Ceci est une ancienne révision du document !
SSH est un protocol crypté et donc sécurisé.
Son utilisation est indispensable à l’administration d’un serveur linux.
/etc/ssh/sshd_config
Le man en français http://www.delafond.org/traducmanfr/man/man5/sshd_config.5.html
Ajouter cette option dans le fichier de config.
UseDNS no
Pour se connecter via ssh ou scp sans avoir à taper le mot de passe.
Sur la machine client, tapez la commande
ssh-keygen -t dsa
Afin de générer un fichier ~/.ssh/id_dsa.pub qui sera votre clé public.
Copier ce fichier sur le serveur ssh
scp ~/.ssh/id_dsa.pub user1@serveur:/tmp/.
Ensuite sur votre serveur, connectez vous en user1 et ajoutez la clé public à votre fichier d’authorisation
user1:$ cat /tmp/id_dsa.pub >> /home/user1/.ssh/authorized_keys
Il y a parfois un 2 à authorized_keys
Utiliser la commande ssh-copy-id
ssh-copy-id -i chemin/to/id_dsa.pub user@serveurDistant.com
si le port ssh est différent (n’oubliez pas les guillemets)
ssh-copy-id -i chemin/to/id_dsa.pub "user@serveurDistant.com -p 45632"
Le mot de passe sera demandé puis un message disant que tout va bien
user@serveurDistant.com's password: Now try logging into the machine, with "ssh 'user@serveurDistant.com -p 45632'", and check in: .ssh/authorized_keys to make sure we haven't added extra keys that you weren't expecting.
Et voila !!
Vérifiez sur le serveur que votre fichier de config /etc/ssh/sshd_config comporte la ligne
PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys
Le cas échéant, redémarrez le serveur ssh
/etc/init.d/ssh restart
Et voila ;)
Pour copier un fichier sans demande de mot de passe, utilisez l’option -B :
scp -B fichier_a_copier user@serveur:/dossier/.
Il arrive que derrière un routeur, on a plusieurs serveurs ssh accessible depuis des ports différents. Du coup le client ssh s’affole avec des warnings disant ATTENTION ce serveur à la même ip que l’autre mais son empreinte est différente !! Dans ce cas, créé un fichier dans le répertoire de l’utilisateur du client /home/user/.ssh/config et mettez une exception
Host serveurSSH.com CheckHostIP no StrictHostKeyChecking no UserKnownHostsFile=/dev/null
Cela signifie que votre répertoire .ssh et votre fichier authorized_keys n’ont pas les bons droits.
Vous devez les configurez comme ci-dessous
chmod 700 /home/your_user/.ssh chmod 600 /home/your_user/.ssh/authorized_keys
Sinon vous pouvez désactiver le mode strict de votre serveur ssh dans le fichier de config.
StrictModes off
Scenario: You’re at home, and you want to connect to a mysql server on the other side of a firewall. There is a machine with ssh open on it that you can use as a gateway.
1. On your home machine:
ssh -L 3307:domain.name.of.mysqlserver:3306 username@domain.name.of.gatewayserver
This will open a tunnel, listening on localhost:3307 and forwarding everything to mysqlserver:3306, and doing it all via the ssh service on the gateway machine.
This example shows us specifying port 3307 on the local end of the tunnel; I did this because I run a MySQL server on my home machine, so I can’t re-use the default MySQL port.
You’ll now have a terminal open on the gateway machine, but you don’t need it for this procedure, so set it aside.
2. Now, on your local machine, execute a mysql connection like so:
mysql -u username -p -h 127.0.0.1 -P 3307 databasename
In other words, mysql thinks it’s connecting to localhost, but on a different port. In fact, the connection is being made securely to the remote mysql server, via the gateway machine and the local “mouth” of the ssh tunnel on your own machine.
3. When you’re finished with your mysql session, log out of the session on the gateway machine. That will properly close the tunnel.
Avec sshfs on peut monter un répertoire distant dans un répertoire local via ssh donc hyper sécurisé.
Pour ce faire, installé le paquet sshfs et assurez vous d’ajouter votre compte utilisateur dans le groupe fuse
adduser toto fuse
Ensuite, créer votre répertoire de montage, par exemple /home/toto/monPCdistant
Lancez la commande suivante
sshfs UserDistant@PCdistant:/repertoireAmonter /home/toto/monPCdistant/
et voila ;)
source ⇒ http://www.generation-linux.fr/index.php?post/2009/04/14/Monter-un-repertoire-distant-avec-SSH2
Voir → http://formation-debian-testing.via.ecp.fr/ftp.html#id289286
Créer un utilisateur
# adduser toto Ajout de l'utilisateur « toto » ... Ajout du nouveau groupe « toto » (1001) ... Ajout du nouvel utilisateur « toto » (1001) avec le groupe « toto » ... Création du répertoire personnel « /home/toto »... Copie des fichiers depuis « /etc/skel »... Entrez le nouveau mot de passe UNIX : Retapez le nouveau mot de passe UNIX : passwd : le mot de passe a été mis à jour avec succès Modification des informations relatives à l'utilisateur toto Entrez la nouvelle valeur ou « Entrée » pour conserver la valeur proposée Nom complet []: N° de bureau []: Téléphone professionnel []: Téléphone personnel []: Autre []: Cette information est-elle correcte ? [O/n]
Pour chrooter toto, son répertoire home doit appartenir à root
cd /home ls -l drwxr-xr-x 2 toto toto 4096 16 janv. 08:44 toto chown root toto ls -l drwxr-xr-x 2 root toto 4096 16 janv. 08:44 toto
Modifier la config du serveur ssh :
Pour limiter au sftp
Match User toto X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp ChrootDirectory %h