Réseau SSH (secure shell)

[mpedro]

Pour partager ses fichiers entre deux PC avec le protocole SSH sur son réseau local (LAN)

Il faut installer SSH client et serveur (par défaut maintenant sous Linuxmint ssh/client est installé mais pas le coté serveur)
Donc pour qu'un PC tiers ai accès aux fichiers de votre ordinateur, il faut installer le coté serveur de cette manière :

Code : Tout sélectionner

sudo apt-get install openssh-server

et il faut ouvrir un port, le port standard ssh est le 22

Code : Tout sélectionner

sudo ufw allow ssh/tcp

Pour vérifier si le port ssh 22 est bien ouvert

Code : Tout sélectionner

sudo ufw status

Pour redémarrer SSH

Code : Tout sélectionner

sudo service ssh restart

ou pareil

Code : Tout sélectionner

systemctl restart sshd.service

Au besoin pour s'assurer que le job fasse bien son service

Code : Tout sélectionner

sudo service ssh status

Maintenant que SSH est open, il va falloir que votre ordinateur soit accessible sur votre réseau

Code : Tout sélectionner

ifconfig

Ce sera l'adresse IP locale (localhost) qui ressemblera à 192.68.1.44 par exemple qu'il faudra renseigner pour pouvoir se connecter à votre serveur sshd

Par commodité il faut attribuer toujours la même IP locale au PC source via le serveur DHCP accessible dans l'interface de la Box



Avec nemo

****************************************
En se connectant pour la 1ère fois le fingerprint qui est l'empreinte du serveur s'affiche (par la suite il ne sera plus demandé). C'est le numéro unique du serveur (toujours le même). Il ne doit pas changer et s'il change alors un nouveau fingerprint s'affichera automatiquement et c'est que c'est une usurpation de serveur.

Code : Tout sélectionner

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 19:a8:2f:4e:af:ad:90:cd:e7:e8:56:33:87:43:de:ad.
Are you sure you want to continue connecting (yes/no)?

La connexion n'est chiffrée qu'à l'issue du mot de passe

[mpedro]

Seul conseil de sécurité : s'assurer que le port 22 soit bien fermé au niveau du routeur/box pour que le PC ne soit pas accessible depuis l'extérieur via internet.
Pour aller un peu plus loin... https://doc.ubuntu-fr.org/ssh

sshd_config est le fichier du serveur sshd paramétrable (sshd : d comme daemon)

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config

[mpedro]

Sécurité si l'on veut ouvrir son réseau à l'extérieur :

Un certains nombres d'attaques répertoriés (par bootnet...) concernent uniquement les serveurs SSH installés sur le port 22, c'est pourquoi il faut changer de port et pourquoi pas utiliser des logiciels de "blacklistes" comme DenyHosts, BruteForceBlocker ou Fail2ban, surveiller syslog et auth.log

Code : Tout sélectionner

systemctl disable sshd.service

si l'on ne veut pas que le serveur soit actif à chaque reboot du PC ou bien remplacer disable par enable pour activer SSH (par défaut il est actif)

- Pour modifier le port d'écoute SSH du fichier sshd_config

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config

Code : Tout sélectionner

# What ports, IPs and protocols we listen for
Port 7521 # Port 22

puis enregistrer le fichier et redémarrer le serveur

Code : Tout sélectionner

sudo service ssh restart

Evidemment il faudra ouvrir le port choisi sur la box et le pare-feu, (dans l'exemple c'est le 7521)
http://www.frameip.com/liste-des-ports-tcp-udp/

Il faut donc aussi faire cette même modification de port sur le poste client, c'est à dire l'autre PC et son fichier sshd_config

- Empêcher de se connecter depuis le compte root et créer des utilisateurs

Code : Tout sélectionner

PermitRootLogin no

et pour créer un groupe (ex : ma famille) contenant des utilisateurs (ex : ma soeur), il faut à l'aide du Terminal ajouter le nom du groupe et celui des utilisateurs de ce même groupe sur son PC

Code : Tout sélectionner

groupadd famille

Code : Tout sélectionner

useradd -m soeur
passwd soeur
usermod -a -G famille soeur

Puis ajouter l'utilisateur dans le fichier sshd_config

Code : Tout sélectionner

AllowUsers soeur

On peut créer plusieurs utilisateurs mon frère, ma mémé ...

- Ne pas permettre de déport graphique (contrôle d'écran, applications graphiques)

Toujours dans le fichier sshd_config il faut commenter la ligne X11Forwarding yes en ajoutant # (ou remplacer yes par no)

Code : Tout sélectionner

# X11Forwarding yes

[mpedro]

Une méthode plus poussée consiste à utiliser l'authentification par clé publique associé par mot de passe et un outil puissant " iptable ". Les tunnels, les proxies etc
Note technique de l'ANSSI http://www.ssi.gouv.fr/uploads/2014/01/NT_OpenSSH.pdf

Et l'idéal est d'avoir un PC dédié (ou un Raspberry connecté en permanence à la box) pour éviter d'utiliser son PC de bureau, faire un chroot Sftp, etc

[zebulon]

Merci mpedro cette présentation/tuto.

[mpedro]

Merci Zébulon.
J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.

[zebulon]

J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.

cool, ça me donne une idée

[mpedro]

Pour les photos Bizou c'est kiss et sans base de données http://positon.org/bizou/demo/index.php/ mais on n'est plus dans le sujet.

[zebulon]

[ZenAir]

Comment paramétrer lorsque le serveur est un Synology ?

Vous avez une idée ?

Merci