Services et serveurs

SSH : Installer et configurer un serveur SSH

Cet article a été mis à jour, vous consultez ici une archive de cet article!
Table des matières

ssh_logo





Qu'est ce que SSH et OpenSSH





Secure Shell (SSH) est un programme mais aussi un protocole de communication sécurisé. Grâce à SSH, on peut se connecter à distance sur une machine, transférer des fichiers, si celle-ci dispose d'un serveur SSH,

OpenSSH (OpenBSD Secure Shell) est un ensemble d'outils informatiques libres permettant des communications sécurisées sur un réseau informatique en utilisant le protocole SSH.



Installation du serveur OpenSSH





Pour installer le serveur ssh sur notre machine, installer le paquet openssh-server



Calculate Linux





Code BASH :
emerge net-misc/openssh




Mageia





Code BASH :
urpmi openssh-server




Ubuntu





Code BASH :
apt-get install openssh-server




CentOS/Fedora





Code BASH :
yum install openssh-server




Configurer le service SSH







Lancer le service au démarrage







Calculate Linux





Code BASH :
rc-update add sshd default






Mageia





Code BASH :
systemctl enable sshd.service






Fedora/CentOS





Code BASH :
systemctl enable sshd.service






Affiner la configuration de SSH







Désactiver les connexions SSH en root





Il est recommandé de ne pas permettre la connexion en root.

Pour cela, éditer le fichier /etc/ssh/sshd_config et modifier cette ligne:



Code :
PermitRootLogin no




Ne pas oublier de recharger la configuration de SSH:



Code BASH :
/etc/init.d/sshd  reload




Autoriser le SSHFS





Il se peut que lorsque vous tentez de vous connecter en SSHFS sur votre seveur, celui-ci indique Connexion reset by peer.

Pour cela, éditer le fichier /etc/ssh/sshd_config et modifier/ajouter cette ligne:



En 32bits sous Gentoo :

Code :
Subsystem       sftp    /usr/lib/misc/sftp-server




En 64bits sous Gentoo :

Code :
Subsystem       sftp    /usr/lib64/misc/sftp-server




Ne pas oublier de recharger la configuration de SSH:



Code BASH :
/etc/init.d/sshd  reload




Autoriser/Interdire des utilisateurs





Il est possible d'autoriser une liste de certains utilisateurs à se connecter. Modifier ou ajouter cette ligne dans le sshd_config :

Code BASH :
AllowUsers user1 user2 user3




Il est possible de refuser la connexion que de certains utilisateurs. Modifier ou ajouter cette ligne dans le sshd_config :

Code BASH :
DenyUsers user1 user2 user3




Ne pas oublier le parefeu





Bien qu’automatiquement, lors de l'installation d'openssh, celui-ci ouvre le parefeu, vérifier, selon la distribution utilisée que le parefeu est bien ouvert sur le port 22 en TCP.





Tester sa connexion ssh :





En local





Ouvrir une console, et tester de se connecter (dans mon exemple, avec l'utilisateur adrien) :



Code BASH :
adrien@masupermachine ~ $ ssh adrien@127.0.0.1                                                                                                                                                                                                   
Password:                                                                                                                                                                                                                                   
Last login: Thu Jan 24 20:50:28 CET 2013 from 192.168.1.200 on pts/3                                                                                                                                                                        
adrien@masupermachine ~ $  






A distance





Ouvrir une console sur un autre PC ou bien avec l'utilitaire PuTTY su l'autre machine est un Windows (on considère que l'IP de ma machine où est installée SSH est 192.168.1.101 :





Depuis un PC Linux




Code BASH :
adrien@masupermachine ~ $ ssh adrien@192.168.1.101                                                                                                                                                                                                   
Password:                                                                                                                                                                                                                                   
Last login: Thu Jan 24 20:50:28 CET 2013 from 192.168.1.200 on pts/3                                                                                                                                                                        
adrien@masupermachine ~ $  




Depuis un PC Windows




A renseigner !





Et si on parlait de clés ?





Le mot de passe pour se connecter en SSH, c'est bien mais ... Si on se connectait avec une clé que seul notre ordinateur et le serveur en ont connaissance ?



C'est une bonne alternative au mot de passe. Si le serveur est directement connecté à l'Internet, il est préférable, d'utiliser une paire de clés privées/publiques et d'interdire le mot de passe.

Mais cela peut être pratique, pour ne pas saisir de mot de passe et se connecter cash au serveur (automatismes rsync par exemple).





Générer la paire de clés







Si mon client est un Linux





Dans l'exemple qui suit, je vais générer la clé au format RSA:



Code BASH :
ssh-keygen -t rsa




Il faut renseigner par la suite le nom du fichier, valider pour laisser par défaut dans /home/$USER/.ssh/id_rsa.



Ensuite, on nous demande de saisir une passphrase. C'est une suite de caractères (une phrase mnémotechnique, qu'il faudra saisir à chaque connexion). Je ne vais pas en mettre.

Ce n'est pas ANTI-SÉCURITÉ puisque sur la machine client ET le serveur devront s'authentifier mutuellement.



Voici l'exemple pour ma part :

Caché :
adrien@client ~ $ ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/adrien/.ssh/id_rsa):

Created directory '/home/adrien/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/adrien/.ssh/id_rsa.

Your public key has been saved in /home/adrien/.ssh/id_rsa.pub.

The key fingerprint is:

47:ad:b8:a9:a5:71:5c:a7:06:54:fa:ee:f2:ca:05:da adrien@client

The key's randomart image is:

+--[ RSA 2048]----+

| . |

| o . |

| o . . |

| . + . |

| S = . |

| + O o |

| o E = |

| B.+ |

| o o+o |

+-----------------+





Voici ce que contient le fichier de clé publique sur notre client:



Code BASH :
adrien@client ~ $ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3Nz[...]dR/7L adrien@client






Si mon client est un Windows





A renseigner !





Configurer le serveur







Et maintenant ? Comment je configure mon serveur ?



Et bien, la clé publique, précédemment générée est à copier coller sur le serveur, dans le fichier ~/.ssh/authorized_keys.

Attention ! Le contenu du fichier ~/.ssh/id_rsa.pub doit tenir sur une seule et même ligne !



Pour éviter les erreurs de frappe, si le client est un Linux, on peut transférer le fichier via cette commande:



Code BASH :
ssh-copy-id adrien@serveur




Sur notre serveur, nous obtenons ensuite ceci :



Code BASH :
adrien@serveur ~ $ cat .ssh/authorized_keys
ssh-rsa AAAB3N[...]oe1 adrien@client




Si plusieurs clients ont des accès au serveur, il y aura plusieurs lignes dans le fichier ~/.ssh/authorized_keys du serveur.



Maintenant, on teste la connexion au serveur.



Si c'est la première fois qu'on se connecte au serveur par ssh, avec notre client, il peut y avoir un avertissement. Valider par "Yes"

Cf. exemple en dessous




Nous sommes connectés.



On ferme la connexion avec la commande exit et on tente de se connecter : RAS, rien à saisir !



Code TEXT :
adrien@client ~ $ ssh adrien@192.168.1.101
The authenticity of host '192.168.1.101 (192.168.1.101)' can't be established.
ECDSA key fingerprint is d3:01:93:21:a4:37:24:d0:49:58:f2:57:67:7b:be:02.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.101' (ECDSA) to the list of known hosts.
Last login: Thu Jan 24 19:05:59 CET 2013 on :0
adrien@serveur ~ $ exit
déconnexion
Connection to 192.168.1.101 closed.
adrien@client ~ $ ssh adrien@192.168.1.101
Last login: Thu Jan 24 20:38:37 CET 2013 from 192.168.1.200 on pts/3
adrien@serveur ~ $ 




Et voila, notre client et notre serveur sont configurés.



Les déclinaisons des commandes ssh (telles rsync, scp et sftp) bénéficient du système de clés privées/clés publiques.



Si on est sur de notre coup, on peut désactiver les connexions par mot de passe à notre serveur pour n'autoriser que des connexions par clés.

Ne faites cela que si vous êtes sûr de votre coup, sinon, il vous faudra accéder à la machine physique si vous perdez la clé (vol d'ordinateur client, destruction du disque dur ...) et que vous n'avez pas d'autres clients configurés.



Pour cela, éditer le fichier /etc/ssh/sshd_config et passer la valeur PasswordAuthentication à no et UsePAM à no



Recharger la configuration de ssh avec :



Code BASH :
serveur adrien # /etc/init.d/sshd reload
 * Reloading sshd ...  






Et si je ne veux plus qu'un client accède à mon serveur





Et bien la réponse à cette question est simple, il suffit de supprimer la ligne correspondante dans le fichier ~/.ssh/authorized_keys du serveur.





Infos pratiques côté Client







~/.ssh/config : Configuration simple





Je vais vous présenter quelque chose qui m'a simplifié la vie : les alias SSH.

Si on a l'habitude de se connecter à plusieurs serveurs SSH, (noms d'hôtes différents, ports différents) et que vous avez parfois la flemme de taper toute la ligne :



Code BASH :
ssh -p 5222 adrien@192.168.10.100




Il est possible de créer des alias.



Il suffit de créer le fichier ~/.ssh/config.

Voici un exemple :



~/.ssh/config :
Host srv1

HostName 192.168.10.100

Port 5222

User adrien





Ainsi, j'ai juste à taper en console ssh srv1 et cela est équivalent à ssh -p 5222 adrien@192.168.10.100.



~/.ssh/config : Configuration avancée







Alias de tunnel





Il est même possible de créer un alias tunnel.

Je vous montre un exemple, puis je vous explique :



Code BASH :
Host webmin
  HostName 192.168.1.11
  Port 22
  User adrien
  LocalForward 8080 192.168.1.11:10000
 




Quand je fais faire ssh webmin, ça va m'ouvrir un tunnel SSH entre mon PC et le serveur ayant l'IP 192.168.1.11.



On créé donc un tunnel SSH, qui va "relier" le port 8080 de ma machine sur le port 10000 de la machine distante.



Si le serveur n'a que le pot 22 d'ouvert, c'est intéressant. Car je peux accéder à webmin (qui écoute sur le port 10000) maintenant, avec le navigateur sur mon PC à l'adresse https://127.0.0.1:8080 .





Alias pour se connecter par rebond





Prenons un exemple avec 3 machines : Alpha, Beta, Gamma.

Alpha est mon client.

Beta est un serveur connecté à Internet et à un réseau local distant

Gamma n'est connecté qu'au réseau local distant.



Si depuis Alpha je veux me connecter à Gamma, je dois faire :



Code BASH :
moi@alpha: ~ $ ssh beta
moi@beta: ~ $ ssh gamma
moi@gamma: ~ $ 




Et bien directement dans le fichier .ssh/config on peut utiliser l'option ProxyCommand :



Code BASH :
Host gamma
  HostName 172.16.0.2
  Port 22
  ProxyCommand ssh -W %h:%p 192.168.18.120




Ainsi, en saisissant depuis alpha la commande :



Code BASH :
moi@alpha:~$ ssh gamma




Le mot de passe m'est demandé pour la première puis la deuxième machine.

On utilise donc la machine beta comme passerelle :



Code BASH :
moi@192.168.18.120's password:
moi@172.16.0.2's password:
Linux gamma 3.2.0-4-486 #1 Debian 3.2.60-1+deb7u3 i686
moi@gamma:~$