Page 1 sur 2

Réseau SSH (secure shell)

Posté : lun. 11 juil. 2016 16:16
par mpedro
Reseau SSH (secure shell)_1.png


Pour partager ses fichiers entre deux PC avec le protocole SSH sur son réseau local (LAN)

Il faut installer SSH client et serveur (par défaut maintenant sous Linuxmint ssh/client est installé mais pas le coté serveur)
Donc pour qu'un PC tiers ai accès aux fichiers de votre ordinateur, il faut installer le coté serveur de cette manière :

Code : Tout sélectionner

sudo apt-get install openssh-server
et il faut ouvrir un port, le port standard ssh est le 22

Code : Tout sélectionner

sudo ufw allow ssh/tcp
Pour vérifier si le port ssh 22 est bien ouvert

Code : Tout sélectionner

sudo ufw status
Pour redémarrer SSH

Code : Tout sélectionner

sudo service ssh restart
ou pareil

Code : Tout sélectionner

systemctl restart sshd.service
Au besoin pour s'assurer que le job fasse bien son service

Code : Tout sélectionner

sudo service ssh status
Maintenant que SSH est open, il va falloir que votre ordinateur soit accessible sur votre réseau

Code : Tout sélectionner

ifconfig
Ce sera l'adresse IP locale (localhost) qui ressemblera à 192.68.1.44 par exemple qu'il faudra renseigner pour pouvoir se connecter à votre serveur sshd

Par commodité il faut attribuer toujours la même IP locale au PC source via le serveur DHCP accessible dans l'interface de la Box



Avec nemo
Reseau SSH (secure shell)_2.png
Reseau SSH (secure shell)_2.png (38.32 Kio) Vu 5002 fois
Reseau SSH (secure shell)_3.png
****************************************
En se connectant pour la 1ère fois le fingerprint qui est l'empreinte du serveur s'affiche (par la suite il ne sera plus demandé). C'est le numéro unique du serveur (toujours le même). Il ne doit pas changer et s'il change alors un nouveau fingerprint s'affichera automatiquement et c'est que c'est une usurpation de serveur.

Code : Tout sélectionner

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 19:a8:2f:4e:af:ad:90:cd:e7:e8:56:33:87:43:de:ad.
Are you sure you want to continue connecting (yes/no)?
La connexion n'est chiffrée qu'à l'issue du mot de passe

Re: SSH en LAN (basique)

Posté : lun. 11 juil. 2016 16:24
par mpedro
Seul conseil de sécurité : s'assurer que le port 22 soit bien fermé au niveau du routeur/box pour que le PC ne soit pas accessible depuis l'extérieur via internet.
Pour aller un peu plus loin... https://doc.ubuntu-fr.org/ssh" onclick="window.open(this.href);return false;

sshd_config est le fichier du serveur sshd paramétrable (sshd : d comme daemon)

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config

Re: Réseau SSH en WAN

Posté : mar. 12 juil. 2016 21:44
par mpedro
Sécurité si l'on veut ouvrir son réseau à l'extérieur :

Un certains nombres d'attaques répertoriés (par bootnet...) concernent uniquement les serveurs SSH installés sur le port 22, c'est pourquoi il faut changer de port et pourquoi pas utiliser des logiciels de "blacklistes" comme DenyHosts, BruteForceBlocker ou Fail2ban, surveiller syslog et auth.log

Code : Tout sélectionner

systemctl disable sshd.service
si l'on ne veut pas que le serveur soit actif à chaque reboot du PC ou bien remplacer disable par enable pour activer SSH (par défaut il est actif)

- Pour modifier le port d'écoute SSH du fichier sshd_config

Code : Tout sélectionner

sudo xed /etc/ssh/sshd_config

Code : Tout sélectionner

# What ports, IPs and protocols we listen for
Port 7521 # Port 22
puis enregistrer le fichier et redémarrer le serveur

Code : Tout sélectionner

sudo service ssh restart
Evidemment il faudra ouvrir le port choisi sur la box et le pare-feu, (dans l'exemple c'est le 7521)
http://www.frameip.com/liste-des-ports-tcp-udp/" onclick="window.open(this.href);return false;

Il faut donc aussi faire cette même modification de port sur le poste client, c'est à dire l'autre PC et son fichier sshd_config

- Empêcher de se connecter depuis le compte root et créer des utilisateurs

Code : Tout sélectionner

PermitRootLogin no
et pour créer un groupe (ex : ma famille) contenant des utilisateurs (ex : ma soeur), il faut à l'aide du Terminal ajouter le nom du groupe et celui des utilisateurs de ce même groupe sur son PC

Code : Tout sélectionner

groupadd famille

Code : Tout sélectionner

useradd -m soeur
passwd soeur
usermod -a -G famille soeur
Puis ajouter l'utilisateur dans le fichier sshd_config

Code : Tout sélectionner

AllowUsers soeur
On peut créer plusieurs utilisateurs mon frère, ma mémé ...

- Ne pas permettre de déport graphique (contrôle d'écran, applications graphiques)

Toujours dans le fichier sshd_config il faut commenter la ligne X11Forwarding yes en ajoutant # (ou remplacer yes par no)

Code : Tout sélectionner

# X11Forwarding yes

Re: Réseau SSH en WAN

Posté : mar. 12 juil. 2016 22:03
par mpedro
Une méthode plus poussée consiste à utiliser l'authentification par clé publique associé par mot de passe et un outil puissant " iptable ". Les tunnels, les proxies etc
Note technique de l'ANSSI http://www.ssi.gouv.fr/uploads/2014/01/NT_OpenSSH.pdf" onclick="window.open(this.href);return false;

Et l'idéal est d'avoir un PC dédié (ou un Raspberry connecté en permanence à la box) pour éviter d'utiliser son PC de bureau, faire un chroot Sftp, etc

Re: Réseau SSH en LAN (basique)

Posté : mar. 12 juil. 2016 22:13
par zeb
;) Merci mpedro cette présentation/tuto.

Re: Réseau SSH en WAN

Posté : mar. 12 juil. 2016 22:21
par mpedro
Merci Zébulon.
J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.

Re: Réseau SSH en LAN (basique)

Posté : mar. 12 juil. 2016 22:23
par zeb
mpedro a écrit :J'avais mis en place un serveur SSH et créer un dossier de photos accessible par la famille. C'est de l'auto-hébergement.
cool, ça me donne une idée :D

Re: Réseau SSH en WAN

Posté : mar. 12 juil. 2016 22:34
par mpedro
Pour les photos Bizou c'est kiss et sans base de données :) http://positon.org/bizou/demo/index.php/" onclick="window.open(this.href);return false; mais on n'est plus dans le sujet.

Re: Réseau SSH

Posté : mer. 13 juil. 2016 04:04
par zeb
:D

Re: Réseau SSH (secure shell)

Posté : jeu. 8 sept. 2016 08:55
par ZenAir
Comment paramétrer lorsque le serveur est un Synology ?

Vous avez une idée ?

Merci ;)