Cette page présente les usages avancés ou particuliers de SSH répondant à un besoin très précis.
Pour plus d'information sur les usages les plus courants de SSH et sa configuration de base reportez-vous à cette page.
Il peut arriver (en entreprise, dans un cybercafé…) qu'il y ait un mandataire (« proxy ») HTTP. Pour initier une connexion vers un poste de l'extérieur, il est alors nécessaire d'utiliser l'outil connect-proxy
.
host ip_du_pc_distant ProxyCommand connect-proxy -H adresse_du_proxy:port %h %p
où vous remplacerez ip_du_pc_distant
et adresse_du_proxy:port
par ce qui convient.
Vous pouvez maintenant vous connecter à travers votre mandataire en toute transparence, avec la commande ssh.
Quand on utilise SSH avec une authentification par clés , le serveur distant peut limiter l'utilisation de certaines commandes permises.
Si vous maintenez un dépôt cvs , vous pourriez utiliser des lignes comme ceci dans le fichier ~/.ssh/authorized_keys :
command="/usr/bin/cvs server" ssh-dss <nom_commande>
Ceci permettrait que seule cette commande puisse être utilisée à l'exception d'autres.
L'authentification par clé publique (voir SSH) peut également être employée pour automatiser les tâches qui exigeraient habituellement l'introduction au clavier d'un mot de passe.
Imaginez vouloir copier un dossier à partir d'un ordinateur distant tous les jours à minuit. Tout ce que vous avez à faire c'est d'établir la confiance entre ces deux ordinateurs.
Créez un <compte de service> sur un ordinateur, créez une paire de clés comme expliqué sur la page relatives aux bases de SSH (SSH), sans passphrase, (quand on vous demande de rentrer la passphrase tapez juste sur la touche « Entrée », Ceci fera que votre clé privée ne sera pas protégée).
Ajoutez la clé publique de l'autre ordinateur dans le fichier /home/<nomducomptedeservicecréé>/.ssh/authorized_keys par la commande ssh-copy-id comme expliqué sur la page relative aux bases sur SSH (SSH) Maintenant vous pouvez utiliser SSH sur cette machine sans une passphrase à taper. Ajoutez une référence à SSH dans votre crontab et vous êtes prêt.
Dans cette configuration, il est impératif de verrouiller de façon très stricte les actions réalisables sur la machine distante par l'utilisateur créé lors de la création du <compte de service> . Par exemple, il sera préférable de copier ou déplacer les fichiers à récupérer dans un dossier isolé, auquel ce profil aura accès, plutôt que de lui laisser l'accès aux répertoires critiques (données utilisateurs, SGBD par exemple). Il est encore mieux que ce répertoire soit sur une machine extérieure : Une machine copie les fichiers sur un serveur distant ; L'autre machine vient les récupérer plus tard. Ainsi, personne n'est autorisé à se connecter sur nos machines. Seul le serveur distant, qui sert de relais, est susceptible d'être piratée et uniquement pour les fichiers que nous y avons mis.
Si vous devez fréquemment ouvrir des sessions distantes avec SSH ou copier des fichiers avec SCP (ou toute autre utilisation de SSH) il existe une solution pour ne pas avoir à saisir votre passphrase à chaque utilisation. en utilisant SSH agent. Vous devez indiquer une fois votre passphrase à ssh-agent en employant la commande ssh-add et tout ce que vous commencez comme sous-processus de SSH agent (donc SSH, SCP, etc.) se rappellera automatiquement de la passphrase.
~$ ssh-add Enter passphrase for /home/<nom_utilisateur>/.ssh/id_rsa: Identity added: /home/<nom_utilisateur>/.ssh/id_rsa (/home/<nom_utilisateur>/.ssh/id_rsa)
Une fois effectué cette opération un seule fois, vous n'aurez pas besoin de vous inquiéter de l'agent. Votre session est prête pour exploiter le ssh-agent automatiquement.
L'agent ssh ne transmet pas votre passphrase sur le réseau ni votre clé privée.
Vous pouvez savoir quel utilisateur est déclaré avec ssh-agent à l'aide de la commande suivante :
ssh-add -l
qui renvoi l'empreinte de la clé connue, le nom de l'utilisateur et le type de clé de chiffrement utilisée. Exemple : 2048 1f:98:46:a2:b9:25:0e:68:35:20:fa:9e:b0:cb:5e:3e albert@monordi (RSA)
ssh-add
».À la prochaine ouverture de session, vous devrez taper votre passphrase.
Vous pouvez :
openssh-server
, ajoute une couche au dessus de SSH sur le serveur et demande l'emploi de Java sur le client pour disposer d'une interface graphique de paramétrage de SSH/SFTP.Tunnéliser sa connexion Web est très utile dans quelques situations :
On va donc installer le serveur de médiation Squid (serveur mandataire) sur une machine Ubuntu (qui sera le serveur) à laquelle on accèdera par une machine distante possédant un client SSH et un navigateur Web. Dans l'exemple présent, ce sera un client sous Windows.
On obtiendra alors un accès sécurisé à un mandataire distant (le serveur sous Ubuntu) qui se connectera aux sites Web et renverra le résultat à votre navigateur.
Ayez bien à l'esprit qu'en effectuant cette opération vous violez certainement les règles de sécurité définies au sein de votre organisation.
Premièrement, il faut mettre en place le programme Squid en installant son paquet squid.
Normalement si tout se déroule bien, Squid devrait être fonctionnel.
Il est cependant probable qu'une erreur arrive car le programme de configuration n'arrivera pas à trouver le nom d'hôte de la machine. Il faut donc ouvrir le fichier de configuration de Squid et lui indiquer que la machine n'a pas de nom d'hôte. On ouvre avec les droits d'administration le fichier de configuration /etc/squid/squid.conf pour y ajouter cette ligne :
visible_hostname none
Après l'enregistrement du fichier de configuration, vous pouvez normalement générer les répertoires qui contiendront le cache de Squid par la commande :
sudo squid -z
Grâce à SSH, les connexions reçues par Squid seront des connexions provenant du serveur lui-même. Mais, par défaut, Squid n'accepte que les connexions sur la boucle locale 127.0.0.1 en Ipv4 (loopback). On devrait alors quand même ajouter une autorisation pour l'adresse IP du serveur qui n'est pas celle de bouclage. Vous ouvrez donc le fichier de configuration Squid configuration et vous ajoutez ces deux lignes :
acl ordi src 192.168.1.1 http_access allow ordi
Dans l'exemple, ordi
est le nom choisi pour la règle et 192.168.1.1
est l'adresse IP locale de l'ordinateur. Vous pouvez donc maintenant démarrer Squid par :
sudo squid start
ou le redémarrer par :
sudo squid reload
Squid est normalement prêt à recevoir les connexions venant de la machine hôte.
À rédiger, manquant.
La partie précédente consiste à installer un mandataire HTTP sur le serveur et de s'y connecter via SSH. Cependant, SSH lui-même peut jouer le rôle de mandataire, ce qui évite l'installation d'un logiciel supplémentaire.
Il n'y a en principe rien à faire. Cette fonctionnalité est activée par défaut sous Ubuntu.
Cette fois, le mandataire à prendre en compte notamment lors de la configuration du navigateur est de type SOCKS.
Utiliser la commande ssh
avec l'option -D
:
# Ouverture d'un tunnel ssh (sur le port 1234 local) vers un serveur qui autorise la connexion # le port (1234 dans cet exemple) est choisi arbitrairement, tant qu'il n'est pas utilisé pour autre chose ssh -D 1234 monuser@monserver.net
Configurer ensuite le navigateur, gestionnaire de courrier, etc., pour utiliser un mandataire de type SOCKS 5, adresse : localhost, port: 1234 (selon ce que vous avez utilisé ci dessus).
La connexion fonctionnera tant que le tunnel restera ouvert : si vous fermez le terminal ayant servi à ouvrir le tunnel, vous fermerez le tunnel.
Pour vous assurer que le tunnel remplit son office, rendez-vous sur une page telle que mon ip.org et constatez que l' adresse IP affichée n'est pas la même que lorsque vous naviguez sans mandataire.
La configuration est la même qu'au point 6.2, sauf qu'il faut cocher la case "dynamic". La case "destination" n'est pas prise en compte et peut rester vide.
Il est possible aussi d'utiliser un navigateur passant par le tunnel et un autre navigateur sortant directement.
Il existe une application graphique bien pratique pour gérer les tunnels SSH : au lieu de les recréer chaque fois on utilise Remmina.
Il est intéressant de pouvoir accéder à des ressources réseau locales (RDP, VNC, Administration périphérique réseau comme les box, etc.) sans pour autant rendre ces périphériques directement accessibles depuis Internet. SSH permet l'accès à ces ressources comme si l'on était en local (une sorte de réseau privé virtuel).
Prenons un exemple.
Donc nous avons un réseau avec une machine sous Windows (XP, Vista…) avec comme adresse locale 192.168.1.2
où le client RDP du Terminal Service (TSE) est activé mais accessible uniquement en local, un serveur ssh sous Ubuntu avec comme IP locale 192.168.1.3
, et une Livebox (ou autre) dont seul le port ssh (22) est traduit (en franglais on dit translaté, Cf.Network_address_translation) pour un accès au serveur ssh depuis l'extérieur.
Nous voulons depuis l'extérieur accéder à la machine Windows via RDP.
Nous allons pour cela utiliser la tunnélisation. À partir de votre station depuis l'extérieur on va tunnéliser la connexion RDP de la station Windows au travers du serveur ssh :
ssh -L 3389:192.168.1.2:3389 username@IP_Publique_Box
Il suffit ensuite d'ouvrir le terminal serveur client sur votre machine et de se connecter à localhost
.
Nous pouvons de la même façon accéder à la configuration de notre Box sans pour autant devoir la rendre accessible depuis Internet (attention seul root
peut faire suivre le port 80) :
sudo ssh -L 80:192.168.1.1:80 username@IP_Publique_Box
Puis en ouvrant son navigateur préféré et en entrant comme adresse http://localhost
Pour accéder à un serveur par rebond sur un serveur ssh intermédiaire (aussi appelé relais, passerelle, relay ou gateway), on réalise normalement 2 connexions ssh ce qui peut devenir fastidieux lorsqu'on doit réaliser cette opération régulièrement.
SSH peut cependant faciliter cette opération en effectuant au choix une des deux manipulations :
Il s'agit d' exécuter sur le poste client la commande ssh vers le serveur final
ssh <srv_intermédiaire> ssh <srv_final>
Pseudo-terminal will not be allocated because stdin is not a terminal.
rajouter l'option -t
sur la connexion ssh du serveur intermédiaire, ce qui donne :
ssh -t <srv_intermédiaire> ssh <srv_final>
Le fonctionnement n'est pas du tout le même que précédemment car ssh communique avec le serveur final. Le serveur intermédiaire est appelé l'hôte bastion.
Indiquez directement sur le poste client la commande ProxyCommand
en modifiant le fichier
Il s'agira donc de modifier sur votre client
Host <srv_final> ProxyCommand ssh -W %h:%p <srv_bastion>
nc
(paquet d'installation netcat
) sur le client Host <srv_final> ProxyCommand ssh <srv_intermédiaire> nc %h %p
L'utilisation de la commande nc
permettait ainsi de se connecter sur le port ssh du serveur final et n'aboutissait que si le paquet netcat
et l'option TCP AllowTcpForwarding
étaient installés sur l'hôte intermédiaire.
Contributeurs: b23p
Il peut arriver que les ports des connexions entrantes sur un serveur SSH soient bloqués 1). Cependant, il est rare que les ports sortants soient fermés. Dans ce cas, il est possible de faire appel à du « Reverse-SSH » tel qu'expliqué dans cette page
Dans la gestion d'un parc de plusieurs machines il peut être intéressant de leur envoyer la même commande en simultané. Il existe pour ça le logiciel Pssh
Si vous avez un délai de plusieurs secondes avant que la connexion SSH ne se fasse, essayez d'ajouter ceci à votre fichier ~/.ssh/config
GSSAPIAuthentication no
Ceci désactive l'identification par GSSAPI qui engendre parfois des délais lorsqu'elle n'est pas utilisée.
Contributeurs : sx1