Contenu | Rechercher | Menus

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
ssh_avance [Le 17/11/2017, 15:33]
91.244.238.17 [Utiliser le ssh-agent]
ssh_avance [Le 20/11/2017, 10:59] (Version actuelle)
L'Africain ancienne révision (Le 06/04/2016, 12:49) restaurée
Ligne 37: Ligne 37:
  
 Dans cette configuration,​ il est impératif de verrouiller de façon très stricte les actions réalisables sur la machine distante par l'​utilisateur créé lors de la création du <compte de service> . Par exemple, il sera préférable de copier ou déplacer les fichiers à récupérer dans un dossier isolé, auquel ce profil aura accès, plutôt que de lui laisser l'​accès aux répertoires critiques (données utilisateurs,​ SGBD par exemple). Il est encore mieux que ce répertoire soit sur une machine extérieure 8-) : Une machine copie les fichiers sur un serveur distant ; L'​autre machine vient les récupérer plus tard. Ainsi, personne n'est autorisé à se connecter sur nos machines. Seul le serveur distant, qui sert de relais, est susceptible d'​être piratée et uniquement pour les fichiers que nous y avons mis. Dans cette configuration,​ il est impératif de verrouiller de façon très stricte les actions réalisables sur la machine distante par l'​utilisateur créé lors de la création du <compte de service> . Par exemple, il sera préférable de copier ou déplacer les fichiers à récupérer dans un dossier isolé, auquel ce profil aura accès, plutôt que de lui laisser l'​accès aux répertoires critiques (données utilisateurs,​ SGBD par exemple). Il est encore mieux que ce répertoire soit sur une machine extérieure 8-) : Une machine copie les fichiers sur un serveur distant ; L'​autre machine vient les récupérer plus tard. Ainsi, personne n'est autorisé à se connecter sur nos machines. Seul le serveur distant, qui sert de relais, est susceptible d'​être piratée et uniquement pour les fichiers que nous y avons mis.
 +===== Utiliser le ssh-agent =====
  
-**Gras**MIA KHALIFA+Si vous devez fréquemment ouvrir des sessions distantes avec SSH ou copier des fichiers avec SCP (ou toute autre utilisation de SSH) il existe une solution pour ne pas avoir à saisir votre passphrase à chaque utilisation.  
 + en utilisant ​**SSH agent**.  
 +Vous devez indiquer une fois votre //​passphrase//​ à ssh-agent en employant la commande **ssh-add** et tout ce que vous commencez comme sous-processus de **SSH agent** (donc SSH, SCP, etc.) se rappellera automatiquement de la passphrase. 
 +<​code>​ 
 +~$ ssh-add 
 +Enter passphrase for /​home/<​nom_utilisateur>/​.ssh/​id_rsa:​  
 +Identity added: /​home/<​nom_utilisateur>/​.ssh/​id_rsa (/​home/<​nom_utilisateur>/​.ssh/​id_rsa) 
 +</​code>​ 
 +Une fois effectué cette opération un seule fois, vous n'​aurez pas besoin de vous inquiéter de l'​agent. 
 +Votre session est prête pour exploiter le **ssh-agent** automatiquement. 
 + 
 +L'​agent ssh ne transmet pas votre passphrase sur le réseau ni votre clé privée. 
 + 
 +Vous pouvez savoir quel utilisateur est déclaré avec ssh-agent à l'aide de la commande suivante :  
 +<​code>​ 
 +ssh-add -l 
 +</​code>​ 
 +qui renvoi l'​empreinte de la clé connue, le nom de l'​utilisateur et le type de clé de chiffrement utilisée. 
 +Exemple : 
 +2048 1f:​98:​46:​a2:​b9:​25:​0e:​68:​35:​20:​fa:​9e:​b0:​cb:​5e:​3e albert@monordi (RSA) 
 + 
 +<note importante>​ 
 +  * Vous devrez bloquer votre session pendant vos absences car d'​autres pourraient accéder aux ordinateurs distants à partir de votre machine sans savoir votre //​passphrase//​. 
 +  * Si vous voulez rentrer votre //​passphrase//​ une fois juste après l'​ouverture de session, vous pouvez ajouter un appel à **ssh-add** comme ceci : 
 +    * Cliquez sur //Système → Préférences → Sessions → Programme au démarrage//​. 
 +    * Cliquez sur « Ajouter ». 
 +    * Entrez la commande « ''​ssh-add''​ ». 
 + 
 +À la prochaine ouverture de session, vous devrez taper votre //​passphrase//​. 
 +</​note>​ 
 + 
 +===== Utiliser SSH pour faire du SFTP (Transfert de fichier sécurisé) ===== 
 + 
 +Vous pouvez : 
 +  * Utiliser le mode natif de base de SSH, voir [[ssh|SSH]]  
 +  * Utiliser le mode natif avancé de SSH :  les directives //Chroot// et //Match// de SSH, qui permettent de limiter pour certains utilisateurs l'​utilisation du ssh au sftp et dans un répertoire déterminé.\\ Voir [[http://​www.dsfc.net/​infrastructure/​securite/​chroot-ssh-protocolesftp/​|sftp avec Chroot]] pour les détails. 
 +  * Utiliser [[:​mysecureshell_sftp-server|MySecureShell]]. MysecureShell,​ qui s'​installe en plus de ''​openssh-server'',​ ajoute une couche au dessus de SSH sur le serveur et demande l'​emploi de Java sur le client pour disposer d'une interface graphique de paramétrage de SSH/SFTP.\\ Cela n'​apporte toutefois aucune fonction ni sécurité supplémentaire par rapport au mode natif avancé.
  
 ===== Tunnéliser sa connexion internet par SSH avec l'aide de Squid ===== ===== Tunnéliser sa connexion internet par SSH avec l'aide de Squid =====


Le contenu de ce wiki est sous licence : CC BY-SA v3.0