Vous êtes sur la page 1sur 34

SSH PAR CLÉ

Saoudi chaymae.Lmarbouh mhamed. maamar safae. ait daoued ghizlan. moufradi


fadwa. el idrissi nezar. elkatibi ayoub. essadik ibtissam. zaim doha .
 OpenSSH est une version libre de la suite de protocole de
SSH, des outils de connectivité de réseau sur lesquels un
nombre croissant de personnes sur l'Internet viennent
s'appuyer.
Beaucoup d'utilisateurs de Telnet, Rlogin, FTP, ou d'autres
programmes de même acabit ne se rendent pas compte que
leur données, et notamment les mots de passe, sont transmis
à travers les réseaux en clair ce qui constitue une faille
évidente dans la sécurité de leur réseau.
 OpenSSH chiffre tout le trafic (mots de passe y
compris), via une combinaison astucieuse de
chiffrement symétrique et
asymétrique. OpenSSH fournit également d'autres
méthodes d'authentification alternatives au
traditionnel mot de passe.
SSH remplace de manière sécurisée :

 Telnet: Vous pouvez exécuter des commandes depuis un Réseau Local ou


Internet via SSH
 FTP: Si vous ne souhaitez qu'ajouter ou modifier des fichiers sur un serveur,
SSH est bien plus adapté que FTP
 Et d'autres, via le tunneling: SSH permet d'accéder à un service réseau en le
faisant circuler dans SSH pour profiter de toutes les protections qu'il
apporte. Vous pouvez donc sécuriser n'importe quel protocole grâce à SSH,
comme VNC par exemple.
SSH permet de faire, en usage de base :
 Accès à distance sur la console en ligne commande (shell), ce qui permet,
entre autres, d'effectuer la totalité des opérations courantes et/ou
d'administration sur la machine distante.
 Déporter l'affichage graphique de la machine distante.
 Transferts de fichiers en ligne de commande.
 Montage ponctuel de répertoire distants, soit en ligne de commande, soit
via Nautilus, sous Gnome par exemple.
 Montage automatique de répertoires distants.
installation
 Si vous voulez accéder à un ordinateur (votre ordinateur personnel, votre
serveur local, un serveur distant dont vous effectuez l'administration, etc.). Vous
devez installer openssh-server sur la machine à joindre en SSH, cette machine
sera le "serveur" SSH.

 La partie cliente est fournie par le paquet openssh-client, qui est installé par
défaut sous Ubuntu.
Vous pouvez vérifier ce qui est déjà installé en tapant ces commandes :
Installation du serveur SSH
 Le serveur SSH fonctionne en tant que service qui par
défaut après l'installation sera lancé au démarrage de
la machine.
Il est possible notamment de :
 L'activer ou l'arrêter : par exemple si vous souhaitez
désactiver momentanément le serveur SSH
 Le relancer : par exemple si vous faites une
modification de configuration
Ssh server
Activer, arreter, relancer
Openssh client
Ssh version
Utilisation de putty

 Si vous devez prendre le contrôle depuis un poste équipé de


Windows vous pouvez installer PuTTY qui est un émulateur de
terminal doublé d'un client pour les
protocoles SSH, Telnet, rlogin, et TCP brut. Il permet également
des connexions directes par liaison série RS-232. À l'origine
disponible uniquement pour Windows
Authentification par un système de clés publique/privée

 Autrefois tout le monde employait l'authentification typique par le principe identifiant - mot de
passe. Cependant si quelqu'un connaît votre mot de passe, la sécurité est compromise.
Pour être débarrassé du problème, SSH offre l'Authentification par clé publique/privée au
lieu des mots de passe « simples ». De cette manière, il faut être en possession de non plus
d'une mais de deux informations pour se connecter (avoir la clé privée et connaître le mot de
passe de cette clé).

 Ceci peut permettre par exemple :

 à un administrateur de se connecter à des centaines de machines sans devoir connaître des


centaines de mots de passe différents ;
 de ne pas avoir un mot de passe à saisir toutes les 2 minutes (en utilisant ssh-agent).
Créé une clé utilisant le protocole de chiffrement RSA :

Il vous sera alors demandé où sauver la clé privée nous acceptons juste l'endroit par défaut : ~/.ssh, et ne
changez pas le nom du fichier généré, puis on chois une passphrase .
 Deux fichiers ont été créés (dans le dossier ~/.ssh/) :
 id_rsa (ou id_dsa dans le cas d'une clé DSA) : contient la clé
privée et ne doit pas être dévoilé ou mis à disposition
 id_rsa.pub (ou id_dsa.pub dans le cas d'une clé DSA) : contient la
clé publique, c'est elle qui sera mise sur les serveurs dont l'accès est
voulu.
L'authentification : chaque connexion SSH vérifie l'identité du serveur (par sa clé d'hôte ~/.ssh/known_hosts)
puis celle du client (par mot de passe ou clé publique ~/.ssh/authorized_keys).
La clef publique a été créée avec la nouvelle clef privée. Elles sont habituellement localisées
dans le dossier caché ~/.ssh:

Il faut maintenant envoyer au serveur votre clé publique pour qu'il puisse vous chiffrer des messages.
 L'utilisateur distant doit avoir cette clé dans son fichier de clés d'autorisation
situé à ~/.ssh/authorized_keys sur le système distant. Employez la
commande ssh-copy-id.
 ssh-copy-id est un script qui utilise ssh pour se connecter à une machine à
distance en utilisant le mot de passe de l'utilisateur. L'authentification par mot
de passe doit donc être autorisée dans le fichier de configuration du serveur
ssh (par défaut sur Ubuntu). Il change également les permissions des
répertoires ~/.ssh et ~/.ssh/authorized_keysde l'hôte distant pour enlever
l'accès en écriture du groupe (qui vous empêcherait de vous connecter si le
serveur distant ssh a "StrictModes yes" dans son fichier de configuration, ce
qui est le cas par défaut sur Ubuntu).
Configuration

 Le fichier de configuration est /etc/ssh/sshd_config.


L'authentification par clé est active par défaut. En
fait, dans le fichier de configuration original, toutes
les valeurs commentées (précédées d'un #) sont
placées à leur valeur par défaut
Configuration
L 'authentification par clé est autorisée:
Cela ne suffit bien entendu pas car aucune
clé publique n'a été envoyée sur le serveur.

Aussi on modifie le PasswordAuthentication


de yes a No car il est souhaitable de
désactiver l'authentification par mot de
passe ensuite on relance le service ssh

Il n'est plus possible désormais de se


connecter avec le couple login/mot de
passe.
Configuration avancé

Désactivation de l'accès direct en super


utilisateur. Il est possible de désactiver
l'accès direct vers le compte root vers
votre ordinateurs.
En effet, il n'est jamais très conseillé
d'abuser des droits super utilisateur, il est
donc possible de désactiver la possibilité
au root de se connecter. L'accès au serveur
distant pourra être fait sur un autre
compte utilisateur
Modifier le fichier authorized_keys en ajoutant le clé

Puisque l'authetification
par mot de passe est
desactivé , alors vous
aurez besoin de copier-
coller votre clé suivant un
autre moyen.
Dorénavant n'utilisez plus votre mot de passe mais votre passphrase pour vous connecter. Celle-ci
sert à déchiffrer votre clé privée de votre système local.

deux choses sont nécessaires pour obtenir un accès réellement sécurisant par authentification à clé
publique par rapport à l'authentification par mot de passe classique :

1. Votre clé privée : chiffrée ;


2. Votre passphrase : utilisée pour déchiffrer votre clé privée.
Connecté
Autre utilisateurs !
Acces au serveur en utilisant putty
sur windows

On saisit l'adrresse Ip du serveur avec


une connexion de type ssh et le port
22 et on l'enregistre
Acceder au serveur a partir de windows
Test
Test