Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ssh [2023/04/20 15:33] – darre
+++ ssh [2024/02/09 14:51] – [Sécurité] pointal
@@ Ligne 13: / Ligne 13: @@
 Le protocole SSH peut permettre de s'authentifier sur une machine distante simplement à l'aide de son **login** et **mot de passe** (c'est le cas de la plupart des machines internes au laboratoire lorsqu'on y accède d'une autre machine interne). On utilise simplement :
-<code bash>ssh ma_machine</code>
+<code bash>ssh machine_cible</code>
-//(éventuellement ''ssh autrelogin@ma_machine'' si on dispose sur cette machine d'un login différent)//
+//(éventuellement ''ssh autrelogin@machine_cible'' si on dispose sur cette machine d'un login différent)//
 Le mot de passe est demandé au moment de la connexion.
@@ Ligne 22: / Ligne 22: @@
 <code>
-bidule@plop:~$ ssh ma_machine
+bidule@plop:~$ ssh machine_cible
-bidule@ma_machine's password: XXXXXXXXX
+bidule@machine_cible's password: XXXXXXXXX
 Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 5.4.0-52-generic x86_64)
 …
-bidule@ma_machine:~$
+bidule@machine_cible:~$
 </code>
@@ Ligne 34: / Ligne 34: @@
 <code>
-bidule@plop:~$ ssh  ma_machine
+bidule@plop:~$ ssh  machine_cible
-The authenticity of host 'ma_machine (129.175.17.124)' can't be established.
+The authenticity of host 'machine_cible (129.175.17.124)' can't be established.
 ECDSA key fingerprint is SHA256:ffp+FmYkXoGXXB0pbZXjUKTYjEdMIBsrXhgoibx375Y.
 Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
-Warning: Permanently added 'ma_machine,192.168.122.243' (ECDSA) to the list of known hosts.
+Warning: Permanently added 'machine_cible,129.175.17.124' (ECDSA) to the list of known hosts.
-bidule@ma_machine's password: XXXXXXXXX
+bidule@machine_cible's password: XXXXXXXXX
 Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 5.4.0-52-generic x86_64)
 …
-bidule@ma_machine:~$
+bidule@machine_cible:~$
 </code>
-Au cas où un autre ordinateur essaierait d'usurper l'adresse de ma_machine (typiquement pour récupérer votre mot de passe), sa signature serait invalide, ssh afficherait un message d'erreur et refuserait la connexion:
+Au cas où un autre ordinateur essaierait d'usurper l'adresse de machine_cible (typiquement pour récupérer votre mot de passe), sa signature serait invalide, ssh afficherait un message d'erreur et refuserait la connexion:
 <code>
-bidule@plop:~$ ssh ma_machine
+bidule@plop:~$ ssh machine_cible
 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@ Ligne 61: / Ligne 61: @@
 Offending ECDSA key in /home/bidule/.ssh/known_hosts:3
   remove with:
-  ssh-keygen -f "/home/bidule/.ssh/known_hosts" -R "ma_machine"
+  ssh-keygen -f "/home/bidule/.ssh/known_hosts" -R "machine_cible"
-ECDSA host key for ma_machine has changed and you have requested strict checking.
+ECDSA host key for machine_cible has changed and you have requested strict checking.
 Host key verification failed.
 </code>
@@ Ligne 75: / Ligne 75: @@
 <code>
-Warning: the ECDSA host key for 'ma_machine' differs from the key for the IP address '129.175.17.124'
+Warning: the ECDSA host key for 'machine_cible' differs from the key for the IP address '129.175.17.124'
 Offending key for IP in /home/bidule/.ssh/known_hosts:2
 </code>
@@ Ligne 191: / Ligne 191: @@
 <code bash>
-ssh-copy-id -i ~/.ssh/id_rsa.pub ma_machine.lisn.upsaclay.fr
+ssh-copy-id -i ~/.ssh/id_rsa.pub machine_cible.lisn.upsaclay.fr
 </code>
@@ Ligne 199: / Ligne 199: @@
 <code>
-bidule@plop:~$ ssh-copy-id -i ~/.ssh/id_rsa.pub ma_machine.lisn.upsaclay.fr
+bidule@plop:~$ ssh-copy-id -i ~/.ssh/id_rsa.pub machine_cible.lisn.upsaclay.fr
 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/bidule/.ssh/id_rsa.pub"
-The authenticity of host 'ma_machine.lisn.upsaclay.fr (129.175.17.124)' can't be established.
+The authenticity of host 'machine_cible.lisn.upsaclay.fr (129.175.17.124)' can't be established.
 ECDSA key fingerprint is SHA256:ffp+FmYkXoGXXB0pbZXjUKTYjEdMIBsrXhgoibx375Y.
 Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
 /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
-bidule@ma_machine.lisn.upsaclay.fr's password:
+bidule@machine_cible.lisn.upsaclay.fr's password:
 Number of key(s) added: 1
-Now try logging into the machine, with:   "ssh 'ma_machine.lisn.upsaclay.fr'"
+Now try logging into the machine, with:   "ssh 'machine_cible.lisn.upsaclay.fr'"
 and check to make sure that only the key(s) you wanted were added.
 </code>
@@ Ligne 225: / Ligne 225: @@
 <code bash>
-ssh ma_machine.lisn.upsaclay.fr
+ssh machine_cible.lisn.upsaclay.fr
 </code>
@@ Ligne 231: / Ligne 231: @@
 <code>
-bidule@plop:~$ ssh ma_machine.lisn.upsaclay.fr
+bidule@plop:~$ ssh machine_cible.lisn.upsaclay.fr
 Enter passphrase for key '/home/bidule/.ssh/id_rsa':
 …
-bidule@ma_machine:~$
+bidule@machine_cible:~$
 </code>
@@ Ligne 302: / Ligne 302: @@
   * Il est possible d'avoir plusieurs jeux de clés, par exemple utilisés dans des contextes de sécurité différents. Attention toutefois à ne pas les multiplier, et à la complexification des procédures de connexion.
+==== Changement de passphrase ====
+Au cas où vous auriez malencontreusement oublié de mettre une passphrase sur votre clé privée, ou bien si vous trouvez celle-ci trop légère… elle peut être changée :
+  ssh-keygen -f ~/.ssh/id_rsa -p
@@ Ligne 318: / Ligne 324: @@
 <code>
-…
-Host pl-ssh.lisn.upsaclay.fr
 …
 Host m123.lisn.upsaclay.fr m167.lisn.upsaclay.fr m54.lisn.upsaclay.fr berlioz.lisn.upsaclay.fr
@@ Ligne 337: / Ligne 341: @@
 <code>
 …
-Match Host *.lisn.upsaclay.fr Exec ~/bin/inside_lisn.sh
+Match Host *.lisn.upsaclay.fr Exec "/usr/bin/test -f %d/.ssh/usegw/use_vialisn"
-…
-Match Host *.lisn.upsaclay.fr !Exec ~/bin/inside_lisn.sh
 …
-Match Host subversion.renater.fr,git.renater.fr !Exec ~/bin/inside_lisn.sh
+Match Host subversion.renater.fr,git.renater.fr !Exec %d/bin/inside_lisn.sh
 …
 Match Exec "nslookup %h | grep 'pl-ssh.lisn.upsaclay.fr'"
@@ Ligne 370: / Ligne 372: @@
 <WRAP center round info 80%>
-Avant l'existence de l'option ProxyJump, on utilisait l'option **ProxyCommand**\\ ''ProxyCommand ssh -W %h:%p pl-ssh.lisn.upsaclay.fr''.
+Avant l'existence de l'option ProxyJump, on utilisait l'option **ProxyCommand**\\ ''ProxyCommand ssh -W %h:%p via.lisn.upsaclay.fr''.
 </WRAP>
@@ Ligne 421: / Ligne 423: @@
     IdentitiesOnly yes
-Host ma_machine ma_machine.lisn.upsaclay.fr
+Host machine_cible machine_cible.lisn.upsaclay.fr
     ForwardAgent yes
     ForwardX11 yes
     IdentitiesOnly yes
-Host ma_machine *.lisn.upsaclay.fr
+Host machine_cible *.lisn.upsaclay.fr
     User bidule
     IdentityFile ~/.ssh/id_rsa
@@ Ligne 454: / Ligne 456: @@
     IdentitiesOnly yes
-Match Host ma_machine.lisn.upsaclay.fr
+Match Host machine_cible.lisn.upsaclay.fr
     ForwardAgent yes
     ForwardX11 yes
     IdentitiesOnly yes
-Match Host ma_machine.lisn.upsaclay.fr !Exec ~/nextCloudCirrus/bin/inside_lisn.sh
+Match Host machine_cible.lisn.upsaclay.fr !Exec ~/nextCloudCirrus/bin/inside_lisn.sh
     ProxyJump passerelle-labo
@@ Ligne 477: / Ligne 479: @@
 </file>
-===== Configuration vec putty =====
+===== Configuration avec putty =====
 ==== Création d'un profil de connexion à via.lisn.upsaclay.fr ====
@@ Ligne 505: / Ligne 507: @@
     IdentitiesOnly yes
     IdentityFile ~/.ssh/id_rsa
-    Hostname ma_machine.lisn.upsaclay.fr
+    Hostname machine_cible.lisn.upsaclay.fr
     ForwardX11 yes
     ProxyJump passerelle-labo