User Tools

Site Tools


secureshell

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision
Previous revision
secureshell [2011/12/28 16:43]
127.0.0.1 external edit
secureshell [2013/01/30 17:51] (current)
Line 1: Line 1:
-ComputerStuff > [[GnuLinux]] > [[RemoteAccess]] 
- 
 ssh (secure shell) est un accès shell à distance dont la connexion est encryptée. ssh (secure shell) est un accès shell à distance dont la connexion est encryptée.
  
Line 6: Line 4:
  
  
-=== sFTP ===+===== sFTP =====
  
 Il y a avec le package ssh la fonctionnalité sftp qui permet de faire du FTP (file transfer protocol, du transfert de fichiers) de manière sécurisée. Il y a avec le package ssh la fonctionnalité sftp qui permet de faire du FTP (file transfer protocol, du transfert de fichiers) de manière sécurisée.
-Il existe des clients graphiques libres pour sFTP: 
-  * [[GnuLinux]]: ((http://www.gftp.org/ gFTP)), Konqueror (protocole fish://), ((http://kbear.sourceforge.net/ KBear)), Krusader, Nautilus 
-  * Mac OS: ((http://rsug.itd.umich.edu/software/fugu/ Fugu)), ((http://cyberduck.ch/ Cyberduck)) et ((http://www.gftp.org/ gFTP)) (pour lequel il y a une ((http://www.gftp.org/faq.html astuce))) 
-  * [[Windows]]: ((http://sourceforge.net/projects/filezilla/ FileZilla)) 
  
 +Il existe des clients graphiques libres pour sFTP:
 +  * [[GnuLinux]]: [[http://www.gftp.org/| gFTP]], Konqueror (protocole %%fish://%%), [[http://kbear.sourceforge.net/| KBear]], Krusader, Nautilus
 +  * [[MacOS]]: [[http://rsug.itd.umich.edu/software/fugu/| Fugu]], [[http://cyberduck.ch/| Cyberduck]] et [[http://www.gftp.org/| gFTP]] (pour lequel il y a une [[http://www.gftp.org/faq.html|astuce]])
 +  * [[Windows]]: [[http://sourceforge.net/projects/filezilla/ |FileZilla]] et win-scp
  
-=== Comment restreindre l'accès shell en autorisant sFTP? ===+==== Comment restreindre l'accès shell en autorisant sFTP? ====
  
 Il y a moyen de patcher ssh: Il y a moyen de patcher ssh:
-((http://www.mail-archive.com/debian-security@lists.debian.org/msg06156.html chroot-patch)) qui change la racine de l'utilisateur, mais il faut alors copier les binaires utilisés dans le répertoire home de chaque utilisateur+[[http://www.mail-archive.com/debian-security@lists.debian.org/msg06156.htmlchroot-patch]] qui change la racine de l'utilisateur, mais il faut alors copier les binaires utilisés dans le répertoire home de chaque utilisateur
  
 Ou utiliser: Ou utiliser:
-  * ((http://www.pizzashack.org/rssh/ rssh)): ((http://packages.debian.org/testing/net/rssh package [[Debian]])) +  * [[http://www.pizzashack.org/rssh/rssh]] 
-  * ((http://www.sublimation.org/scponly/ scponly)): ((http://packages.debian.org/testing/utils/scponly package [[Debian]]))+  * [[http://www.sublimation.org/scponly/scponly]]
  
 J'ai essayé rssh, c'est très simple d'usage (lire man rssh et man rssh.conf, et c'est bon). J'ai essayé rssh, c'est très simple d'usage (lire man rssh et man rssh.conf, et c'est bon).
  
-Le 'problème' c'est qu'il n'y a plus que ssh et scp qui fonctionne, donc les clients qui font du ssh en faisant croire que c'est du sftp, ça marche pas:+Le 'problème' c'est qu'il n'y a plus que ssh et scp qui fonctionnent, donc les clients qui font du ssh en faisant croire que c'est du sftp, ça marche pas:
   * mc   * mc
   * gftp   * gftp
Line 34: Line 32:
   * Konqueror   * Konqueror
   * sftp ;)   * sftp ;)
-  * ~FileZilla+  * FileZilla
      
-Lecture: ((http://www.linux-magazine.com/issue/45/SCPonly_Review.pdf Restricting ssh access with scponly)) in Linux Magazine 45 (Aug 2004)+Lecture: [[http://www.linux-magazine.com/issue/45/SCPonly_Review.pdfRestricting ssh access with scponly]] in Linux Magazine 45 (Aug 2004)
  
  
-=== Problèmes rencontrés avec ssh ===+===== Problèmes rencontrés avec ssh =====
  
 ==== ssh_exchange_identification: Connection closed by remote host ==== ==== ssh_exchange_identification: Connection closed by remote host ====
  
-Le problème était que l'adresse IP n'était pas dans /etc/hosts+Le problème était que l'adresse IP n'était pas dans /etc/hosts
  
-Ceci est dû au fait que pour le serveur, les settings de /etc/hosts.deny était:+Ceci est dû au fait que pour le serveur, les settings de /etc/hosts.deny étaient:
 ALL: PARANOID ALL: PARANOID
  
 Ce qui signifie:  Ce qui signifie: 
  
-The PARANOID wildcard matches any host whose name does not match its +The PARANOID wildcard matches any host whose name does not match its 
-address. You may wish to enable this to ensure any programs that don'+address. You may wish to enable this to ensure any programs that don'
-validate looked up hostnames still leave understandable logs. In past +validate looked up hostnames still leave understandable logs. In past 
-versions of [[Debian]] this has been the default.+versions of [[Debian]] this has been the default.
  
  
-=== Tunnels ===+===== Tunnels =====
  
 Faire un tunnel permet d'encrypter des flux de données qui ne le sont pas normalement. Faire un tunnel permet d'encrypter des flux de données qui ne le sont pas normalement.
Line 63: Line 61:
  
  
-=== [[Login]] sans mot de passe ===+===== Login sans mot de passe =====
 Générer les clefs publiques et privées: Générer les clefs publiques et privées:
 <code>ssh-keygen -t rsa</code> <code>ssh-keygen -t rsa</code>
 Lorsqu'une pass phrase est demandée, appuyer sur la touche 'enter'. Lorsqu'une pass phrase est demandée, appuyer sur la touche 'enter'.
 +
 L'option -t assure l'utilisation de SSHv2 avec RSA. L'option -t assure l'utilisation de SSHv2 avec RSA.
  
Line 72: Line 71:
 <code>scp ~user/.ssh/id_rsa.pub user@host:/~user/.ssh/authorized_keys</code> <code>scp ~user/.ssh/id_rsa.pub user@host:/~user/.ssh/authorized_keys</code>
  
-=== Lectures == +===== Lectures ===== 
-  * ((http://it.slashdot.org/article.pl?sid=08/02/20/1637259 Chroot in OpenSSH)), 20/02/08+  * [[http://it.slashdot.org/article.pl?sid=08/02/20/1637259Chroot in OpenSSH]], 20/02/08
secureshell.txt · Last modified: 2013/01/30 17:51 (external edit)