aptitude install ssh yum install sshd
Sur le serveur, éditer le fichier /etc/ssh/sshd_config
et positionner les valeurs suivantes décrites dans le fichier. La configuration décrite est faite pour être sécurisée.
#Changer le port au lieu du 22 par défaut Port 2222 #Utiliser uniquement la version 2 du protocole et surtout pas la 1 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key #Après authentification création d'un autre processus SSH avec les permissions du compte UsePrivilegeSeparation yes #Concerne uniquement le protocole 1 KeyRegenerationInterval 3600 #Concerne uniquement le protocole 1 ServerKeyBits 768 SyslogFacility AUTH LogLevel INFO #Temps maximum pour se loguer LoginGraceTime 120 #Connexion en root impossible ni avec mot de passe ni avec clé SSH PermitRootLogin no #Vérification des permissions des fichiers SSH dans le dossier utilisateur avant d'accepter le login StrictModes yes #Par défaut à 15. Pour enlever la déconnexion de la session trop rapide avec le message : Write failed: Broken pipe ClientAliveInterval 60 #ClientAliveCountMax 3 #Autoriser seulement une liste d'utilisateur séparée par des espaces AllowUsers <user> #Authentification complète RSA possible RSAAuthentication yes #Autoriser les clés publiques PubkeyAuthentication yes #AuthorizedKeysFile %h/.ssh/authorized_keys # Don't read the user's ~/.rhosts and ~/.shosts files IgnoreRhosts yes # For this to work you will also need host keys in /etc/ssh_known_hosts RhostsRSAAuthentication no # similar for protocol version 2 HostbasedAuthentication no # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication #IgnoreUserKnownHosts yes #Rendre impossible les mots de passe vide PermitEmptyPasswords no # Change to yes to enable challenge-response passwords (beware issues with # some PAM modules and threads) ChallengeResponseAuthentication no # Change to no to disable tunnelled clear text passwords #PasswordAuthentication yes #Par défaut à yes, les connexions par mot de passe sont désactivées. A positionner à no uniquement lorsque les clés sont partagées et testées. PasswordAuthentication no # Kerberos options #KerberosAuthentication no #KerberosGetAFSToken no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes #Pas de déport d'affichage pour les applications graphiques X11Forwarding no X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes #UseLogin no #MaxStartups 10:30:60 #Banner /etc/issue.net #Fichier de banner SSH qui contient le texte affiché au login Banner /etc/ssh/banner # Allow client to pass locale environment variables AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes
Ajouter le banner SSH.
vi /etc/ssh/banner
************************************************ NOTICE TO USERS WARNING! The use of this system is restricted to authorized users, unauthorized access is forbidden and will be prosecuted by law. All information and communications on this system are subject to review, monitoring and recording at any time, without notice or permission. Users should have no expectation of privacy. *************************************************
/etc/init.d/ssh restart
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_<nom>
Entrer ou non une passphrase. Un fichier id_rsa_<nom> et id_rsa_<nom>.pub est créé dans ~/.ssh/
La cle privé reste toujours sur la machine. La clé publique doit être présente dans la configuration du serveur sur lequel on veut se connecter. De même, si on veut se connecter sur la machine qui héberge la clé privée (le serveur SSH), il faut insérer la clé publique associée dans la configuration de la machine cliente.
Propager la clé publique sur le compte utilisateur du serveur de destination sur lequel on souhaite se connecter (jamais root).
ssh-copy-id -i ~/.ssh/id_rsa_<nom>.pub <user>@<nom_serveur>
Tester la connexion en entrant la passphrase si elle est créée.
ssh <user>@<nom_serveur>
/etc/init.d/ssh restart
Sur le poste client, créer un fichier de configuration client SSH pour pouvoir utiliser plusieurs clé SSH différentes en fonction de l'hôte sur lequel on se connecte.
vi ~/.ssh/config
</code> Host @IP1
Port <port> User <user1> IdentityFile /home/<user>/.ssh/id_rsa_<nom>
Host toto.net
Port <port> User <user2> IdentityFile /home/<user>/.ssh/id_rsa_<nom>
</code>
Tester que la connexion en root ne fonctionne plus.
ssh root@<nom_server>
Lors de l'utilisation de clé SSH avec passphrase, un bug réside qui permet de se connecter tout de même sur la machine où la clé est propagée sans entrer la passphrase. Pour supprimer ce bug et obliger d'entrer la passphrase, renseigner la valeur suivante.
vi ~/.bash_profile
#Value to disable bug of automatic ocnnection without enter passphrase export SSH_AUTH_SOCK=0
- Juste un pare-feu : facile - Pare-feu + proxy : plus embettant, il faut lui donner le nom de user et le mdp → on utilise corkscrew pour ca.
L'objectif est d'atteindre un serveur GIT qui écoute sur le port 443 à travers un proxy.
Dans /home/userdebase/.ssh/config
.
Host bolivar* Port 443 User userdebase IdentityFile /home/userdebase/.ssh/id_rsa_bolivar #position de la cle privee ProxyCommand /usr/bin/corkscrew 192.168.22.62 3128 %h %p /home/userdebase/.ssh/proxy_auth
Ensuite faire :
echo 'loginproxy:mdpproxy' > /home/userdebase/.ssh/proxy_auth chmod 600 /home/userdebase/.ssh/proxy_auth
Et voila on peut sortir en SSH via le port 443.
Atteindre un serveur GIT qui écoute sur le port 443 sans proxy.
Dans /home/userdebase/.ssh/config
.
Host bolivar* Port 443 User romain IdentityFile /home/userdebase/.ssh/id_rsa_bolivar #position de la cle privee #ProxyCommand /usr/bin/corkscrew 192.168.22.62 3128 %h %p /home/romain/.ssh/proxy_auth
Si on a pas configuré le fichier config, on peut mettre les paramètres directement dans la commande : ssh toto@boli.com -p 443
Configurer pour écouter sur 443 et non 22 par défaut.
Clé publique du client positionnée dans /home/toto/.ssh/authorized_keys
.
ssh -L port-local:localhost:port-distant nomutilisateur@nomhostdistant
Tunneller le port 2080 local vers le port 80 distant.
ssh -L 2080:localhost:80 user@srvweb.org
Accès transparent sur le port2.
nc -v localhost:2080 atteint srvweb.org sur le port 80
Alias pour aller plus vite
alias tunnelhttp='ssh -L 2080:localhost:80 user@srvweb.org'
Créez un port d'écoute qui se charge de prendre toute trame réseau qui rentre “telle quelle” et de la faire exécuter depuis l'autre bout du tunnel.
ssh -D port-local user@srvweb.org ssh -D 1080 user@srvweb.org
Ensuite, dans un navigateur, se rendre dans éditions → préférences → avancé → réseau → paramètres de connexion. Ajouter localhost et port 1080 dans la ligne SOCKS Host
A partir de ce moment, l'ensemble du trafic du navigateur passe nativement par le tunnel sans le mentionner dans l'URL Toutes les URL entrées sont exécutées à l'autre bout du tunnel sur la machine de destination.
ex : https://srvbd:5432