Différences

Ci-dessous, les différences entre deux révisions de la page.

--- informatique:reseau:ssh [15/01/2017 01:45] – [Forwarding] Ouvrir une console via une autre machine cyrille
+++ informatique:reseau:ssh [16/10/2025 14:29] (Version actuelle) – [Linux Keychain Guide] cyrille
@@ Ligne 1: / Ligne 1: @@
-====== Secure SHell ======
+====== Secure SHell (SSH) ======
 ===== Configuration =====
 Dans /etc/ssh/sshd_config tu change la ligne
-  PermitRootLogin Yes
-  en
+<code>
-  PermitRootLogin No
+PermitRootLogin Yes
+en
+PermitRootLogin No
+</code>
 Et si tu veux autoriser l'accès ssh en root uniquement avec clé ssh tu mets :
-  PermitRootLogin without-password
-Mais bon ça marche pas ...
+<code>
+PermitRootLogin without-password
+</code>
+Mais bon ça marche pas …
 Voici une config qui fontionne :
-  UsePAM no
-  RSAAuthentication yes
+<code>
-  PermitRootLogin without-password
+UsePAM no
-  PermitEmptyPasswords no
+RSAAuthentication yes
-  PasswordAuthentication no
+PermitRootLogin without-password
+PermitEmptyPasswords no
+PasswordAuthentication no
+</code>
 et une autre :
-  UsePAM no
-  Subsystem	sftp	/usr/libexec/openssh/sftp-server
+<code>
-  IgnoreRhosts yes
+UsePAM no
-  IgnoreUserKnownHosts no
+Subsystem    sftp    /usr/libexec/openssh/sftp-server
-  PrintMotd yes
+IgnoreRhosts yes
-  StrictModes yes
+IgnoreUserKnownHosts no
-  RSAAuthentication yes
+PrintMotd yes
-  PermitRootLogin no
+StrictModes yes
-  PermitEmptyPasswords no
+RSAAuthentication yes
-  PasswordAuthentication no
+PermitRootLogin no
+PermitEmptyPasswords no
+PasswordAuthentication no
+</code>
+==== Maintien de la connexion ====
+<code>ServerAliveInterval
+ServerAliveCountMax
+</code>
+''ClientAliveInterval'' dit d'envoyer un paquet de vérification toutes les xx secondes (défaut: 0) et ''ClientAliveCountMax'' dit de couper la connexion après x messages sans réponse (défaut: 3)
 ===== Clients =====
@@ Ligne 41: / Ligne 64: @@
 ==== Clients pour Windows ====
-http://www.openssh.com/windows.html \\
-http://www.funix.org/fr/windows/ssh.htm
-SSH Tectia Client (previously SSH Secure Shell for Workstations) :\\
-http://www.ssh.com/support/downloads/secureshellwks/non-commercial.html
 Tunnelier : http://www.bitvise.com/tunnelier.html
-PuTTY : http://www.chiark.greenend.org.uk/~sgtatham/putty/
+PuTTY : [[http://www.putty.org/]], https://www.chiark.greenend.org.uk/~sgtatham/putty/
-SharpSSH - A Secure Shell (SSH) library for .NET: http://www.tamirgal.com/blog/page/SharpSSH.aspx
+SharpSSH - A Secure Shell (SSH) library for .NET: http://www.tamirgal.com/blog/page/SharpSSH.aspx  (old: 2007)
 ==== Linux Keychain Guide ====
@@ Ligne 60: / Ligne 77: @@
   * [[http://live.gnome.org/GnomeKeyring|GNOME Keyring]], [[wpen>GNOME_Keyring]], [[http://library.gnome.org/devel/gnome-keyring/stable/|gnome-keyring Reference Manual]]
   * ssh-agent
+==== sshfs ====
+Permet de monter un filesystem distant via ssh
+  * https://doc.ubuntu-fr.org/sshfs
+<code>
+sshfs -p <port> user@sftp-server.net:/home/user/ local-folder
+</code>
 ===== Tips =====
@@ Ligne 71: / Ligne 98: @@
   # ATTENTION : local5 est utilisé notamment par sshd
   local5.info /var/log/sshd
+Le port 22 est scanné en permanence, ce qui rempli le disque (risque [[glossaire/DDOS]]):
+<code bash>
+root@seriously:~# ls -lhS /var/log/|head
+total 13M
+-rw-rw----  1 root  utmp  36M Jul 10 12:09 btmp
+-rw-r-----  1 root  adm   25M Jul  4 06:13 auth.log.1
+-rw-r-----  1 root  adm   24M Jul 10 12:09 auth.log
+-rw-------  1 root  utmp  13M Jul  1 06:12 btmp.1
+</code>
 ==== Email automatique lors de la connexion ====
@@ Ligne 83: / Ligne 120: @@
 ==== Blacklister les Ips indésirables ====
-Avec le script ssh-blacklist, voir [[informatique/security#ssh_scanning]].
+SSH scanning ssh-blacklist
+Blacklister les Ips indésirables avec le script http://www.frit.net/scripts/ {{:informatique:ssh-blacklist.zip|copie locale}}
 ==== Chroot Jail ====
@@ Ligne 94: / Ligne 133: @@
 RSSH: http://www.pizzashack.org/rssh
 ==== Tunnel ====
@@ Ligne 112: / Ligne 152: @@
 Ne fonctionne pas toujours avec 'localhost', utiliser alors '127.0.0.1'
   ssh -N -L 127.0.0.1:3307:127.0.0.1:3306 -p 30001 USER@REMOTE_HOST
+=== Proxying ===
+<code bash>
+scp -o 'ProxyJump user@proxy.openstreetmap.fr' ./file user@vm.openstreetmap.fr:/home/user/
+</code>
 Se connecter à un serveur via un autre serveur (forwarding agent):
   ssh -p <public port> -t -A root@<public ip> ssh -t root@<private-ip>
+proxying (JumpHost):
+  ssh -J jump-user@jump.net:1234 destination-user@destination.net
 Via la configuration du client SSH, ce qui du coup fonctionne avec SCP:
-  #~/.ssh/config
+<del>  #~/.ssh/config
   Host machineC
 	ProxyCommand ssh -p XXX user@machineB nc %h %p
+</del>
+<code>
+host un-nom-raccourci
+	Hostname destination.finale.net
+	ProxyCommand ssh -p 666 -W %h:22 user-passerelle@passerelle.ssh.net
+	User user-destination
+	IdentityFile $SSHKEY
+</code>
 Ouvrir une console via une autre machine: