Differences

This shows you the differences between two versions of the page.

--- tuto:1 [2016/08/08 18:11] – ssm2017
+++ tuto:1 [2022/02/07 12:32] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
 ====== ssh ======
-===== Qu'est ce qu'un réseau informatique ? =====
+===== Rappels =====
+==== Qu'est ce qu'un réseau informatique ? ====
 Un réseau est un ensemble d'appareils connectés (ordi, telephone, frigo, camera etc...) parlant entre eux selon un ou plusieurs languages connus de chacun (protocoles).
@@ Line 9: / Line 11: @@
 Par exemple, on met une banane dans un emballage qui contient plusieurs bananes, cet emballage, on le met dans une boite qui contient plusieurs emballages et on met cette boite dans un container qui contient plusieurs boites et ce container on le met dans un bateau qui contient plusieurs containers...
-===== Qu'est ce qu'internet ? =====
+==== Qu'est ce qu'internet ? ====
 Internet est un ensemble de réseaux reliés entre eux.
@@ Line 22: / Line 24: @@
 Ces deux fonctionnalités sont gérées par un organisme indépendant international qui se trouve aux états unis (ouais, flippant mais en meme temps, ce sont pas les pires) puis est subdivisé par pays.
-===== Qu'est ce qu'une plage d'adresses IP ? =====
+==== Qu'est ce qu'une plage d'adresses IP ? ====
 Chaque appareil relié au résal (oui, un resal, des réseaux comme un ridal, des rideaux) possède une adresse unique qui permet de l'identifier.
@@ Line 41: / Line 43: @@
 Donc en regardant une adresse, on peut savoir dans quel pays et quel fournisseur se trouve l'appareil.
-===== Qu'est ce qu'un ordinateur ? =====
+==== Qu'est ce qu'un ordinateur ? ====
 Vous croyez vraiment que je vais vous expliquer cela ?
-===== Qu'est ce qu'un systeme client / serveur ? =====
+==== Qu'est ce qu'un systeme client / serveur ? ====
 Pour communiquer entre appareils, il y a soit des systemes point à point (peer to peer), soit des systemes client / serveur.
@@ Line 67: / Line 69: @@
 Le logiciel serveur attend qu'un logiciel client se connecte à lui pour lui demander quelque chose sinon il attend (ou essuie les verres en attendant).
-===== Qu'est ce qu'un service ? =====
+==== Qu'est ce qu'un service ? ====
 Un service est proposé par un serveur à un client.
@@ Line 73: / Line 75: @@
 Chaque service sur un réseau est caractérisé par un port (l'adresse IP définit la machine et le port définit le service).
-===== Qu'est ce qu'un port ? =====
+==== Qu'est ce qu'un port ? ====
 Un port est un nombre entre 1 et 65535 qui est unique par protocole utilisé.
@@ Line 85: / Line 87: @@
 Par exemple, si vous choisissez le port 24 pour ssh et qu'un autre service utilise le port 24, il y aura une erreur lors du lancement.
-===== Qu'est ce qu'un interpréteur de commandes ? =====
+==== Qu'est ce qu'un interpréteur de commandes ? ====
 L'ordinateur parle en binaire. Nous, les humains (sauf toi google qui nous lis, oui, je sais. Sinon t'as pas d'autres pages à mater ?) utilisons des chiffres et des lettres ou des symboles. On pourrait parler binaire mais pas encore, il faut quelques dizaines d'années avant cela.
@@ Line 134: / Line 136: @@
   * le serveur repond au client en chiffrant la connexion avec la clef du client
-==== Comment se connecter par SSH avec la ligne de commande ? ====
+===== Se connecter par ssh =====
+==== Comment se connecter par SSH avec la ligne de commandes ? ====
 Pour se connecter, on utilise le format suivant : ssh utilisateur@machine
@@ Line 146: / Line 150: @@
 On appuie ensuite sur le bouton "open" (ouvrir) et il nous demande notre nom d'utilisateur et mot de passe.
+===== Les clefs de connexion =====
 ==== Qu'est ce qu'une clef de chiffrement ? ====
@@ Line 233: / Line 239: @@
 Sous windows, vous les mettez où vous voulez en disant à putty à quel endroit elles se trouvent.
+==== Ajouter la clef publique d'un utilisateur sur un serveur ====
+Etapes :
+  * creer un dossier .ssh dans le home de l'utilisateur (si pas existant)
+  * creer un fichier authorized_keys dans le dossier .ssh (si pas existant)
+  * ajouter la clef de l'utilisateur dans le fichier authorized_keys
+  * changer les droits sur le dossier et le fichier
+  * sudo mkdir /home/nom_user/.ssh
+  * sudo nano /home/nom_user/.ssh/authorized_keys
+  * sudo chown -R nom_user:nom_user /home/nom_user/.ssh
+  * sudo chmod 700 /home/nom_user/.ssh
+  * sudo chmod 600 /home/nom_user/.ssh/*
+==== Remarque sur le format de la clef ====
+Quand on genere une paire de clefs avec puttygen, elle ressemble à ceci :
+<sxh>
+---- BEGIN SSH2 PUBLIC KEY ----
+Comment: "rsa-key-20140219"
+AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbs
+aij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClH
+Yhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ
+yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qm
+yZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55
+Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
+---- END SSH2 PUBLIC KEY ----
+</sxh>
+or, dans le fichier ~/.ssh/authorized_keys il faut une ligne par clef et elle doit commencer par le format de la clef
+donc on recupere la clef en elle meme :
+<sxh>
+AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbs
+aij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClH
+Yhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ
+yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qm
+yZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55
+Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
+</sxh>
+ensuite on en fait une seule ligne :
+<sxh>
+AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbsaij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClHYhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ4yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qmyZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
+</sxh>
+puis on ajoute ssh-rsa au début :
+<sxh>
+ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbsaij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClHYhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ4yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qmyZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
+</sxh>
+et on ajoute cela dans le fichier ~/.ssh/authorized_keys
+===== Les aliases =====
 ==== Comment se faciliter la vie lors d'une connexion ssh ? ====
@@ Line 278: / Line 336: @@
 Sous windows (dans putty), il est possible de créer plusieurs "sessions" et les enregistrer puis les rappeller.
-====
-Que peut on faire d'autre avec ssh ? ====
-ssh permet de communiquer par un interpreteur de commande entre un client et un serveur.
+===== sftp =====
-On peut aussi envoyer ou récupérer des fichiers comme en ftp et le format utilisé est alors sftp.
+Sftp est tres pratique car il permet de transferer des fichiers ou monter un dossier distant sans avoir à installer un serveur ftp tout en utilisant une connexion sécurisée.
+Par défaut, sftp est déjà actif.
+Voir la partie "Installation" pour voir comment le mettre en place.
+==== Se connecter par sftp ====
+=== Client ftp ===
+Utiliser son client ftp préféré supportant sftp (comme filezilla bien qu'il soit relou concernant les clef ssh mais ça fonctionne quand même).
+=== Navigateur de fichiers ===
+Beaucoup de navigateurs de fichiers sous linux ou mac permettent la connexion sftp donc entrer l'adresse sftp dans la barre d'adresse (souvent accessible par ctrl+l).
+La ligne de connexion est souvent : sftp://utilisateur@serveur
+Bien sûr si vous utilisez le fichiers de config des aliases, le boulot est facilité avec : sftp://toto
+==== Monter un volume sftp ====
+Il existe sous linux un programme nommé "sshfs" qui permet de monter un volume sftp dans un répertoire local.
+Voir https://doc.ubuntu-fr.org/sshfs
+===== Les tunnels =====
 ssh permet aussi de faire transiter n'importe quelle information entre le client et le serveur en créant un "tunnel" (on appelle cela le tunneling ssh)
@@ Line 319: / Line 401: @@
 et tout ce qu'on va demander au navigateur web passera par le serveur ssh.
-==== Installer un serveur ssh ====
+===== Installer un serveur ssh =====
 Sous linux (debian/ubuntu)
@@ Line 326: / Line 408: @@
 </sxh>
-une fois installé, ajouter sa clef publique perso dans : /home/son_user/.ssh/authorized_keys
+Le fichier de configuration est /etc/ssh/sshd_config
-editer le fichier /etc/ssh/sshd_config
+si besoin, relancer ssh avec :
 <sxh bash>
-sudo nano /etc/ssh/sshd_config
+sudo service ssh restart
 </sxh>
-changer les valeurs de :
-  * Port 22 en Port 8822 (par exemple ou n'importe quel autre port)
+Le fichier de logs des connexions est : /var/log/auth.log
-  * enlever le # devant PasswordAuthentication yes et mettre no à la place de yes
-sauvegarder avec ctrl+o puis sortir avec ctrl+x
+==== Sécuriser un serveur ssh ====
-relancer ssh avec :
+=== Changer le port ===
+Beaucoup de scanners martellent le port 22 qui est celui par defaut de ssh donc il est recommandé d'en utiliser un autre.
+Pour cela, nous avons besoin d'un serveur sur lequel ssh est déjà installé, d'un clavier et de quelques doigts (ou le nez pour ceux qui n'ont pas de bras).
+  * Editer le fichier de config de ssh qui est : /etc/ssh/sshd_config
+  * Rechercher la ligne commençant par "Port" (normalement au tout début)
+  * Remplacer 22 par le port voulu (9876 par exemple)
+  * Sauvegarder le fichier
+  * Relancer ssh
+=== Interdire la connexion en root ===
+  * Editer le fichier de config de ssh qui est : /etc/ssh/sshd_config
+  * Rechercher la ligne commençant par "PermitRootLogin" et y mettre la valeur "no" (par défaut c'est "without-password")
+  * Sauvegarder le fichier
+  * Relancer ssh
+=== Interdire les connexions par mot de passe ===
+Une fois ce paramètre modifié, vous ne pourrez plus vous connecter au serveur si vous n'avez pas configurée une clef ssh donc voir plus haut pour voir comment faire (et tester la clef avant de faire la manip... je dis ça, je dis rien mais j'le dis quand même...).
+  * Editer le fichier de config de ssh qui est : /etc/ssh/sshd_config
+  * Rechercher la ligne commençant par "#PasswordAuthentication" et y mettre la valeur "no" (en enlevant le dièse (#) du début bien sûr)
+  * Sauvegarder le fichier
+  * Relancer ssh
+=== Autoriser que les ip voulues ===
+On peut dire au système d'autoriser que les ip voulues sur un port donné à se connecter. Pour cela, nous allons utiliser iptables qui est le firewall intégré dans la plupart des noyaux linux.
+Nous n'allons pas parler de l'initialisation des règles iptables ni de leur persistance car c'est hors sujet (utiliser un moteur de recherche sur le web).
+  * Créer un fichier /etc/network/if-pre-up.d/iptables (qui sera exécuté avant le démarrage de la carte réseau)
+  * Le rendre exécutable (avec chmod +x par exemple)
+  * Y mettre :
 <sxh bash>
-sudo service ssh restart
+#!/bin/bash
+# on lui dit à quel endroit se trouve le programme iptables (au cas où)
+IPTABLES="/sbin/iptables"
+# on lui dit quelle est notre carte réseau
+WAN1_IFACE="eth0"
+# on lui dit quel est le port utilisé par ssh
+SSH_PORT="9876"
+# on lui donne une liste d'adresses ip autorisées à utiliser ssh (séparées par un espace)
+ADMIN_IP="82.228.255.123 78.47.216.123"
+# on génère les regles iptables une par une dans une boucle
+for admin in ${ADMIN_IP}; do
+    ${IPTABLES} -t filter -A INPUT -p tcp -i ${WAN1_IFACE} -s ${admin} --dport ${SSH_PORT} -j ACCEPT
+done
 </sxh>
+  * Ensuite on vérifie que les règles ont bien été déclarées avec : iptables -L
-=== Ajouter la clef publique d'un utilisateur sur un serveur ===
+=== Utiliser fail2ban ===
-Etapes :
+Fail2ban est un daemon écrit en python qui lit en permanence les fichiers de logs à la recherche de choses bizarres et si il détecte quelque chose d'anormal (selon ce qu'on lui demande), il crée une règle iptables permettant de bannir l'ip concernée.
-  * creer un dossier .ssh dans le home de l'utilisateur (si pas existant)
+  * Installer fail2Ban : apt-get install fail2ban
-  * creer un fichier authorized_keys dans le dossier .ssh (si pas existant)
+  * Créer une règle perso en ajoutant un fichier /etc/fail2ban/jail.d/ssh.conf et qui contient :
-  * ajouter la clef de l'utilisateur dans le fichier authorized_keys
+<sxh ini>
-  * changer les droits sur le dossier et le fichier
+[ssh]
-  * sudo mkdir /home/nom_user/.ssh
-  * sudo nano /home/nom_user/.ssh/authorized_keys
-  * sudo chown -R nom_user:nom_user /home/nom_user/.ssh
-  * sudo chmod 700 /home/nom_user/.ssh
-  * sudo chmod 600 /home/nom_user/.ssh/*
-=== Remarque sur le format de la clef ===
+enabled  = true
+port     = ssh,sftp,9876
+filter   = sshd
+logpath  = /var/log/auth.log
+maxretry = 6
+</sxh>
+  * Relancer fail2ban avec : service fail2ban restart
-Quand on genere une paire de clefs avec puttygen, elle ressemble à ceci :
+==== sftp ====
+Voir plus haut la partie "sftp" pour voir ce que c'est.
+Par défaut, sftp est activé donc nous allons voir comment le configurer pour enfermer un utilisateur dans un dossier précis.
+=== Chroot sftp ===
+Parfois, nous avons besoin de permettre la connection d'un utilisateur sur un serveur afin qu'il puisse modifier certains fichiers (comme sur un serveur web par exemple) sauf qu'on veut surtout pas qu'il matte les dossiers de ses petits camarades ou qu'il se balade sur la bécane...
+Pour verrouiller un utilisateur dans un dossier, il y a deux solutions :
+  * soit on met en place un chroot au niveau du système (lourd à mettre en place et maintenir)
+  * soit on fait un chroot en sftp (par contre l'utilisateur n'aura plus acces à ssh mais seulement à sftp)
+Voici la procédure (en prenant l'utilisateur "toto") :
+== Configurer l'utilisateur ==
+  * Créer un groupe qui contiendra les utilisateurs concernés : addgroup sftpusers
+  * Ajouter les utilisateurs concernés dans ce groupe : addgroup toto sftpusers
+  * Changer le propriétaire de leur dossier "home" : chown root:root /home/toto
+  * Créer le dossier dans lequel ils seront enfermés : mkdir /home/toto/sftp
+  * Changer le propriétaire du dossier concerné : chown root:root /home/toto/sftp
+  * Créer un dossier dans lequel il pourra écrire : mkdir /home/toto/sftp/htdocs
+  * Attribuer la propriété du fichier à l'utilisateur : chown toto:toto /home/toto/sftp/htdocs
+<callout type="info" icon="true">Note : Si le dossier se trouve autre part sur le système, utiliser ensuite un "mount bind" au besoin...</callout>
+== Configurer le serveur ssh ==
+  * Editer le fichier de config de ssh qui est : /etc/ssh/sshd_config
+  * Aller tout à la fin
+  * Remplacer "Subsystem sftp /usr/lib/openssh/sftp-server" par "Subsystem sftp internal-sftp"
+  * Ajouter les paramètres suivants :
 <sxh>
----- BEGIN SSH2 PUBLIC KEY ----
+Match Group sftpusers
-Comment: "rsa-key-20140219"
+        ChrootDirectory /home/%u/sftp
-AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbs
+        ForceCommand internal-sftp
-aij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClH
+        AllowTCPForwarding no
-Yhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ
+        X11Forwarding no
-yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qm
+        PasswordAuthentication yes
-yZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55
-Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
----- END SSH2 PUBLIC KEY ----
 </sxh>
-or, dans le fichier ~/.ssh/authorized_keys il faut une ligne par clef et elle doit commencer par le format de la clef
-donc on recupere la clef en elle meme :
+<callout type="info" icon="true">Note : les lignes "AllowTCPForwarding", "X11Forwarding" et "PasswordAuthentication" sont optionnelles.</callout>
-<sxh>
+  * Relancer ssh
-AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbs
-aij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClH
+<callout type="info" icon="true">Note : si il y a un probleme de connexion, regarder les logs lors de la connexion avec : "tail -f /var/log/auth.log"</callout>
-Yhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ
-yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qm
-yZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55
-Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
-</sxh>
-ensuite on en fait une seule ligne :
-<sxh>
-AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbsaij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClHYhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ4yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qmyZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
-</sxh>
-puis on ajoute ssh-rsa au début :
-<sxh>
-ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAqDbFZB1upDPFv7/HXdGiX0F14EOyQEjbJlbsaij1QKZSLELaUi7uAAJ9tNZi4NLmAH3oimMlmJaF3zoOXJ5sHrnI8l33jwpdaClHYhb3DkRzhJRRJ8IZA5toD2zOrioURsYuP1gJ87KkQy6/yNYxqyVJB+3RqdWnMwTJ4yafg4kcpVrcm+NDwEYSqEpLVG/8ANRi0rCgLhmNA/Pfb2KRLYMx6WmPtazkt1qmyZZsD6qiwkmyza+g4zojsopML/vLH0iRwZ6BWgx8IrksfjsbygLvw9C3CD5ZpO55Awh8uNKSBcpOSKGdC2F3tPWaytIIeH3BM0ZpZH/0uxoJZcLlRQ==
-</sxh>
-et on ajoute cela dans le fichier ~/.ssh/authorized_keys
 ===== notes =====
 http://www.woueb.net/2011/09/13/authentification-ssh-cle-publique-windows/