Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
utilisateurs:sx1:ssh_avance [Le 17/03/2012, 16:56]
sx1 [Restriction d'accès SSH]
utilisateurs:sx1:ssh_avance [Le 11/09/2022, 13:12] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 5: Ligne 5:
  
 Cette page présente les usages avancés ou particuliers de SSH répondant à un besoin très précis.\\ Cette page présente les usages avancés ou particuliers de SSH répondant à un besoin très précis.\\
-Pour plus d'​information sur les usages les plus courants de SSH et sa configuration de base reportez-vous à [[:ssh_bases|cette page]].+Pour plus d'​information sur les usages les plus courants de SSH et sa configuration de base reportez-vous à [[:ssh|cette page]].
  
 ===== Se connecter en ssh à travers un mandataire http (proxy) ===== ===== Se connecter en ssh à travers un mandataire http (proxy) =====
Ligne 25: Ligne 25:
 ===== Accès automatique pour des scripts ===== ===== Accès automatique pour des scripts =====
  
-L'​authentification par clé publique (voir ci-dessus//FIXME mettre directement lien// ​peut également être employée pour automatiser les tâches qui exigeraient habituellement l'​introduction au clavier d'un mot de passe.\\+L'​authentification par clé publique (voir [[:​ssh#​authentification_par_un_systeme_de_cles_publiqueprivee|SSH]]) peut également être employée pour automatiser les tâches qui exigeraient habituellement l'​introduction au clavier d'un mot de passe.\\
 Imaginez vouloir copier un dossier à partir d'un ordinateur distant tous les jours à minuit. Tout ce que vous avez à faire c'est d'​établir la confiance entre ces deux ordinateurs.\\ Imaginez vouloir copier un dossier à partir d'un ordinateur distant tous les jours à minuit. Tout ce que vous avez à faire c'est d'​établir la confiance entre ces deux ordinateurs.\\
-Créez un compte de service sur un ordinateur, créez une paire de clés //FIXME ou lien interne// par la commande +Créez un compte de service sur un ordinateur, créez une paire de clés comme expliqué sur la page relatives aux bases de SSH 
-<​code>​ssh-keygen -t dsa</​code>​ +et quand on vous demande de rentrer la //​passphrase//​ tapez juste sur la touche « Entrée ». 
-et quand on vous demande de rentrer la //​passphrase//​ tapez juste sur la touche « Entrée ». Ceci fera que votre clé privée ne sera pas protégée. Ajoutez la clé publique de l'​autre ordinateur dans le fichier ​//FIXME Dossier ?// **authorized_keys** par la commande ​//FIXME ou lien interne// : + 
-<​code>​ssh-copy-id</​code>​+Ceci fera que votre clé privée ne sera pas protégée. 
 + 
 +Ajoutez la clé publique de l'​autre ordinateur dans le fichier **~/.ssh/authorized_keys** par la commande ​**ssh-copy-id** comme expliqué sur la page relative aux bases sur SSH ([[:​ssh#​authentification_par_un_systeme_de_cles_publiqueprivee|SSH]])
 Maintenant vous pouvez utiliser SSH sur cette machine sans une //​passphrase//​ à taper. Ajoutez une référence à SSH dans votre //​[[:​cron|crontab]]//​ et vous êtes prêt. Maintenant vous pouvez utiliser SSH sur cette machine sans une //​passphrase//​ à taper. Ajoutez une référence à SSH dans votre //​[[:​cron|crontab]]//​ et vous êtes prêt.
  
Ligne 39: Ligne 41:
 ===== Utiliser le ssh-agent ===== ===== Utiliser le ssh-agent =====
  
-Si vous devez fréquemment ouvrir des sessions distantes avec SSH ou copier des fichiers avec SCP (ou toute autre utilisation de SSH) il existe une solution pour ne pas avoir à saisir votre passphrase à chaque utilisation.  +Si vous devez fréquemment ouvrir des sessions distantes avec SSH ou copier des fichiers avec SCP (ou toute autre utilisation de SSH) il existe une solution pour ne pas avoir à saisir votre passphrase à chaque utilisation. 
- en utilisant **SSH agent**. ​+ en utilisant **SSH agent**.
 Vous devez indiquer une fois votre //​passphrase//​ à ssh-agent en employant la commande **ssh-add** et tout ce que vous commencez comme sous-processus de **SSH agent** (donc SSH, SCP, etc.) se rappellera automatiquement de la passphrase. Vous devez indiquer une fois votre //​passphrase//​ à ssh-agent en employant la commande **ssh-add** et tout ce que vous commencez comme sous-processus de **SSH agent** (donc SSH, SCP, etc.) se rappellera automatiquement de la passphrase.
 <​code>​ <​code>​
Ligne 52: Ligne 54:
 L'​agent ssh ne transmet pas votre passphrase sur le réseau ni votre clé privée. L'​agent ssh ne transmet pas votre passphrase sur le réseau ni votre clé privée.
  
-Vous pouvez savoir quel utilisateur est déclaré avec ssh-agent à l'aide de la commande suivante : +Vous pouvez savoir quel utilisateur est déclaré avec ssh-agent à l'aide de la commande suivante :
 <​code>​ <​code>​
 ssh-add -l ssh-add -l
Ligne 73: Ligne 75:
  
 Vous pouvez : Vous pouvez :
-  * Utiliser le mode natif de base de SSH, voir [[ssh_bases|SSH bases]] +  * Utiliser le mode natif de base de SSH, voir [[ssh|SSH]]
   * Utiliser le mode natif avancé de SSH :  les directives //Chroot// et //Match// de SSH, qui permettent de limiter pour certains utilisateurs l'​utilisation du ssh au sftp et dans un répertoire déterminé.\\ Voir [[http://​www.dsfc.net/​infrastructure/​securite/​chroot-ssh-protocolesftp/​|sftp avec Chroot]] pour les détails.   * Utiliser le mode natif avancé de SSH :  les directives //Chroot// et //Match// de SSH, qui permettent de limiter pour certains utilisateurs l'​utilisation du ssh au sftp et dans un répertoire déterminé.\\ Voir [[http://​www.dsfc.net/​infrastructure/​securite/​chroot-ssh-protocolesftp/​|sftp avec Chroot]] pour les détails.
   * Utiliser [[:​mysecureshell_sftp-server|MySecureShell]]. MysecureShell,​ qui s'​installe en plus de ''​openssh-server'',​ ajoute une couche au dessus de SSH sur le serveur et demande l'​emploi de Java sur le client pour disposer d'une interface graphique de paramétrage de SSH/SFTP.\\ Cela n'​apporte toutefois aucune fonction ni sécurité supplémentaire par rapport au mode natif avancé.   * Utiliser [[:​mysecureshell_sftp-server|MySecureShell]]. MysecureShell,​ qui s'​installe en plus de ''​openssh-server'',​ ajoute une couche au dessus de SSH sur le serveur et demande l'​emploi de Java sur le client pour disposer d'une interface graphique de paramétrage de SSH/SFTP.\\ Cela n'​apporte toutefois aucune fonction ni sécurité supplémentaire par rapport au mode natif avancé.
Ligne 154: Ligne 156:
 ==== Gestion des tunnels ==== ==== Gestion des tunnels ====
  
-Il existe une petite application graphique bien pratique pour gérer les tunnels SSH : au lieu de les recréer chaque fois on utilise ​[[:gstm|Graphical SSH Tunnel Manager]].+Il existe une petite application graphique bien pratique pour gérer les tunnels SSH : au lieu de les recréer chaque fois on utilise Graphical SSH Tunnel Manager.
  
 ===== Accéder à ses ressources réseau locales depuis l'​extérieur sans NAT : tunnel ===== ===== Accéder à ses ressources réseau locales depuis l'​extérieur sans NAT : tunnel =====
Ligne 164: Ligne 166:
 ==== Accéder à une machine Windows via RDP ==== ==== Accéder à une machine Windows via RDP ====
  
-Donc nous avons un réseau avec une machine sous Windows (XP, Vista...) avec comme adresse locale ''​192.168.1.2''​ où TSE //FIXME TSE ?// est activé mais accessible uniquement en local, un serveur ssh sous Ubuntu avec comme IP locale ''​192.168.1.3'',​ et une Livebox (ou autre) dont seul le port ssh (22) est traduit (en franglais on dit translaté, Cf.[[wpfr>​Network_address_translation]]) pour un accès au serveur ssh depuis l'​extérieur.+Donc nous avons un réseau avec une machine sous Windows (XP, Vista...) avec comme adresse locale ''​192.168.1.2''​ où le client RDP du Terminal Service (TSEest activé mais accessible uniquement en local, un serveur ssh sous Ubuntu avec comme IP locale ''​192.168.1.3'',​ et une Livebox (ou autre) dont seul le port ssh (22) est traduit (en franglais on dit translaté, Cf.[[wpfr>​Network_address_translation]]) pour un accès au serveur ssh depuis l'​extérieur.
  
 Nous voulons depuis l'​extérieur accéder à la machine Windows via RDP. Nous voulons depuis l'​extérieur accéder à la machine Windows via RDP.
  • utilisateurs/sx1/ssh_avance.1331999778.txt.gz
  • Dernière modification: Le 17/03/2012, 16:56
  • par sx1