Réseau SSH (secure shell)

Tous les sujets touchant à la sécurité du système.
Avatar du membre
mpedro
Messages : 945
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Réseau SSH (secure shell)

Messagepar mpedro » lun. 11 juil. 2016 16:16

Image

Pour partager ses fichiers entre deux PC avec le protocole SSH sur son réseau local (LAN)

Il faut installer SSH client et serveur (par défaut maintenant sous Linuxmint ssh/client est installé mais pas le coté serveur)
Donc pour qu'un PC tiers ai accès aux fichiers de votre ordinateur, il faut installer le coté serveur de cette manière :

Code : Tout sélectionner

sudo apt-get install openssh-server


et il faut ouvrir un port, le port standard ssh est le 22

Code : Tout sélectionner

sudo ufw allow ssh/tcp


Pour vérifier si le port ssh 22 est bien ouvert

Code : Tout sélectionner

sudo ufw status


Pour redémarrer SSH

Code : Tout sélectionner

sudo service ssh restart
ou pareil

Code : Tout sélectionner

systemctl restart sshd.service


Au besoin pour s'assurer que le job fasse bien son service

Code : Tout sélectionner

sudo service ssh status


Maintenant que SSH est open, il va falloir que votre ordinateur soit accessible sur votre réseau

Code : Tout sélectionner

ifconfig


Ce sera l'adresse IP locale (localhost) qui ressemblera à 192.68.1.44 par exemple qu'il faudra renseigner pour pouvoir se connecter à votre serveur sshd

Par commodité il faut attribuer toujours la même IP locale au PC source via le serveur DHCP accessible dans l'interface de la Box



Avec nemo

Image

Image

****************************************
En se connectant pour la 1ère fois le fingerprint qui est l'empreinte du serveur s'affiche (par la suite il ne sera plus demandé). C'est le numéro unique du serveur (toujours le même). Il ne doit pas changer et s'il change alors un nouveau fingerprint s'affichera automatiquement et c'est que c'est une usurpation de serveur.

Code : Tout sélectionner

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 19:a8:2f:4e:af:ad:90:cd:e7:e8:56:33:87:43:de:ad.
Are you sure you want to continue connecting (yes/no)?


La connexion n'est chiffrée qu'à l'issue du mot de passe
Modifié en dernier par mpedro le lun. 18 juil. 2016 23:56, modifié 24 fois.
Stretch 32bits cinnamon/Fedora25/Wheezy
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
mpedro
Messages : 945
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: SSH en LAN (basique)

Messagepar mpedro » lun. 11 juil. 2016 16:24

Seul conseil de sécurité : s'assurer que le port 22 soit bien fermé au niveau du routeur/box pour que le PC ne soit pas accessible depuis l'extérieur via internet.
Pour aller un peu plus loin... https://doc.ubuntu-fr.org/ssh

sshd_config est le fichier du serveur sshd paramétrable (sshd : d comme daemon)

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config
Stretch 32bits cinnamon/Fedora25/Wheezy
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
mpedro
Messages : 945
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Messagepar mpedro » mar. 12 juil. 2016 21:44

Sécurité si l'on veut ouvrir son réseau à l'extérieur :

Un certains nombres d'attaques répertoriés (par bootnet...) concernent uniquement les serveurs SSH installés sur le port 22, c'est pourquoi il faut changer de port et pourquoi pas utiliser des logiciels de "blacklistes" comme DenyHosts, BruteForceBlocker ou Fail2ban, surveiller syslog et auth.log

Code : Tout sélectionner

systemctl disable sshd.service
si l'on ne veut pas que le serveur soit actif à chaque reboot du PC ou bien remplacer disable par enable pour activer SSH (par défaut il est actif)

- Pour modifier le port d'écoute SSH du fichier sshd_config

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config


Code : Tout sélectionner

# What ports, IPs and protocols we listen for
Port 7521 # Port 22


puis enregistrer le fichier et redémarrer le serveur

Code : Tout sélectionner

sudo service ssh restart


Evidemment il faudra ouvrir le port choisi sur la box et le pare-feu, (dans l'exemple c'est le 7521)
http://www.frameip.com/liste-des-ports-tcp-udp/

Il faut donc aussi faire cette même modification de port sur le poste client, c'est à dire l'autre PC et son fichier sshd_config

- Empêcher de se connecter depuis le compte root et créer des utilisateurs

Code : Tout sélectionner

PermitRootLogin no


et pour créer un groupe (ex : ma famille) contenant des utilisateurs (ex : ma soeur), il faut à l'aide du Terminal ajouter le nom du groupe et celui des utilisateurs de ce même groupe sur son PC

Code : Tout sélectionner

groupadd famille


Code : Tout sélectionner

useradd -m soeur
passwd soeur
usermod -a -G famille soeur


Puis ajouter l'utilisateur dans le fichier sshd_config

Code : Tout sélectionner

AllowUsers soeur


On peut créer plusieurs utilisateurs mon frère, ma mémé ...

- Ne pas permettre de déport graphique (contrôle d'écran, applications graphiques)

Toujours dans le fichier sshd_config il faut commenter la ligne X11Forwarding yes en ajoutant # (ou remplacer yes par no)

Code : Tout sélectionner

# X11Forwarding yes
Modifié en dernier par mpedro le mer. 20 juil. 2016 21:40, modifié 17 fois.
Stretch 32bits cinnamon/Fedora25/Wheezy
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
mpedro
Messages : 945
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Messagepar mpedro » mar. 12 juil. 2016 22:03

Une méthode plus poussée consiste à utiliser l'authentification par clé publique associé par mot de passe et un outil puissant " iptable ". Les tunnels, les proxies etc
Note technique de l'ANSSI http://www.ssi.gouv.fr/uploads/2014/01/NT_OpenSSH.pdf

Et l'idéal est d'avoir un PC dédié (ou un Raspberry connecté en permanence à la box) pour éviter d'utiliser son PC de bureau, faire un chroot Sftp, etc
Modifié en dernier par mpedro le jeu. 21 juil. 2016 23:00, modifié 15 fois.
Stretch 32bits cinnamon/Fedora25/Wheezy
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
zebulon
Administrateur du site
Messages : 9268
Enregistré le : ven. 19 juin 2015 22:13
Localisation : Au pays du mistral

Re: Réseau SSH en LAN (basique)

Messagepar zebulon » mar. 12 juil. 2016 22:13

;) Merci mpedro cette présentation/tuto.
LMDE MATE 64-bit, noyau: 4.9.0 +Lm 17.3 MATE.
Proc: intel I5 4440, Cm: Gigabyte GA-B85M-D3H, Alim: Corsair CX Bronze 430 W, Ram: Crucial Ballistix Sport, 2 x 2 Go.
SSD: 2.5 sandisk ultra+ 64 Go pour /+home, DD: Seagate Barracuda 500 Go pour mes données persos, DD maxtor 160 Go pour la sauvegarde ciblée via luckybackup.
Impr: HP Envy 4502.

Avatar du membre
mpedro
Messages : 945
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Messagepar mpedro » mar. 12 juil. 2016 22:21

Merci Zébulon.
J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.
Modifié en dernier par mpedro le lun. 18 juil. 2016 23:33, modifié 4 fois.
Stretch 32bits cinnamon/Fedora25/Wheezy
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
zebulon
Administrateur du site
Messages : 9268
Enregistré le : ven. 19 juin 2015 22:13
Localisation : Au pays du mistral

Re: Réseau SSH en LAN (basique)

Messagepar zebulon » mar. 12 juil. 2016 22:23

mpedro a écrit :J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.
cool, ça me donne une idée :D
LMDE MATE 64-bit, noyau: 4.9.0 +Lm 17.3 MATE.
Proc: intel I5 4440, Cm: Gigabyte GA-B85M-D3H, Alim: Corsair CX Bronze 430 W, Ram: Crucial Ballistix Sport, 2 x 2 Go.
SSD: 2.5 sandisk ultra+ 64 Go pour /+home, DD: Seagate Barracuda 500 Go pour mes données persos, DD maxtor 160 Go pour la sauvegarde ciblée via luckybackup.
Impr: HP Envy 4502.

Avatar du membre
mpedro
Messages : 945
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Messagepar mpedro » mar. 12 juil. 2016 22:34

Pour les photos Bizou c'est kiss et sans base de données :) http://positon.org/bizou/demo/index.php/ mais on n'est plus dans le sujet.
Stretch 32bits cinnamon/Fedora25/Wheezy
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
zebulon
Administrateur du site
Messages : 9268
Enregistré le : ven. 19 juin 2015 22:13
Localisation : Au pays du mistral

Re: Réseau SSH

Messagepar zebulon » mer. 13 juil. 2016 04:04

:D
LMDE MATE 64-bit, noyau: 4.9.0 +Lm 17.3 MATE.
Proc: intel I5 4440, Cm: Gigabyte GA-B85M-D3H, Alim: Corsair CX Bronze 430 W, Ram: Crucial Ballistix Sport, 2 x 2 Go.
SSD: 2.5 sandisk ultra+ 64 Go pour /+home, DD: Seagate Barracuda 500 Go pour mes données persos, DD maxtor 160 Go pour la sauvegarde ciblée via luckybackup.
Impr: HP Envy 4502.

ZenAir
Messages : 57
Enregistré le : lun. 29 août 2016 11:55
Localisation : Nord (59)

Re: Réseau SSH (secure shell)

Messagepar ZenAir » jeu. 8 sept. 2016 08:55

Comment paramétrer lorsque le serveur est un Synology ?

Vous avez une idée ?

Merci ;)
Linux Mint 18 XFCE 64 bits...

Silverstone Lascala LC19B-R, Silverstone SOD02, AsRock H87M-ITX, Intel Core™ i5 4570S, Noctua NH-L9i, Kingston HyperX Black XMP (2 x 4 Go - PC12800 - CAS 9), SSD Kingston HyperX 3K (120 Go), Creative Sound Blaster X-Fi HD, Microsoft Arc Keyboard + Arc Mouse, TFT 22' Samsung B2240, Canon Pixma MG5150, ...

Synology NAS DS214+ + Seagate Momentus 7200.14 (2 x 1 To en RAID1), ...


Retourner vers « Sécurité »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité