Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
utilisateurs:sx1:ssh_avance [Le 17/03/2012, 17:02] sx1 [Accès automatique pour des scripts] |
utilisateurs:sx1:ssh_avance [Le 11/09/2022, 13:12] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 5: | Ligne 5: | ||
| Cette page présente les usages avancés ou particuliers de SSH répondant à un besoin très précis.\\ | Cette page présente les usages avancés ou particuliers de SSH répondant à un besoin très précis.\\ | ||
| - | Pour plus d'information sur les usages les plus courants de SSH et sa configuration de base reportez-vous à [[:ssh_bases|cette page]]. | + | Pour plus d'information sur les usages les plus courants de SSH et sa configuration de base reportez-vous à [[:ssh|cette page]]. |
| ===== Se connecter en ssh à travers un mandataire http (proxy) ===== | ===== Se connecter en ssh à travers un mandataire http (proxy) ===== | ||
| Ligne 25: | Ligne 25: | ||
| ===== Accès automatique pour des scripts ===== | ===== Accès automatique pour des scripts ===== | ||
| - | L'authentification par clé publique (voir [[:ssh_bases#authentification_par_un_systeme_de_cles_publiqueprivee|SSH]]) peut également être employée pour automatiser les tâches qui exigeraient habituellement l'introduction au clavier d'un mot de passe.\\ | + | L'authentification par clé publique (voir [[:ssh#authentification_par_un_systeme_de_cles_publiqueprivee|SSH]]) peut également être employée pour automatiser les tâches qui exigeraient habituellement l'introduction au clavier d'un mot de passe.\\ |
| Imaginez vouloir copier un dossier à partir d'un ordinateur distant tous les jours à minuit. Tout ce que vous avez à faire c'est d'établir la confiance entre ces deux ordinateurs.\\ | Imaginez vouloir copier un dossier à partir d'un ordinateur distant tous les jours à minuit. Tout ce que vous avez à faire c'est d'établir la confiance entre ces deux ordinateurs.\\ | ||
| Créez un compte de service sur un ordinateur, créez une paire de clés comme expliqué sur la page relatives aux bases de SSH | Créez un compte de service sur un ordinateur, créez une paire de clés comme expliqué sur la page relatives aux bases de SSH | ||
| - | et quand on vous demande de rentrer la //passphrase// tapez juste sur la touche « Entrée ». | + | et quand on vous demande de rentrer la //passphrase// tapez juste sur la touche « Entrée ». |
| - | Ceci fera que votre clé privée ne sera pas protégée. | + | Ceci fera que votre clé privée ne sera pas protégée. |
| - | Ajoutez la clé publique de l'autre ordinateur dans le fichier **~/.ssh/authorized_keys** par la commande **ssh-copy-id** comme expliqué sur la page relative aux bases sur SSH ([[:ssh_bases#authentification_par_un_systeme_de_cles_publiqueprivee|SSH]]) | + | Ajoutez la clé publique de l'autre ordinateur dans le fichier **~/.ssh/authorized_keys** par la commande **ssh-copy-id** comme expliqué sur la page relative aux bases sur SSH ([[:ssh#authentification_par_un_systeme_de_cles_publiqueprivee|SSH]]) |
| Maintenant vous pouvez utiliser SSH sur cette machine sans une //passphrase// à taper. Ajoutez une référence à SSH dans votre //[[:cron|crontab]]// et vous êtes prêt. | Maintenant vous pouvez utiliser SSH sur cette machine sans une //passphrase// à taper. Ajoutez une référence à SSH dans votre //[[:cron|crontab]]// et vous êtes prêt. | ||
| Ligne 41: | Ligne 41: | ||
| ===== Utiliser le ssh-agent ===== | ===== Utiliser le ssh-agent ===== | ||
| - | Si vous devez fréquemment ouvrir des sessions distantes avec SSH ou copier des fichiers avec SCP (ou toute autre utilisation de SSH) il existe une solution pour ne pas avoir à saisir votre passphrase à chaque utilisation. | + | Si vous devez fréquemment ouvrir des sessions distantes avec SSH ou copier des fichiers avec SCP (ou toute autre utilisation de SSH) il existe une solution pour ne pas avoir à saisir votre passphrase à chaque utilisation. |
| - | en utilisant **SSH agent**. | + | en utilisant **SSH agent**. |
| Vous devez indiquer une fois votre //passphrase// à ssh-agent en employant la commande **ssh-add** et tout ce que vous commencez comme sous-processus de **SSH agent** (donc SSH, SCP, etc.) se rappellera automatiquement de la passphrase. | Vous devez indiquer une fois votre //passphrase// à ssh-agent en employant la commande **ssh-add** et tout ce que vous commencez comme sous-processus de **SSH agent** (donc SSH, SCP, etc.) se rappellera automatiquement de la passphrase. | ||
| <code> | <code> | ||
| Ligne 54: | Ligne 54: | ||
| L'agent ssh ne transmet pas votre passphrase sur le réseau ni votre clé privée. | L'agent ssh ne transmet pas votre passphrase sur le réseau ni votre clé privée. | ||
| - | Vous pouvez savoir quel utilisateur est déclaré avec ssh-agent à l'aide de la commande suivante : | + | Vous pouvez savoir quel utilisateur est déclaré avec ssh-agent à l'aide de la commande suivante : |
| <code> | <code> | ||
| ssh-add -l | ssh-add -l | ||
| Ligne 75: | Ligne 75: | ||
| Vous pouvez : | Vous pouvez : | ||
| - | * Utiliser le mode natif de base de SSH, voir [[ssh_bases|SSH bases]] | + | * Utiliser le mode natif de base de SSH, voir [[ssh|SSH]] |
| * Utiliser le mode natif avancé de SSH : les directives //Chroot// et //Match// de SSH, qui permettent de limiter pour certains utilisateurs l'utilisation du ssh au sftp et dans un répertoire déterminé.\\ Voir [[http://www.dsfc.net/infrastructure/securite/chroot-ssh-protocolesftp/|sftp avec Chroot]] pour les détails. | * Utiliser le mode natif avancé de SSH : les directives //Chroot// et //Match// de SSH, qui permettent de limiter pour certains utilisateurs l'utilisation du ssh au sftp et dans un répertoire déterminé.\\ Voir [[http://www.dsfc.net/infrastructure/securite/chroot-ssh-protocolesftp/|sftp avec Chroot]] pour les détails. | ||
| * Utiliser [[:mysecureshell_sftp-server|MySecureShell]]. MysecureShell, qui s'installe en plus de ''openssh-server'', ajoute une couche au dessus de SSH sur le serveur et demande l'emploi de Java sur le client pour disposer d'une interface graphique de paramétrage de SSH/SFTP.\\ Cela n'apporte toutefois aucune fonction ni sécurité supplémentaire par rapport au mode natif avancé. | * Utiliser [[:mysecureshell_sftp-server|MySecureShell]]. MysecureShell, qui s'installe en plus de ''openssh-server'', ajoute une couche au dessus de SSH sur le serveur et demande l'emploi de Java sur le client pour disposer d'une interface graphique de paramétrage de SSH/SFTP.\\ Cela n'apporte toutefois aucune fonction ni sécurité supplémentaire par rapport au mode natif avancé. | ||
| Ligne 156: | Ligne 156: | ||
| ==== Gestion des tunnels ==== | ==== Gestion des tunnels ==== | ||
| - | Il existe une petite application graphique bien pratique pour gérer les tunnels SSH : au lieu de les recréer chaque fois on utilise [[:gstm|Graphical SSH Tunnel Manager]]. | + | Il existe une petite application graphique bien pratique pour gérer les tunnels SSH : au lieu de les recréer chaque fois on utilise Graphical SSH Tunnel Manager. |
| ===== Accéder à ses ressources réseau locales depuis l'extérieur sans NAT : tunnel ===== | ===== Accéder à ses ressources réseau locales depuis l'extérieur sans NAT : tunnel ===== | ||
| Ligne 166: | Ligne 166: | ||
| ==== Accéder à une machine Windows via RDP ==== | ==== Accéder à une machine Windows via RDP ==== | ||
| - | Donc nous avons un réseau avec une machine sous Windows (XP, Vista...) avec comme adresse locale ''192.168.1.2'' où TSE //FIXME TSE ?// est activé mais accessible uniquement en local, un serveur ssh sous Ubuntu avec comme IP locale ''192.168.1.3'', et une Livebox (ou autre) dont seul le port ssh (22) est traduit (en franglais on dit translaté, Cf.[[wpfr>Network_address_translation]]) pour un accès au serveur ssh depuis l'extérieur. | + | Donc nous avons un réseau avec une machine sous Windows (XP, Vista...) avec comme adresse locale ''192.168.1.2'' où le client RDP du Terminal Service (TSE) est activé mais accessible uniquement en local, un serveur ssh sous Ubuntu avec comme IP locale ''192.168.1.3'', et une Livebox (ou autre) dont seul le port ssh (22) est traduit (en franglais on dit translaté, Cf.[[wpfr>Network_address_translation]]) pour un accès au serveur ssh depuis l'extérieur. |
| Nous voulons depuis l'extérieur accéder à la machine Windows via RDP. | Nous voulons depuis l'extérieur accéder à la machine Windows via RDP. | ||