par défaut sur Ubuntu). | //ssh-copy-id// est un script qui utilise ssh pour se connecter à une machine à distance en utilisant le mot de passe de l'utilisateur. L'[[#authentification par mot de passe]] doit donc être autorisée dans le fichier de configuration du serveur ssh (par défaut sur Ubuntu). Il change également les permissions des répertoires **~/.ssh** et **~/.ssh/authorized_keys** de l'hôte distant pour enlever l'accès en écriture du groupe (qui vous empêcherait de vous connecter si le serveur distant ssh a "StrictModes yes" dans son fichier de configuration, ce qui est le cas par défaut sur Ubuntu). | ||
| <code>ssh-copy-id -i ~/.ssh/id_rsa.pub <username>@<ipaddress></code> | <code>ssh-copy-id -i ~/.ssh/id_rsa.pub <username>@<ipaddress></code> | ||
| - | ou si le port est différent du port standard 22 ([[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=99785|notez les guillemets]]): | + | ou si le port est différent du port standard 22 ([[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=99785|notez les guillemets]]): |
| <code>ssh-copy-id -i ~/.ssh/id_rsa.pub -p <num_port> "<username>@<ipaddress>"</code> | <code>ssh-copy-id -i ~/.ssh/id_rsa.pub -p <num_port> "<username>@<ipaddress>"</code> | ||
| Ligne 521: | Ligne 522: | ||
| Il peut arriver que les ports des connexions entrantes sur un serveur SSH soient bloqués ((le cas peut se présenter notamment en entreprise ou derrière une box)). Cependant, il est rare que les ports sortants soient fermés. Dans ce cas, il est possible de faire appel à du << //Reverse-SSH// >> tel qu'expliqué dans **[[:tutoriel:reverse_ssh|cette page]]** | Il peut arriver que les ports des connexions entrantes sur un serveur SSH soient bloqués ((le cas peut se présenter notamment en entreprise ou derrière une box)). Cependant, il est rare que les ports sortants soient fermés. Dans ce cas, il est possible de faire appel à du << //Reverse-SSH// >> tel qu'expliqué dans **[[:tutoriel:reverse_ssh|cette page]]** | ||
| ===== Voir aussi ===== | ===== Voir aussi ===== | ||
| - | * [[http://www.openssl.org/|site officiel]] | + | * [[https://www.openssl.org/|site officiel]] |
| * [[http://fr.openclassrooms.com/informatique/cours/reprenez-le-controle-a-l-aide-de-linux/la-connexion-securisee-a-distance-avec-ssh|explications et tutoriel détaillé sur OpenClassRooms]] | * [[http://fr.openclassrooms.com/informatique/cours/reprenez-le-controle-a-l-aide-de-linux/la-connexion-securisee-a-distance-avec-ssh|explications et tutoriel détaillé sur OpenClassRooms]] | ||
| * [[:cssh]] : Cluster SSH | * [[:cssh]] : Cluster SSH | ||
| - | * [[http://www.ssi.gouv.fr/uploads/2014/01/NT_OpenSSH.pdf|note ministérielle du 17 août 2015]] : Recommandations pour un usage sécurisé d'(Open)SSH | + | * [[https://www.ssi.gouv.fr/uploads/2014/01/NT_OpenSSH.pdf|note ministérielle du 17 août 2015]] : Recommandations pour un usage sécurisé d'(Open)SSH |
| * [[https://www.schneier.com/blog/archives/2014/04/heartbleed.html|page du blog de l'expert en sécurité Bruce Schneier sur le bug Heartbleed]] | * [[https://www.schneier.com/blog/archives/2014/04/heartbleed.html|page du blog de l'expert en sécurité Bruce Schneier sur le bug Heartbleed]] | ||
| <del> * [[http://www.ubuntu.com/usn/usn-2165-1/|page d'ubuntu.com sur OpenSSL vulnerabilities]] | <del> * [[http://www.ubuntu.com/usn/usn-2165-1/|page d'ubuntu.com sur OpenSSL vulnerabilities]] | ||
| - | * [[http://heartbleed.com/|page sur le bug majeur d'avril 2014, nommée heartbleed]]</del> | + | * [[https://heartbleed.com/|page sur le bug majeur d'avril 2014, nommée heartbleed]]</del> |
| * [[http://www.it-connect.fr/cours-tutoriels/administration-systemes/linux/ssh/|Tutoriels sur l'utilisation et la configuration avancée de SSH]] sur IT-Connect | * [[http://www.it-connect.fr/cours-tutoriels/administration-systemes/linux/ssh/|Tutoriels sur l'utilisation et la configuration avancée de SSH]] sur IT-Connect | ||
| * [[https://wiki.visionduweb.fr/index.php?title=SSH|Notes complémentaires sur la configuration d'un serveur SSH]] : Consulter le wiki de Vision du web. | * [[https://wiki.visionduweb.fr/index.php?title=SSH|Notes complémentaires sur la configuration d'un serveur SSH]] : Consulter le wiki de Vision du web. | ||