Outils pour utilisateurs

Outils du site

Piste : SSH
linux:ssh (lu 49743 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
linux:ssh [06-10-2025 20:45] – [Clé DSA non supportée] edmc73linux:ssh [06-05-2026 17:12] (Version actuelle) – [autossh : créer une connexion persistante] edmc73
Ligne 435: Ligne 435:
 ===== autossh : créer une connexion persistante ===== ===== autossh : créer une connexion persistante =====
  
-**autossh** permet de lancer une commande ssh puis de la relancer en cas d'échec. +Voir la page dédié [[autossh|]]
- +
-Installer **autossh** +
-  apt-get install autossh +
- +
- +
-Comme le dit le **man autossh** il est préférable d'utiliser les options **ServerAliveInternal** et **ServerAliveCountMax** plutôt que d'utiliser le echo port pour le monitoring, je vais donc écrire les commandes dans ce contexte. +
- +
-Exemple: J'ai besoin d'un accès à une base de données distante en local +
- +
-La commande ssh serait +
-  ssh -L 3307:localhost:3306 username@toto-public.com +
- +
-La commande autossh serait +
-  autossh -M 0 -q -f -N -oServerAliveInterval=60 -oServerAliveCountMax=3 -L 3307:localhost:3306 username@toto-public.com +
- +
-Pour que cette connexion se lance au démarrage de la machine, placer cette commande dans le fichier **/etc/rc.local**+
  
 ===== Gérer plusieurs clés ===== ===== Gérer plusieurs clés =====
Ligne 522: Ligne 506:
   PubkeyAcceptedAlgorithms=+ssh-rsa   PubkeyAcceptedAlgorithms=+ssh-rsa
 </code> </code>
 +
 +
 +
 +
 +
 +===== Connexion SSH vers vieux serveurs (OpenSSL 3.5+) =====
 +
 +L'erreur ''ssh_dispatch_run_fatal: error in libcrypto'' survient car les distributions récentes (Fedora/RHEL) bloquent les signatures SHA-1 au niveau d'OpenSSL, même si SSH les autorise.
 +
 +==== 1. Création du module de politique crypto ====
 +Créer un fichier pour autoriser spécifiquement les signatures SHA-1 dans la bibliothèque crypto :
 +
 +Fichier : ''/etc/crypto-policies/policies/modules/SHA1-SSL-SIG.pmod''
 +
 +Contenu :
 +
 +<file>
 +#Unblock openssl sha1 signatures for ssh
 +__openssl_block_sha1_signatures = 0
 +</file>
 +
 +==== 2. Application de la politique ====
 +Appliquer la modification sans affaiblir tout le système (maintien du mode DEFAULT) :
 +
 +Commande : 
 +  sudo update-crypto-policies --set DEFAULT:SHA1-SSL-SIG
 +
 +Vérification (doit afficher ''DEFAULT:SHA1-SSL-SIG'') : 
 +  update-crypto-policies --show 
 +
 +==== 3. Configuration Client SSH ====
 +Ajouter l'exception pour l'IP du serveur dans ''~/.ssh/config'' :
 +<file>
 +Host 192.168.0.3
 +    HostName 192.168.0.3
 +    HostKeyAlgorithms +ssh-rsa
 +    PubkeyAcceptedAlgorithms +ssh-rsa
 +</file>
 +
 +Note : Cette méthode est plus sécurisée que le mode ''LEGACY'' global car elle cible précisément le verrou OpenSSL.
 +
linux/ssh.1759783507.txt.gz · Dernière modification : de edmc73

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki