Un ptit coup de cut MisterFreez??
Re,
Et ssh 192.168.1.2 ?
C’est la machine cliente
Ça a été fait.
Pour que ce soit plus clair pour moi, qui suis une burne :
La machine qui appelle, autrement dit, la machine à partir de laquelle on tape :
$ ssh labas
Comment doit-elle être considérée, comme “client” ou comme “serveur” ?
Tu as bien fait de diviser Mister.
C’est le client, c’est celui qui demande à se connecter.
Le serveur c’est celui qui répond et accepte la connexion.
Voici un extrait de mon ~/.ssh/config
[code]Host pass
HostName passerelle.zehome.org
User root
PasswordAuthentication no
IdentityFile ~/.ssh/zehome
Host toshi
HostName 192.168.1.104
User laurent
PasswordAuthentication no
IdentityFile ~/.ssh/zehome
Host hot
HostName 192.168.0.254
User admin
PasswordAuthentication no
IdentityFile ~/.ssh/zehome[/code]
La même clef puisque la même machine
La clef zehome.pub à été intégrée au fichier ~/.ssh/authorized_keys du serveur (soit dans home/laurent/ soit dans /root/)
Un ptit coup de cut MisterFreez??[/quote]
J’ai rappatrié les deux messages perdus.
[quote=“lol”]C’est le client, c’est celui qui demande à se connecter.
Le serveur c’est celui qui répond et accepte la connexion.
Voici un extrait de mon ~/.ssh/config
[code]Host pass
HostName passerelle.zehome.org
User root
PasswordAuthentication no
IdentityFile ~/.ssh/zehome
Host toshi
HostName 192.168.1.104
User laurent
PasswordAuthentication no
IdentityFile ~/.ssh/zehome
Host hot
HostName 192.168.0.254
User admin
PasswordAuthentication no
IdentityFile ~/.ssh/zehome[/code]
La même clef puisque la même machine
La clef zehome.pub à été intégrée au fichier ~/.ssh/authorized_keys du serveur (soit dans home/laurent/ soit dans /root/)[/quote]
Dernière demande pour vérifier une erreur possible de ma part :
Tout ce qui précède, est dans le
~/.ssh/
du serveur ou du client ?
[quote=“ricardo”]
Dernière demande pour vérifier une erreur possible de ma part :
Tout ce qui précède, est dans le
~/.ssh/
du serveur ou du client ?[/quote]
Du client.
Sur le serveur, un seul changement (ajout de la clef publique dans authorized)
Ben j’ avais bon mais
ricardo@sid-sda8:~$ ssh labas
ssh: Could not resolve hostname serveur: Name or service not known
Je vais retenter une dernière fois en replaçant l’IP
Avec l’IP, ça a marché cette fois.
Pourquoi la dernière fois ça ne fonctionnait pas ???
OK donc, réussi.
FIN
A noter qu’actuellement ça ne sécurise rien du tout, tu as 3 possibilités pour te connecter à ton serveur ssh :
[ul]
[li]avec ton identifiant et ton mot de passe[/li]
[li]avec ton identifiant et une clef publique[/li]
[li]avec ton identifiant, une clef publique et une passphrase[/li][/ul]
Au final, tu as utilisé l’une des méthode, tu peut rendre plus compliqué ton mot de passe (qu’il fasse 25 caractère par exemple) ou carrément interdire les connexions sans clef (mais alors il faut pas que tu perde la clef et si tu veut te connecter à partir d’un autre ordinateur, il faudra que tu trimbale ta clef).
Hum… tu n’avais pas mis “serveur” dans le fichier ~/.ssh/config ?
Hum… tu n’avais pas mis “serveur” dans le fichier ~/.ssh/config ?[/quote]
Oui mais c’était en remplacement de “labas”.
Pour revérifier, j’ai suivi le tuto à la lettre et j’ai donc tout refait avec “labas” mais sans modifier le reste.
Seule possibilité qui a provoqué le problème, c’est que la machine cible a comme ‘hostname’ “serveur” aussi . C’est ptet ça qui avait merdé ???
Je vais continuer avec les deux autre bécanes, en partant du même client pour voir si ça fonctionne avec les ‘hostname’.
@ MisterFreez :
Oui, je suis bien conscient que ce n’est pas une sécurité supplémentaire mais une praticité. Un alias, en quelque sorte.
Dans ce que tu proposes, les deux ont un inconvénient :
Rendre le mdp plus compliqué, ça implique de s’emmerder à chaque fois qu’il faudra le taper pour une commande où c’est nécessaire, non ?
Je passe mes commandes avec ‘sudo’, car je ne me sers qu’exceptionnellement du pass root.
Interdire l’accès autrement qu’avec clef ? Oui, à la rigueur, c’est une solution.
Comment pratiquez-vous ?
Ne permettre également qu’à certains utilisateurs à se connecter avec le AllowUsers
Hum… tu n’avais pas mis “serveur” dans le fichier ~/.ssh/config ?[/quote]
Oui mais c’était en remplacement de “labas”.
Pour revérifier, j’ai suivi le tuto à la lettre et j’ai donc tout refait avec “labas” mais sans modifier le reste.
Seule possibilité qui a provoqué le problème, c’est que la machine cible a comme ‘hostname’ “serveur” aussi . C’est ptet ça qui avait merdé ???
Je vais continuer avec les deux autre bécanes, en partant du même client pour voir si ça fonctionne avec les ‘hostname’.[/quote]
Le hostname du serveur ne rentre pas en ligne de compte.
[quote=“ricardo”]@ MisterFreez :
Oui, je suis bien conscient que ce n’est pas une sécurité supplémentaire mais une praticité. Un alias, en quelque sorte.
Dans ce que tu proposes, les deux ont un inconvénient :
Rendre le mdp plus compliqué, ça implique de s’emmerder à chaque fois qu’il faudra le taper pour une commande où c’est nécessaire, non ?
Je passe mes commandes avec ‘sudo’, car je ne me sers qu’exceptionnellement du pass root.
Interdire l’accès autrement qu’avec clef ? Oui, à la rigueur, c’est une solution.
Comment pratiquez-vous ?[/quote]
Moi j’ai les deux de configuré parce que je me sert potentiellement d’une centaine de machine pour me connecter à mon serveur (qui peuvent être sous Windows), donc ce serait assez lourd de n’autoriser que les clefs. Mais je présume que tu te connecte à ton serveur SSH uniquement de chez toi (ou avec ton portable), à ce moment là ça peut devenir intéressant.
Par contre mon mot de passe fait 12 caractères et je n’utilise pas sudo sur mon serveur. Ainsi en cas d’attaque, pour obtenir les droits root, l’attaquant doit craquer deux mots de passe ou un mot de passe puis profiter d’un exploit.
[quote=“MisterFreez”]Le hostname du serveur ne rentre pas en ligne de compte.[/quote]Ben le tuto dit : HostName nomtreslong.lichtenstein.loin
Le fait est que je viens de faire la même chose avec la machine 2 et, là encore, seule l’IP est acceptée.
[quote=“MisterFreez”]Moi j’ai les deux de configuré parce que je me sert potentiellement d’une centaine de machine pour me connecter à mon serveur (qui peuvent être sous Windows), donc ce serait assez lourd de n’autoriser que les clefs. Mais je présume que tu te connecte à ton serveur SSH uniquement de chez toi (ou avec ton portable), à ce moment là ça peut devenir intéressant.
Par contre mon mot de passe fait 12 caractères et je n’utilise pas sudo sur mon serveur. Ainsi en cas d’attaque, pour obtenir les droits root, l’attaquant doit craquer deux mots de passe ou un mot de passe puis profiter d’un exploit.[/quote]Mon pass root fait plus de caractères que le tien et le pass ‘sudo’ encore plus et plus compliqué que le ‘root’.
[quote=“M3t4linux”]Ne permettre également qu’à certains utilisateurs à se connecter avec le AllowUsers[/quote]Oui, je pense que ça doit être une bonne sécu supplémentaire.
comment tu pratiques ? je pourrais regarder le man ou autre mais … suis fainéant 
Suite à cette installation, je voudrais encore peaufiner l’accès ssh.
Je commence par une question simpliste, comme d’hab. :
Quelle est la différence entre les fichiers
/etc/ssh/ssh_config
et
/etc/ssh/sshd_config
Leur fonction, quoi !
Hello.
/etc/ssh/sshd_config configure le daemon, le service ssh.
/etc/ssh/ssh_config configure le client ssh.
@+…
Merci Im@n, je n’avais pas pensé au ‘d’.