Ceci est une ancienne révision du document !
Connexion SSH
Voir aussi:
- Restreindre des clés SSH pour du backup via rsync (sur l'excellent blog de lord)
Solution avec mot de passe
il vaudrait mieux toujours avoir un passphrase pour protéger ses clés, sinon un hacker qui entrerait dans ~/.ssh pourrait piquer les clés
pam-keyring
utiliser pam-keyring pour ne pas avoir à entrer la passphrase à chaque fois
apt-get install libpam-ssh libpam-keyring
puis
http://b.twidi.com/index.php/2007/05/26/78-connexion-linux-ubuntu-avec-passphrase-ssh-pm-ssh
si on a déjà une clé ssh (voir ci-dessous) mais qu'elle n'est pas protégée par un passphrase, voici la procédure
http://sysadmin.gnome.org/users/security.html
You can also add a passphrase to an existing key without a passphrase by using ssh-keygen -p. However, only do it if you have just generated the key, or if you are absolutely sure the said key had been totally safe until then. If you cannot be completely sure, your key might have been compromised meanwhile, in which case setting a passphrase will not help, and it should be immediately replaced.
Solution sans mot de passe
pratique mais semble-t-il pas assez solide pour bon hacker
solution avec une clef ssh sans mot de passe Le but n'est pas de se passer de sécurité (au contraire). La solution du problème est la suivante. Nous avons deux postes : frodon.tux et gandalf.tux. Sur les deux postes sshd tourne et est correctement configuré. Sur chacun des postes on génére des clés : [fred@frodon ~]$ ssh-keygen -t rsa (entrez une passe-phrase vide), et : [bibi@gandalf ~]$ ssh-keygen -t rsa (entrez aussi une passe-phrase vide). Ensuite, il suffit de copier la clé publique d'un poste sur l'autre dans la liste des clés autorisées : [fred@frodon ~]$ scp ~fred/.ssh/id_rsa.pub bibi@gandalf.tux:~bibi/.ssh/authorized_keys2 et : [bibi@gandalf ~]$ scp ~bibi/.ssh/id_rsa.pub fred@frodon.tux:~fred/.ssh/authorized_keys2 (il peut falloir remplacer : authorized_keys2 par authorized_keys). Et voilà, à partir de maintenant, une connection : [bibi@gandalf ~]$ ssh fred@frodon ou [fred@frodon ~]$ ssh bibi@gandalf ne demandera pas de mot de passe. Mais ce ne sera pas pour autant trop "désécurisée", puisque pour se connecter sans mot de passe sur frodon il faudra réussir à se connecter avec mot de passe sur gandalf et réciproquement. source: http://lea-linux.org/cached/index/Trucs:Oldid=168.html
note Fred: infomaniak
cd ~ mkdir .ssh chmod 700 ./ chmod 600 authorized_keys
voir https://www.infomaniak.com/fr/support/faq/2054/se-connecter-a-votre-hebergement-a-laide-dune-cle-ssh
note Fred: server X
si on veut lancer des logiciels X sur le serveur, il faut:
sur ubuntu, utiliser l'option -X dans la commande ssh, ex:
#!/bin/bash xhost + gnome-terminal --tab-with-profile=fredox -x ssh -X fred@www.fredox.ch
ancienne solution
- mentionner xhost+ avant la connection ssh
- vérifier dans /etc/ssh/sshd_config qu'on a bien X11Forwarding yes
- vérifier dans $HOMEDIR/.ssh/config qu'on a bien ForwardX11 yes
note Fred: screen
screen -r radeff
une commande bien pratique en ssh!
SSH serveur
Pour forcer l'identification par clés
Si on veut interdire l'accès avec un mot de passe (forcer l'usage des clés):
man sshd_config
sudo vi /etc/ssh/sshd_config PasswordAuthentication no /etc/init.d/ssh restart
http://geekosphere.org/43/safer-ssh-passwordauthentication-no/
https://help.ubuntu.com/community/SSH/OpenSSH/Configuring http://www.cyberciti.biz/faq/force-ssh-client-to-use-given-private-key-identity-file/