Utilisation de clefs et raccourcis dans ssh

fran.b · **Publié:** 19 Nov 2006 16:58

Après avoir tapé 231 fois le mot de passe, on en a marre surtout si le nom de la machine est nomtreslong.lichtenstein.loin et le login bouvardetpecuchet.flaubert
On souhaiterait faire directement

ssh labas

1) Fabrication des clefs:

Faire

Code:

$ ssh-keygen -t dsa

Lui donner un nom par exemple labas:

Code:

Enter file in which to save the key (/home/francois/.ssh/id_dsa): ~/.ssh/labas

Taper <return> pour les passphrases.

2) Configuration de ssh

Editer le fichier ~/.ssh/config et rajouter

Code:

Host labas
HostName nomtreslong.lichtenstein.loin
User bouvardetpecuchet.flaubert
PasswordAuthentication no
IdentityFile ~/.ssh/labas

3) Sur la machine nomtreslong.lichtenstein.loin

rajouter à la fin du fichier ~/.ssh/authorized_keys le contenu du fichier ~/.ssh/labas.pub qui a été crée sur votre machine. Ce fichier est du texte pur et un copier/coller suffit. Changer les droits de ~/.ssh/authorized_keys en 600 (ou 644 qui marche aussi)

4) Essai

Pour se connecter sur la machine voulue, au lieu de

$ ssh bouvardetpecuchet.flaubert@nomtreslong. ... stein.loin
et de taper le mot de passe, il suffit de faire

$ ssh labas
Pour copier un fichier, un

$ scp fichier labas:~

marchera

5) Ça ne marche pas, il demande les mots de passes: Vérfier que les droits de ~/.ssh/authorized_keys soit rw-------, sinon la reconnaissance par clefs est désactivée. Eventuellement regarder la configuration de /etc/ssh/sshd_config sur nomtreslong.lichtenstein.loin. Elle est peut être exotique et exige quoiqu'il arrive la reconnaissance par mot de passe. Il doit y avoir l'option

Code:

PubkeyAuthentication yes

ricardo · **Publié:** 19 Nov 2006 17:10

Ça m'a l'air très pratique, en effet mais question :
est-ce qu'il faut taper mot à mot le code indiqué (en dehors des noms d'user, etc;), y-compris les tildes '~' ou ces derniers représente un chemin ?

mattotop · **Publié:** 19 Nov 2006 17:13

~ represente le home de l'user en cours. Par exemple, ~ en tant que ricardo signifie /home/ricardo.
~<user> signifie "le home de tel user". Par exemple ~root signifie /root (quel que soit l'user en cours dans cette deuxiême notation).

ricardo · **Publié:** 19 Nov 2006 17:14

merci, j'ignorais

Bluenote · **Publié:** 19 Nov 2006 19:06

Par défaut avec scp tu pars du home de l'utilisateur (local ou distant)

Mais si tu as des applis kde (pas uniquement konqueror) je te recommande fish (implémentation graphique de ssh/scp)

Il y a aussi sshfs si tu veux vraiment monter tes répertoires distants en connexion chiffrée pour TOUTES les applis.

BorisTheButcher · **Inscrit le:** 31 Mars 2006 17:59 **Messages:** 1171

J'avais fais un tuto ftpfs, on peut l'adapter à sshfs

Il faut avoir FUSE d'installé dans le noyau:

Code:

grep FUSE /boot/config-`uname -r`

Doit rendre
CONFIG_FUSE_FS=y
Si c'est pas le cas, il faut modifier la config du kernel pour ajouter le support FUSE.

Code:

apt-get install fuse-utils

Ajouter ca à sources.list (pour ftpfs, sshfs est déja présent dans les dépots officiels)

Citer:

deb http://debian.jox.be ./
deb-src http://debian.jox.be ./

Code:

apt-get update
apt-get install fuseftp

mkdir -p /mnt/ftpfs/site1
chown -R root:fuse /mnt/ftpfs
chmod g+rx /mnt/ftpfs
chmod go+rwx /mnt/ftpfs/site1

ajouter deb_user au groupe fuse:

Code:

addgroup deb_user fuse

Il faut que deb_user se relogue pour que le changement de groupe soit effectif (soit un redemarrage du WM ou un su -)
Montage:

Code:

$fuseftp /mnt/ftpfs/site1 myuser:mypass@ftp.site1.com:/web/

Par contre, je ne connais pas les performances, mais je doutes qu'elles soient très bonnes.

http://www.linux.com/article.pl?sid=05/11/11/176206

dupdup17 · **Inscrit le:** 01 Sep 2006 17:23 **Messages:** 294

Salut à tous,

J'ai un probleme:
J'ai crée la clé avec la premiere commande, dans dup (un ~/.ssh/dup ne passe pas: no such file or directory, même avec mkdir ~/.ssh/dup)

Donc j'ai édité le fichier config dans .ssh, avec mes hosts etc ...

3) Là mon fichier authorized_keys était vide ( :shock:

), donc j'ai directement copié le dup.pub vers /.ssh/authorized_keys, puis un chmod600.

Et à la fin je me delogue, je fais ssh dup, et j'ai un connexion time out. En direct c'est ok

Je pense que le blem est au niveau du authorized_keys, mais je suis pas sur.

Quelqun at-til rencontré ce probleme ?
Cldt dupdup17.

EDIT: probleme réglé. Je pense que c'etait du a une inversion de host et hostname. J'ai mis les mêmes, ca tourne.

panthere · **Inscrit le:** 09 Jan 2007 22:49 **Messages:** 2631

Bon j'ai essayer la manip et sa marche pas il me demande le password ?

serveur: 192.168.1.64
client : 192.168.1.65

Donc sur le client je me suis placer dans /home/user/.ssh
pour faire le

Code:

ssh-keygen -t dsa

on obtiens 2 fichier.

je cree le fichier /home/user/.ssh/.config

Code:

Host p
HostName 192.168.1.64
User userserveur
PasswordAuthentication no
IdentityFile ~/.ssh/p

Sure le serveur je par a la recherche du fichier

Code:

authorized_keys

je fait un

Code:

find / -iname authorized_keys

qui me renvoiye rien ...

bon je tente de crée un fichier vide dans /home/userserveur/.ssh/authorized_keys
dans le qu'elle je colle le contenu complet du fichier xxx.pub obtenu sure la machine cliente (avec ssh-keygen -t dsa)

j'ouvre un terminal sur la machine cliente et:

Citer:

$ ssh p
Password:

Donc je supose que la clef va ailleurs mai ou ?
PubkeyAuthentication yes ce trouve bien dans le fichier de configuration sure le serveur

fran.b

Citer:

3) Sur la machine nomtreslong.lichtenstein.loin

rajouter à la fin du fichier ~/.ssh/authorized_keys le contenu du fichier ~/.ssh/labas.pub qui a été crée sur votre machine. Ce fichier est du texte pur et un copier/coller suffit. Changer les droits de ~/.ssh/authorized_keys en 600 (ou 644 qui marche aussi)

Si le fichier n'existe pas tu le crées. Où? Ben dans ton répertoire ~/ssh sur le serveur.

panthere · **Inscrit le:** 09 Jan 2007 22:49 **Messages:** 2631

hello
J'ai carrément effacer ce qu'il y avait dans le /home/user/.ssh des deux machine: note sur le serveur il n'y avait pas de répertoire .ssh.

j'ai donc copier le fichier p.pub sur le serveur que j'ai renommer en authorized_keys dans le répertoire /home/userserveur/.ssh histoir d'exclure tout erreur de manip qui fausserai la clef.

profiter pour relancer le serveur ssh (des foit que)

Sure la machine cliente j'ai constater qu'un fichier du nom de known_hosts qui contiens la clef envoyée par le serveur l'or de la première connections ou il pose la question
Le fichier sshd_config

Code:

ssh p
The authenticity of host '192.168.1.64 (192.168.1.64)' can't be established.
RSA key fingerprint is XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:censurer:XX:XX:XX:XX.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.64' (RSA) to the list of known hosts.
Password: 
Linux pmch 2.6.18-5-k7 #1 SMP Wed Oct 3 00:47:27 UTC 2007 i686

voici les fichier de config :

Code:

# Package generated configuration file
# See the sshd(8) manpage for defails

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# ...but breaks Pam auth via kbdint, so we have to turn it off
# Use PAM authentication via keyboard-interactive so PAM modules can
# properly interface with the user (off due to PrivSep)
#PAMAuthenticationViaKbdInt no
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile   %h/.ssh/authorized_keys

# rhosts authentication should not be used
#RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Uncomment to disable s/key passwords 
#ChallengeResponseAuthentication no

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes


# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
#PrintLastLog no
KeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem sftp /usr/lib/openssh/sftp-server


UsePAM yes

Le fichier ssh_config

Code:

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

Merci

edit:

Code:

grep FUSE /boot/config-`uname -r`
CONFIG_FUSE_FS=y

dexmon · Debian Etch 2.6.18 PII 350 Mhz 256 Ram

salut,
j'ai fait un

Code:

grep FUSE /boot/config-`uname -r`

et j'ai:

Code:

CONFIG_FUSE_FS=m

comment je fais pour le charger?

panthere · **Inscrit le:** 09 Jan 2007 22:49 **Messages:** 2631

un petit utilitaire très pratique en mode console.
aptitude install modconf

sinon man modprob

dexmon · Debian Etch 2.6.18 PII 350 Mhz 256 Ram

merci et comment voir qu'il a bien été chargé ?

panthere · **Inscrit le:** 09 Jan 2007 22:49 **Messages:** 2631

modconf si un + et si c'est confirmer c'est que c'est bon

fran.b

Dans ton sshd_config, tu as

Citer:

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes

et le à «no»

panthere · **Inscrit le:** 09 Jan 2007 22:49 **Messages:** 2631

c'est chose faite mai il me demande toujours le mots de passe :smt009

?
note:j'ai bien relancer le serveur ssh après.

fran.b

Qu'as tu dans ton répertoire .ssh sur la machine serveur ET sur la machine client (fais un ls -al)

Citer:

Pour être exact en fait, «forward» indique le relais et lo = interface loopback donc l'ordinateur lui même. Cette règle accepte de relayer une connexion venant de l'ordinateur lui même.

panthere · **Inscrit le:** 09 Jan 2007 22:49 **Messages:** 2631

Serveur

Code:

ls -la /home/user/.ssh/
total 12
drw-r--r--  2 user user 4096 2007-12-09 21:32 .
drwx------ 26 user user 4096 2007-12-10 14:18 ..
-rw-r--r--  1 user user  597 2007-12-09 21:29 authorized_keys

Client

Code:

ls -la .ssh 
total 24
drwx------  2 user user 4096 2007-12-09 22:35 .
drwxr-xr-x 65 user user 4096 2007-12-10 21:42 ..
-rw-r--r--  1 user user   86 2007-12-09 10:25 config
-rw-r--r--  1 user user  442 2007-12-09 22:35 known_hosts
-rw-------  1 user user  672 2007-12-09 22:28 p
-rw-r--r--  1 user user  597 2007-12-09 22:28 p.pub

Note j'ai remplacer le véritable nom de l'utilisateur par user!

fran.b

Si tu utilises p et p.pub, met dans ton .ssh un fichier config contenant

IdentityFile ~/.ssh/p

panthere · **Inscrit le:** 09 Jan 2007 22:49 **Messages:** 2631

sa y étai déjà, Maintenant sa marche en me retapant le tuto depuis le début
Je me suis mélanger les pinceau quelque pare mai je voi pas ou.

Merci fran.b l'astuce est vraiment sympa sa permet aussi de changer les mots de passe te d'en mettre des qui font + de 15 caractère donc plus efficace :smt026

thialme · **Inscrit le:** 10 Juin 2007 21:34 **Messages:** 681

Au fait, on est pas obligé d'appeler le fichier authorized_keys, on peut très bien l'appeler authorized_keys2 si on veut.

Ensuite quant à l'utilisation de clefs sans passphrase je n'aime pas trop, du coup je conseille d'utilisé ssh-agent conjointement. Le mot de passe n'est demandé qu'une seule fois par session.

Et puis pour la sécurité SSH je proposerais ... non je m'arrête :p! c'est hors thread.

fran.b

Tu sais Franck, je suis ammené à «gérer» un jury de 90-100 personnes et, à coté de ça, dest profs et élèves. Je me suis aperçu que, si on veut une sécurité, il faut
1) Que ça soit facile pour l'utilisateur: Demander à des gens de crypter des mails est trop dur (avec Outlook) => création d'un site avec cryptage/décryptage à la volée.
2) Demander aux gens d'utiliser un mot de passe non trivial entraine immédiatement le fait que celui ci est marqué sur un papier et que ce papier est immanquablement oublié près d'une machine sur laquelle peuvent composer des candidats.
3) Exiger un stockage crypté entraine immanquablement la possession de clef USB ou de portable avec les documents en clair dessus car «c'est trop compliqué ce système».

Donc un système sécurisé est un système qu'un boeuf récalcitrant utilisera quand même malgré sa mauvaise volonté car ça ne lui complique pas *trop* la vie.

mattotop · **Inscrit le:** 08 Sep 2004 23:53 **Messages:** 22253 **Localisation:** CAEN

C'est qui Franck ?

fran.b

Oups.. thialme, dsl

thialme · **Inscrit le:** 10 Juin 2007 21:34 **Messages:** 681

Je n'ai pas de peine à te croire. Déjà avec une vingtaine de personnes je me rends compte, qu'il faut tout faire pour leur faciliter la vie :p!

Forum debian-fr.org

Utilisation de clefs et raccourcis dans ssh

Qui est en ligne ?