Réseau SSH (secure shell)

Vos petites astuces, répertoire des tutoriels et astuces
mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Réseau SSH (secure shell)

Message par mpedro »

Reseau SSH (secure shell)_1.png


Pour partager ses fichiers entre deux PC avec le protocole SSH sur son réseau local (LAN)

Il faut installer SSH client et serveur (par défaut maintenant sous Linuxmint ssh/client est installé mais pas le coté serveur)
Donc pour qu'un PC tiers ai accès aux fichiers de votre ordinateur, il faut installer le coté serveur de cette manière :

Code : Tout sélectionner

sudo apt-get install openssh-server
et il faut ouvrir un port, le port standard ssh est le 22

Code : Tout sélectionner

sudo ufw allow ssh/tcp
Pour vérifier si le port ssh 22 est bien ouvert

Code : Tout sélectionner

sudo ufw status
Pour redémarrer SSH

Code : Tout sélectionner

sudo service ssh restart
ou pareil

Code : Tout sélectionner

systemctl restart sshd.service
Au besoin pour s'assurer que le job fasse bien son service

Code : Tout sélectionner

sudo service ssh status
Maintenant que SSH est open, il va falloir que votre ordinateur soit accessible sur votre réseau

Code : Tout sélectionner

ifconfig
Ce sera l'adresse IP locale (localhost) qui ressemblera à 192.68.1.44 par exemple qu'il faudra renseigner pour pouvoir se connecter à votre serveur sshd

Par commodité il faut attribuer toujours la même IP locale au PC source via le serveur DHCP accessible dans l'interface de la Box



Avec nemo
Reseau SSH (secure shell)_2.png
Reseau SSH (secure shell)_2.png (38.32 Kio) Vu 4965 fois
Reseau SSH (secure shell)_3.png
****************************************
En se connectant pour la 1ère fois le fingerprint qui est l'empreinte du serveur s'affiche (par la suite il ne sera plus demandé). C'est le numéro unique du serveur (toujours le même). Il ne doit pas changer et s'il change alors un nouveau fingerprint s'affichera automatiquement et c'est que c'est une usurpation de serveur.

Code : Tout sélectionner

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 19:a8:2f:4e:af:ad:90:cd:e7:e8:56:33:87:43:de:ad.
Are you sure you want to continue connecting (yes/no)?
La connexion n'est chiffrée qu'à l'issue du mot de passe
Modifié en dernier par débitant le sam. 3 mars 2018 16:50, modifié 25 fois.
Raison : reprise des liens photos obsolètes
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: SSH en LAN (basique)

Message par mpedro »

Seul conseil de sécurité : s'assurer que le port 22 soit bien fermé au niveau du routeur/box pour que le PC ne soit pas accessible depuis l'extérieur via internet.
Pour aller un peu plus loin... https://doc.ubuntu-fr.org/ssh" onclick="window.open(this.href);return false;

sshd_config est le fichier du serveur sshd paramétrable (sshd : d comme daemon)

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Message par mpedro »

Sécurité si l'on veut ouvrir son réseau à l'extérieur :

Un certains nombres d'attaques répertoriés (par bootnet...) concernent uniquement les serveurs SSH installés sur le port 22, c'est pourquoi il faut changer de port et pourquoi pas utiliser des logiciels de "blacklistes" comme DenyHosts, BruteForceBlocker ou Fail2ban, surveiller syslog et auth.log

Code : Tout sélectionner

systemctl disable sshd.service
si l'on ne veut pas que le serveur soit actif à chaque reboot du PC ou bien remplacer disable par enable pour activer SSH (par défaut il est actif)

- Pour modifier le port d'écoute SSH du fichier sshd_config

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config

Code : Tout sélectionner

# What ports, IPs and protocols we listen for
Port 7521 # Port 22
puis enregistrer le fichier et redémarrer le serveur

Code : Tout sélectionner

sudo service ssh restart
Evidemment il faudra ouvrir le port choisi sur la box et le pare-feu, (dans l'exemple c'est le 7521)
http://www.frameip.com/liste-des-ports-tcp-udp/" onclick="window.open(this.href);return false;

Il faut donc aussi faire cette même modification de port sur le poste client, c'est à dire l'autre PC et son fichier sshd_config

- Empêcher de se connecter depuis le compte root et créer des utilisateurs

Code : Tout sélectionner

PermitRootLogin no
et pour créer un groupe (ex : ma famille) contenant des utilisateurs (ex : ma soeur), il faut à l'aide du Terminal ajouter le nom du groupe et celui des utilisateurs de ce même groupe sur son PC

Code : Tout sélectionner

groupadd famille

Code : Tout sélectionner

useradd -m soeur
passwd soeur
usermod -a -G famille soeur
Puis ajouter l'utilisateur dans le fichier sshd_config

Code : Tout sélectionner

AllowUsers soeur
On peut créer plusieurs utilisateurs mon frère, ma mémé ...

- Ne pas permettre de déport graphique (contrôle d'écran, applications graphiques)

Toujours dans le fichier sshd_config il faut commenter la ligne X11Forwarding yes en ajoutant # (ou remplacer yes par no)

Code : Tout sélectionner

# X11Forwarding yes
Modifié en dernier par mpedro le mer. 20 juil. 2016 21:40, modifié 17 fois.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Message par mpedro »

Une méthode plus poussée consiste à utiliser l'authentification par clé publique associé par mot de passe et un outil puissant " iptable ". Les tunnels, les proxies etc
Note technique de l'ANSSI http://www.ssi.gouv.fr/uploads/2014/01/NT_OpenSSH.pdf" onclick="window.open(this.href);return false;

Et l'idéal est d'avoir un PC dédié (ou un Raspberry connecté en permanence à la box) pour éviter d'utiliser son PC de bureau, faire un chroot Sftp, etc
Modifié en dernier par mpedro le jeu. 21 juil. 2016 23:00, modifié 15 fois.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

zeb
Messages : 16473
Enregistré le : ven. 19 juin 2015 22:13
Localisation : plus ici

Re: Réseau SSH en LAN (basique)

Message par zeb »

;) Merci mpedro cette présentation/tuto.

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Message par mpedro »

Merci Zébulon.
J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.
Modifié en dernier par mpedro le lun. 18 juil. 2016 23:33, modifié 4 fois.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

zeb
Messages : 16473
Enregistré le : ven. 19 juin 2015 22:13
Localisation : plus ici

Re: Réseau SSH en LAN (basique)

Message par zeb »

mpedro a écrit :J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.
cool, ça me donne une idée :D

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Réseau SSH en WAN

Message par mpedro »

Pour les photos Bizou c'est kiss et sans base de données :) http://positon.org/bizou/demo/index.php/" onclick="window.open(this.href);return false; mais on n'est plus dans le sujet.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

zeb
Messages : 16473
Enregistré le : ven. 19 juin 2015 22:13
Localisation : plus ici

Re: Réseau SSH

Message par zeb »

:D

ZenAir
Messages : 57
Enregistré le : lun. 29 août 2016 11:55
Localisation : Nord (59)

Re: Réseau SSH (secure shell)

Message par ZenAir »

Comment paramétrer lorsque le serveur est un Synology ?

Vous avez une idée ?

Merci ;)
Linux Mint 18 XFCE 64 bits...

Silverstone Lascala LC19B-R, Silverstone SOD02, AsRock H87M-ITX, Intel Core™ i5 4570S, Noctua NH-L9i, Kingston HyperX Black XMP (2 x 4 Go - PC12800 - CAS 9), SSD Kingston HyperX 3K (120 Go), Creative Sound Blaster X-Fi HD, Microsoft Arc Keyboard + Arc Mouse, TFT 22' Samsung B2240, Canon Pixma MG5150, ...

Synology NAS DS214+ + Seagate Momentus 7200.14 (2 x 1 To en RAID1), ...

Répondre