Maximilien Gatignol

Thomas Commaret

PPE Installation dun serveur SSH

Ce TP t ralis sur un rseau interne dans des environnements Linux et

Windows, afin dinstaller un serveur SSH.

I. Structure du rseau
La structure utilise pour raliser ce TP est un rseaux interne de
machines virtuelles.
Pour cela, trois machines virtuelles ont t utilises via VirtualBox.
Une premire distribution de Debian (en console) qui fait office de
serveur ssh.
Une seconde sous Debian galement qui joue le rle de machine
cliente avec une interface graphique.
Une troisime sous Windows XP , cliente galement.

Au niveau de la configuration apporter aux interfaces rseau, il est

ncessaire de passer par le menu Configuration directement sous
VirtualBox.

Dans longlet rseau, diffrents choix sont possibles. Pour chacune

dentre elles, il faut les mettre en rseau interne. Le nom du rseau
interne est choisir, mais doit tre le mme pour les trois.
Exception faite de deux cas
1) La connexion par pont, qui en ajoutant une seconde carte rseau
permet de se connecter vers un rseau exterieur.
2) La connexion NAT, qui permet sur la mme carte rseau de se
connecter au rseau Internet de lhte.

Modification /etc/network/interfaces
Suppression dhcp, eth0 init.
Pour que la connexion stablisse, il faut ensuite configurer les cartes
rseaux sur les VM directement.
Le rseau prive est sur la plage dadresse 192.168.1.0/24.
Le DNS choisit est celui de Google. Il est cependant remplaable.
1) Windows
Dans linterface graphique, via le panneau de configuration, on peux
changer les paramtres IPV4 et TCP/IP comme prsent ci dessus.
2) Linux

Sous Linux, la manipulation est diffrente. En passant en super user, il

faut modifier les fichiers de paramtres avec un diteur de texte.
la commande nano est utilise dans le cas montr ci-dessus.
Le dernier paragraphe a t rajout manuellement.
Il initialise et mmorise les informations de la carte.
Ladresse est modifie pour passer de DHCP statique.
Pour vrifier que tout sest bien droul, les commandes lspci (liste les
priphriques branchs) et ifconfig sont de bons outils de vrification de
configuration.
Pour vrifier que le rseau est oprationnel, la commande ping suivie de
lIP dune des autres machines permet de vrifier la communication
entre elles.
Attention, le pare feu de Windows peux bloquer la commande. Il a t
dsactiv dans cette situation pour permettre un bon droulement du TP.

Le rseau interne est maintenant prt.

II. Catgories dutilisateurs et droits

Ils y a diffrentes catgories dutilisateurs. On peut les classer en deux

grandes catgories.
La premire sont les utilisateurs. Ils ont des droits dfinis, que ce soit en
lecture, criture ou excution (RWX).
Comme leur nom lindique, ils utilisent des ressources mises leur
disposition.
La seconde est ladministrateur. Sous Linux, il sagit du SuperUtilisateur.
Ce dernier tous les droits sur le systme, y compris de le dtruire. Il
nest donc pas recommand de rester dans ce mode.
Cest pourquoi des groupes dutilisateurs peuvent tre crs par ce
dernier.
Cest groupes donnent des permissions de type RWX sur des dossiers
ou fichiers.
Il est aussi possible de leur donner des permissions pour excuter des
commandes dadministration. Pour cela, sudo est une alternative aux
pleins pouvoirs. Prcdant la commande raliser, elle excute la
commande comme un SuperUser (aussi appel Root).

III. Scurit et sauvegardes

Il y a diffrents points de scurit pour monter le serveur.

Tout dabord, une scurit rseau. En effet, le serveur ne doit pas tre
accessible par un rseau tranger. Pour cela, il faut diter les fichiers
serveur. Premirement, le port dcoute. Il est remplac pour viter de
trouver la porte dentrer par dfaut.
Il faut ensuite modifier la plage dadresse IP.
En rajoutant le ListenAddress 192.168.1.0/24.
Le protocole deviens Protocol 2 qui est plus sr.
PermitRootLogin no empche laccs au Root.
PermitEmptyPassords no interdit les utilisateurs sans mot de passe.
ClientAliveInterval 360 dconnecte une session au bout de 6 minutes.
ClientAliveMax 0 permet de ne connecter quune personne la fois.

Ces commandes protgent le serveur des attaques extrieurs (mais

aussi de lintrieur intrinsquement).
Pour protger de personnes mal intentionns venu du coeur du rseau,
il est aussi possible en ditant le fichier de permission hosts.allow de
nautoriser que certaines adresses IP spcifiques du rseau interne.

Il est important de savoir quelles IP peuvent administrer le serveur.

Encore faut-il savoir qui utilise ces postes (pour savoir qui fait quoi et
o!).
Pour cela la commande chgrp crer un groupe.
Chmod donne des droits sur des fichiers/dossiers.
Useradd crer un utilisateur
Groupadd ajoute lutilisateur dans le bon groupe.
En jouant sur les permissions, les utilisateurs, les groupes, les IP, les
ports, les protocoles,... il est possible de verrouiller au maximum laccs
certaines donnes aussi sensible que des fichiers de configuration
dun serveur SSH.

Pour finir, car il faut bien surveiller rgulirement ce quil se passe sur le
systme, le Root peut vrifier les logs dans /var/log/auth.log les
tentatives de connexions et daccs au serveur afin de prvenir les
attaques de type bruteforce.