Service d'Administration des Moyens Informatiques

⚠ Documentation à usage INTERNE ⚠

Outils pour utilisateurs

Outils du site

Piste :
ssh

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
ssh [2022/01/24 14:17] – [Sécurité] pointalssh [2024/02/12 08:44] (Version actuelle) – [Transmission d'un agent ssh] pointal
Ligne 13: Ligne 13:
 Le protocole SSH peut permettre de s'authentifier sur une machine distante simplement à l'aide de son **login** et **mot de passe** (c'est le cas de la plupart des machines internes au laboratoire lorsqu'on y accède d'une autre machine interne). On utilise simplement : Le protocole SSH peut permettre de s'authentifier sur une machine distante simplement à l'aide de son **login** et **mot de passe** (c'est le cas de la plupart des machines internes au laboratoire lorsqu'on y accède d'une autre machine interne). On utilise simplement :
  
-<code bash>ssh ma_machine</code>+<code bash>ssh machine_cible</code>
  
-//(éventuellement ''ssh autrelogin@ma_machine'' si on dispose sur cette machine d'un login différent)//+//(éventuellement ''ssh autrelogin@machine_cible'' si on dispose sur cette machine d'un login différent)//
  
 Le mot de passe est demandé au moment de la connexion. Le mot de passe est demandé au moment de la connexion.
Ligne 22: Ligne 22:
  
 <code> <code>
-bidule@plop:~$ ssh ma_machine +bidule@plop:~$ ssh machine_cible 
-bidule@ma_machine's password: XXXXXXXXX+bidule@machine_cible's password: XXXXXXXXX
 Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 5.4.0-52-generic x86_64) Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 5.4.0-52-generic x86_64)
  
-bidule@ma_machine:~$ +bidule@machine_cible:~$ 
 </code> </code>
  
Ligne 34: Ligne 34:
  
 <code> <code>
-bidule@plop:~$ ssh  ma_machine +bidule@plop:~$ ssh  machine_cible 
-The authenticity of host 'ma_machine (129.175.17.124)' can't be established.+The authenticity of host 'machine_cible (129.175.17.124)' can't be established.
 ECDSA key fingerprint is SHA256:ffp+FmYkXoGXXB0pbZXjUKTYjEdMIBsrXhgoibx375Y. ECDSA key fingerprint is SHA256:ffp+FmYkXoGXXB0pbZXjUKTYjEdMIBsrXhgoibx375Y.
 Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
-Warning: Permanently added 'ma_machine,192.168.122.243' (ECDSA) to the list of known hosts. +Warning: Permanently added 'machine_cible,129.175.17.124' (ECDSA) to the list of known hosts. 
-bidule@ma_machine's password: XXXXXXXXX+bidule@machine_cible's password: XXXXXXXXX
 Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 5.4.0-52-generic x86_64) Welcome to Ubuntu 18.04.5 LTS (GNU/Linux 5.4.0-52-generic x86_64)
  
-bidule@ma_machine:~$ +bidule@machine_cible:~$ 
 </code> </code>
  
-Au cas où un autre ordinateur essaierait d'usurper l'adresse de ma_machine (typiquement pour récupérer votre mot de passe), sa signature serait invalide, ssh afficherait un message d'erreur et refuserait la connexion:+Au cas où un autre ordinateur essaierait d'usurper l'adresse de machine_cible (typiquement pour récupérer votre mot de passe), sa signature serait invalide, ssh afficherait un message d'erreur et refuserait la connexion:
  
 <code> <code>
-bidule@plop:~$ ssh ma_machine+bidule@plop:~$ ssh machine_cible
 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @ @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
Ligne 61: Ligne 61:
 Offending ECDSA key in /home/bidule/.ssh/known_hosts:3 Offending ECDSA key in /home/bidule/.ssh/known_hosts:3
   remove with:   remove with:
-  ssh-keygen -f "/home/bidule/.ssh/known_hosts" -R "ma_machine+  ssh-keygen -f "/home/bidule/.ssh/known_hosts" -R "machine_cible
-ECDSA host key for ma_machine has changed and you have requested strict checking.+ECDSA host key for machine_cible has changed and you have requested strict checking.
 Host key verification failed. Host key verification failed.
 </code> </code>
Ligne 75: Ligne 75:
  
 <code> <code>
-Warning: the ECDSA host key for 'ma_machine' differs from the key for the IP address '129.175.17.124'+Warning: the ECDSA host key for 'machine_cible' differs from the key for the IP address '129.175.17.124'
 Offending key for IP in /home/bidule/.ssh/known_hosts:2 Offending key for IP in /home/bidule/.ssh/known_hosts:2
 </code> </code>
Ligne 191: Ligne 191:
  
 <code bash> <code bash>
-ssh-copy-id -i ~/.ssh/id_rsa.pub ma_machine.lisn.upsaclay.fr+ssh-copy-id -i ~/.ssh/id_rsa.pub machine_cible.lisn.upsaclay.fr
 </code> </code>
  
Ligne 199: Ligne 199:
    
 <code> <code>
-bidule@plop:~$ ssh-copy-id -i ~/.ssh/id_rsa.pub ma_machine.lisn.upsaclay.fr+bidule@plop:~$ ssh-copy-id -i ~/.ssh/id_rsa.pub machine_cible.lisn.upsaclay.fr
 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/bidule/.ssh/id_rsa.pub" /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/bidule/.ssh/id_rsa.pub"
-The authenticity of host 'ma_machine.lisn.upsaclay.fr (129.175.17.124)' can't be established.+The authenticity of host 'machine_cible.lisn.upsaclay.fr (129.175.17.124)' can't be established.
 ECDSA key fingerprint is SHA256:ffp+FmYkXoGXXB0pbZXjUKTYjEdMIBsrXhgoibx375Y. ECDSA key fingerprint is SHA256:ffp+FmYkXoGXXB0pbZXjUKTYjEdMIBsrXhgoibx375Y.
 Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
 /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
-bidule@ma_machine.lisn.upsaclay.fr's password: +bidule@machine_cible.lisn.upsaclay.fr's password: 
  
 Number of key(s) added: 1 Number of key(s) added: 1
  
-Now try logging into the machine, with:   "ssh 'ma_machine.lisn.upsaclay.fr'"+Now try logging into the machine, with:   "ssh 'machine_cible.lisn.upsaclay.fr'"
 and check to make sure that only the key(s) you wanted were added. and check to make sure that only the key(s) you wanted were added.
 </code> </code>
Ligne 225: Ligne 225:
  
 <code bash> <code bash>
-ssh ma_machine.lisn.upsaclay.fr+ssh machine_cible.lisn.upsaclay.fr
 </code> </code>
  
Ligne 231: Ligne 231:
  
 <code> <code>
-bidule@plop:~$ ssh ma_machine.lisn.upsaclay.fr+bidule@plop:~$ ssh machine_cible.lisn.upsaclay.fr
 Enter passphrase for key '/home/bidule/.ssh/id_rsa':  Enter passphrase for key '/home/bidule/.ssh/id_rsa': 
  
-bidule@ma_machine:~$ +bidule@machine_cible:~$ 
 </code> </code>
  
Ligne 269: Ligne 269:
 </WRAP> </WRAP>
    
 +==== Agent ssh sous MacOS ====
 +
 +Il est possible de démarre un agent SSH comme service sous MacOS: [[https://usercomp.com/news/1044072/using-ssh-agent-on-mac|How to Use ssh-agent as a System Service on Mac]].
 +
 +Il est aussi possible d'utiliser le portefeuille de mots de passe associé au compte en spécifiant l'option ''UseKeychain yes'', et de laisser les clés débloquées avec l'option ''AddKeysToAgent yes'' dans la configuration ssh. Cf. Apple [[https://developer.apple.com/library/archive/technotes/tn2449/_index.html|Technical Note TN2449]]). 
 +
  
 ===== Passerelles ===== ===== Passerelles =====
Ligne 302: Ligne 308:
  
   * Il est possible d'avoir plusieurs jeux de clés, par exemple utilisés dans des contextes de sécurité différents. Attention toutefois à ne pas les multiplier, et à la complexification des procédures de connexion.   * Il est possible d'avoir plusieurs jeux de clés, par exemple utilisés dans des contextes de sécurité différents. Attention toutefois à ne pas les multiplier, et à la complexification des procédures de connexion.
 +
 +==== Changement de passphrase ====
 +
 +Au cas où vous auriez malencontreusement oublié de mettre une passphrase sur votre clé privée, ou bien si vous trouvez celle-ci trop légère… elle peut être changée :
 +
 +  ssh-keygen -f ~/.ssh/id_rsa -p
  
  
Ligne 318: Ligne 330:
  
 <code> <code>
- 
-Host pl-ssh.lisn.upsaclay.fr 
  
 Host m123.lisn.upsaclay.fr m167.lisn.upsaclay.fr m54.lisn.upsaclay.fr berlioz.lisn.upsaclay.fr Host m123.lisn.upsaclay.fr m167.lisn.upsaclay.fr m54.lisn.upsaclay.fr berlioz.lisn.upsaclay.fr
Ligne 337: Ligne 347:
 <code> <code>
  
-Match Host *.lisn.upsaclay.fr Exec ~/bin/inside_lisn.sh+Match Host *.lisn.upsaclay.fr Exec "/usr/bin/test -f %d/.ssh/usegw/use_vialisn"
  
-Match Host *.lisn.upsaclay.fr !Exec ~/bin/inside_lisn.sh +Match Host subversion.renater.fr,git.renater.fr !Exec %d/bin/inside_lisn.sh
-… +
-Match Host subversion.renater.fr,git.renater.fr !Exec ~/bin/inside_lisn.sh+
  
 Match Exec "nslookup %h | grep 'pl-ssh.lisn.upsaclay.fr'" Match Exec "nslookup %h | grep 'pl-ssh.lisn.upsaclay.fr'"
Ligne 370: Ligne 378:
  
 <WRAP center round info 80%> <WRAP center round info 80%>
-Avant l'existence de l'option ProxyJump, on utilisait l'option **ProxyCommand**\\ ''ProxyCommand ssh -W %h:%p pl-ssh.lisn.upsaclay.fr''.+Avant l'existence de l'option ProxyJump, on utilisait l'option **ProxyCommand**\\ ''ProxyCommand ssh -W %h:%p via.lisn.upsaclay.fr''.
 </WRAP> </WRAP>
  
Ligne 421: Ligne 429:
     IdentitiesOnly yes     IdentitiesOnly yes
  
-Host ma_machine ma_machine.lisn.upsaclay.fr+Host machine_cible machine_cible.lisn.upsaclay.fr
     ForwardAgent yes     ForwardAgent yes
     ForwardX11 yes     ForwardX11 yes
     IdentitiesOnly yes     IdentitiesOnly yes
  
-Host ma_machine *.lisn.upsaclay.fr+Host machine_cible *.lisn.upsaclay.fr
     User bidule     User bidule
     IdentityFile ~/.ssh/id_rsa     IdentityFile ~/.ssh/id_rsa
Ligne 454: Ligne 462:
     IdentitiesOnly yes     IdentitiesOnly yes
  
-Match Host ma_machine.lisn.upsaclay.fr+Match Host machine_cible.lisn.upsaclay.fr
     ForwardAgent yes     ForwardAgent yes
     ForwardX11 yes     ForwardX11 yes
     IdentitiesOnly yes     IdentitiesOnly yes
          
-Match Host ma_machine.lisn.upsaclay.fr !Exec ~/nextCloudCirrus/bin/inside_lisn.sh+Match Host machine_cible.lisn.upsaclay.fr !Exec ~/nextCloudCirrus/bin/inside_lisn.sh
     ProxyJump passerelle-labo     ProxyJump passerelle-labo
  
Ligne 476: Ligne 484:
     ProxyJump verslabia.lisn.upsaclay.fr     ProxyJump verslabia.lisn.upsaclay.fr
 </file> </file>
 +
 +===== Configuration avec putty =====
 +
 +==== Création d'un profil de connexion à via.lisn.upsaclay.fr ====
 +
 +{{::putty-via.png?400|1}}{{::putty-via2.png?400|2}}{{:putty-via3.png?400|3}}
 +
 +  * Cette connexion sera utilisée pour le rebond à l'intérieur du labo.
 +  * remplacer lisn-login par votre login
 +  * attention au format de la clé, propre à putty
 +
 +==== Création d'une connexion vers une machine interne en utilisant via ====
 +
 +{{::putty-serveurparvia1.png?400|1}} {{::putty-serveurparvia2.png?400|2}}
 +
 +  * utilisez ce profil pour rebondir sur une machine interne
 +  * remplacer 'unserveur.lisn.upsaclay.fr' par le serveur sur lequel vous voulez aboutir 
  
 ===== Trucs & astuces ===== ===== Trucs & astuces =====
Ligne 488: Ligne 513:
     IdentitiesOnly yes     IdentitiesOnly yes
     IdentityFile ~/.ssh/id_rsa     IdentityFile ~/.ssh/id_rsa
-    Hostname ma_machine.lisn.upsaclay.fr+    Hostname machine_cible.lisn.upsaclay.fr
     ForwardX11 yes     ForwardX11 yes
     ProxyJump passerelle-labo     ProxyJump passerelle-labo
ssh.1643030261.txt.gz · Dernière modification : 2022/01/24 14:17 de pointal
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki