Outils pour utilisateurs

Outils du site


ssh

SSH

Selinux

Si vous souhaitez continuer à utilise SELinux, tout en changeant le port d'écoute de ssh:

  1. yum install policycoreutils-python
  2. exécuter la commande suivante pour associer le port 2222 au service ssh:
semanage port -a -t ssh_port_t -p tcp 2222
  1. ouvrez le parefeu
  2. relancer le service

Reconfiguration du serveur ssh:

VÉRIFIER que l'utilisateur radm existe avant de relancer le serveur

VÉRIFIER que le port 2222 est OUVERT au niveau dufirewall

[[:vim|vim]]/etc/ssh/sshd_config
Port 2222
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
PasswordAuthentication yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
KeepAlive yes
Subsystem   sftp  /usr/lib/sftp-server
AllowUsers[[:old:radm| ]]
UsePAM yes
/etc/init.d/ssh restart

noter notamment le numéro de port ainsi que la directive AllowUsers

Pour désactiver la connexion par mot de passe

et n'utiliser que le système par paire de clés

ajouter la variable ChallengeResponseAuthentication à no et redémarrer le serveur

INSTALLER votre clé publique sur le serveur et VÉRIFIER que la connexion fonctionne, sous peine de rester devant la porte après le redémarrage du serveur …

Se connecter à travers un proxy:

Host
   ProxyCommand connect -H proxy_address:proxy_port %25h %25p
  • 'Problèmes: * un peu lourd pour les clients mobiles. * modifier la configuration de connect en fonction des paramètres de proxy. * biblio: http://zippo.taiyo.co.jp/~gotoh/ssh/connect.html ==== Un client ssh standalone ==== Le problème de putty est qu'il stocke des informations dans la base de registre, et notamment les sessions sauvegardées. '[http://www.framakey.org/Portables/PortablePuTTY PortablePutty], application de la framakey, permet de remédier à ce problème. La configuration est stocké avec l'exécutable.

X11Forwarding:

pour rappelle il faut lancer la connexion ssh avec le flag -X:

[[:ss|ssh]]-X tom@workine tinyca2

Utiliser une clé protégée par passphrase:

2 possibilités:

  • fournir la passphrase à chaque connexionssh
  • utiliser ssh-agent pour cacher la clé en clair une bonne fois pour toute.

Il suffit en début de session d'ajouter notre clé au cache via la commande ssh-add, puis d'utiliser ssh normalement.

Remarques:

Il est possible de modifier la passphrase d'une clé en lançant la commande ssh-keygen -p. Le programme demandera dans quel fichier se trouve la clé.

Diagnostiquer les problèmes de connexion par clé

C'est ici

Vérifier la clé d'un hôte distant

Lors de la première connexion, le serveur nous présente une empreinte de sa clé, qu'il conviendra de vérifier.

Cette vérification se fera en local sur le serveur distant (et non pas à travers la 1ère connexion ssh), via la commande:

ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key

Encapsulation d'un flux dans un tunnel ssh

Un exemple vaut mieux qu'un long discours:

Connexion en vnc sur la machine 192.168.0.3, normalement abritée derrière la passerelle 217.128.97.16

( remarque: il y a forcément un serveur ssh sur cette passerelle )

ssh -L localhost:1234:192.168.0.3:5900 radm@217.128.97.16
vncviewer localhost:1234

cette commande met en place un tunnel ssh entre le port 1234 de localhost et le port 5900 de la machine 192.168.0.3, en utilisant le serveur ssh de la passerelle 217.128.97.16 et le compte radm

# vim: set filetype=dokuwiki:

ssh.txt · Dernière modification: 2016/07/04 12:59 (modification externe)