INDEX ................................................................................................................................................................... 2 1. Installation .................................................................................................................................................. 3 2. Configuration .............................................................................................................................................. 3 2.1 Fichier de configuration ....................................................................................................................... 3 2.2 Gnration des clefs sous Linux .......................................................................................................... 3 2.3 Gnration des clefs sous Windows .................................................................................................... 5 3. Connexion par certificat ............................................................................................................................. 6 4. Scurisation du serveur SSH ....................................................................................................................... 7 4.1 Dsactivation de la connexion par mot de passe ................................................................................ 7 4.2 Restrictions des IP selon lutilisateur ................................................................................................... 7 5. X-Server ....................................................................................................................................................... 9 5.1 Configuration de Putty ........................................................................................................................ 9 5.2 Lancement dune application ............................................................................................................ 10 6. Tunnel SSH ................................................................................................................................................ 11 6.1 Cration dun tunnel .......................................................................................................................... 11 6.2 Configuration du socket dans Firefox ................................................................................................ 12 6.3 Requte DNS ...................................................................................................................................... 12 7. Outils et logiciels ....................................................................................................................................... 13 7.1 Putty .................................................................................................................................................. 13 7.2 Kitty.................................................................................................................................................... 13 7.3 Putty Connection Manager ............................................................................................................... 13 7.4 mRemoteNG ...................................................................................................................................... 14 7.5 Gate One : client SSH en HTML5 ....................................................................................................... 14 7.6 FireSSH ............................................................................................................................................... 15 8. Divers ......................................................................................................................................................... 16 8.1 Journaux dvnements .................................................................................................................... 16 8.2 Activation du routage ........................................................................................................................ 16
3
1. Installation
Installation des paquets client, serveur et outils : aptitude install openssh-client openssh-server putty-tools
2. Configuration
2.1 Fichier de configuration
Ouverture et dition du fichier : nano /etc/ssh/sshd_config
Redmarrage du daemon SSH : /etc/init.d/sshd restart
2.2 Gnration des clefs sous Linux
2.2.1 Gnration du jeu de clefs
Gnration du jeu de clefs : ssh-keygen t rsa b 1024 C user@machine
Dtail des options : -t : type de cryptage -b : taille de la clef -C : commentaire
Il vous sera alors demand : Lemplacement de la clef (par dfaut dans /user/.ssh/) Un mot de passe (optionnel) pour crypter la clef prive
Aprs quoi, vous obtenez deux fichiers : id_rsa : clef prive laquelle on peut associer un mot de passe id_rsa.pub : clef publique. Ce fichier doit tre ajout dans le fichier ~/.ssh/authoriz_keys (point 2.2.2) de toutes les machines o lutilisateur souhaite se connecter
4
2.2.2 Autorisation de la clef publique
Pour quun utilisateur puisse se connecter une machine, il est ncessaire dajouter sa clef publique dans le fichier ~/.ssh/authoriz_keys. Pour cela, excutez la commande suivante depuis votre serveur : cat id_rsa.pub >> ~/.ssh/authorized_keys
2.2.3 Exportation sous Windows
Il faut maintenant exporter et convertir le fichier de clef prive id_rsa en id_rsa.ppk. Pour cela : Connectez-vous laide de WinSCP votre serveur SSH Rcuprez le fichier id_rsa se trouvant dans /user/.ssh/ et copiez le sur votre ordinateur Excutez Putty Key Generator (contenu dans WinSCP) : o Conversions > Import key > fichier id_rsa o Le mot de passe utilis lors de la gnration de la clef vous sera alors demand
Cliquez ensuite sur Save private key pour sauvegarder la clef prive sur votre ordinateur
5
2.3 Gnration des clefs sous Windows
2.3.1 Gnration du jeu de clefs
Excutez Putty Key Generator (contenu dans WinSCP) Key > Generate key pair Dplacez ensuite votre souris afin de gnrer alatoirement la clef
Une fois termin, indiquez un commentaire et le mot de passe associ la clef prive
Cliquez sur Save public key pour sauvegarder la clef publique. Il faudra par la suite copier cette clef dans le fichier ~/.ssh/authoriz_keys (point 2.3.2) Cliquez sur Save private key pour sauvegarder la clef prive sur votre ordinateur
2.3.2 Exporter sous Linux
Il est maintenant ncessaire dexporter la clef publique sur le serveur SSH. Pour cela :
6
Connectez-vous votre serveur via WinSCP Crez le dossier ~/.ssh/ mkdir ~/.ssh/ Copiez la clef publique dans ce dossier
2.3.3 Autorisation de la clef publique
Ajoutez ensuite la clef publique dans le fichier authoriz_keys. Pour cela, excutez la commande suivante : cat id_rsa.ppk >> ~/.ssh/authorized_keys
3. Connexion par certificat
Pour vous connecter avec le certificat cr, suivez comme suit : Ouvrez Putty > Connection > SSH > Auth Cliquez sur Browse et indiquez lemplacement du fichier de clef prive Cliquez ensuite sur Open pour lancer la connexion
Attention, vous devez vous connecter avec lutilisateur pour lequel le jeu de clefs a t cr
7
4. Scurisation du serveur SSH
Votre serveur SSH est dornavant oprationnel. Il est toutefois ncessaire de modifier certains paramtres pour le scuriser.
4.1 Dsactivation de la connexion par mot de passe
Vous avez actuellement le choix entre une connexion par login et mot de passe ou bien par certificat et son mot de passe associ. Pour des raisons de scurit, il est judicieux de dsactiver la connexion avec login pour ne permettre que la connexion par certificat. Pour cela ;
Editez le fichier de configuration SSH : nano /etc/ssh/sshd_config Modifiez les paramtres suivants : PasswordAuthentication no UsePAM no ChallengeResponseAuthentication no PasswordAuthentication no Redmarrez le daemon SSH : /etc/init.d/sshd restart
Une autre alternative est dditer le fichier passw dans /etc/. Pour cela il suffit de remplacer la valeur x par * pour lutilisateur souhait.
4.2 Restrictions des IP selon lutilisateur
Il est possible de restreindre les connexions SSH selon lIP source de lutilisateur ainsi que son login. On peut par exemple autoriser les connexions root seulement depuis une IP ou une plage dIP particulire.
Pour cela il faut activer un module PAM : Editez le module PAM pour SSH : nano /etc/pam.d/sshd Ajoutez le paramtre suivant afin dactiver le contrle daccs : account required pam_access.so
Le module PAM pour SSH est maintenant activ. Ensuite : Editez le fichier contenant les couples IP/utilisateur : nano /etc/security/access.conf Modifiez le fichier votre guise. Lexemple ci-dessous autorise les connexions root que depuis les IP 192.168.2.10/11. En revanche, il autorise la connexion via toto depuis toutes les IP :
8
Pour terminer, il faut modifier votre fichier de configuration SSH pour quil prenne en compte les modules PAM et quil accepte les connexions en root :
Editez le fichier de configuration SSH : nano /etc/ssh/sshd_config Modifiez les paramtres suivants : UsePAM yes PermitRootLogin yes Redmarrage du daemon SSH : /etc/init.d/sshd restart
9
5. X-Server
Il est possible de dporter linterface graphique dune application installe sur votre serveur SSH afin den avoir le rendu directement sur votre poste client. Pour commencer, tlchargez et installez le logiciel Xming sur votre ordinateur.
5.1 Configuration de Putty
Activez ensuite le X11 forwarding sur votre client SSH. Pour cela : Ouvrez Putty > Connection > SSH > X11 Cochez la case Enable X11 forwarding
Allez dans Terminal > Keyboard Choisissez loption Linux
Allez ensuite dans Windows > Translation
10
Choisissez UTF-8
Cliquez ensuite sur Open pour lancer la connexion
5.2 Lancement dune application
Pour lancer une application en Xserver : Vrifiez que Xming sexcute bien en arrire-plan Connectez-vous en SSH votre serveur Dans votre console SSH, tapez le nom de lapplication suivi du signe esperluette & o Exemple : iceweasel&
PS : sous Debian, Firefox a t renomm en Iceweasel
11
6. Tunnel SSH
Il est possible de crer un tunnel SSH pour y faire transiter tout le trafic dune application (un peu comme un VPN). Cette action est ralise laide dun socket sur ladresse localhost (127.0.0.1). Nous allons donc crer un socket pour y faire transiter tout le trafic de Firefox.
6.1 Cration dun tunnel
Pour configurer un tunnel, suivez comme suit : Ouvrez Putty > Connection > SSH > Tunnel Dans Source port, ajoutez un numro de port alatoire (>1024) Slectionnez loption Dynamic et cliquez sur Add o Si jamais vous souhaitez vous connecter une machine (en bureau distance par exemple), choisissez loption Local et indiquez en Destination lIP et le port de la machine (ex : 192.168.22:3389). Noubliez pas de renseigner un Source port alatoire o Si en revanche vous souhaitez crer un tunnel SSH pour sortir internet, choisisez loption Dynamic, ne renseignez pas de Destination et rendez vous au point 6.2 pour configurer votre navigateur. Noubliez pas de renseigner un Source port alatoire
12
6.2 Configuration du socket dans Firefox
Dans Firefox, allez dans Outils > Options > Avanc > Rseau > Paramtres
Dans Hte SOCKS, indiquez le port du point prcdent ainsi que ladresse 127.0.0.1
6.3 Requte DNS
Par dfaut les requtes DNS ne transitent pas via le tunnel SSH. Par consquent si un systme de filtrage web (OpenDNS) est en place, il y a de fortes chances que les requtes DNS soient bloques. Pour faire alors transiter ces requtes via notre tunnel, il est ncessaire de modifier une valeur dans les options avances de Firefox. Pour cela : Dans la barre dadresses, tapez about:config Recherchez la valeur network.proxy.socks_remote_dns
Passez ensuite la valeur TRUE
13
7. Outils et logiciels
7.1 Putty
Putty est lutilitaire par excellence pour se connecter un serveur SSH.
7.2 Kitty
Kitty est une srieuse alternative Putty. En effet, en plus dune interface plus are, il sauvegarde les configurations de vos connexions dans des fichiers (au lieu du registre). Vous pouvez donc aisment transporter vos paramtres sur une clef USB.
7.3 Putty Connection Manager
Putty Connection Manager est un utilitaire vous permettant douvrir plusieurs consoles SSH au sein dune mme fentre. En plus de cela, il est possible de crer une base de donnes chiffre pour y stocker vos paramtres (ncessite lajout dune DLL supplmentaire).
Page ici et tlchargement ici . Attention le projet nest apparemment plus support.
14
7.4 mRemoteNG
RemoteNG est une autre alternative Putty Connection Manager. Tlchargement et informations ici.
7.5 Gate One : client SSH en HTML5
Gate One est un projet rcent permettant de se connecter en SSH depuis votre navigateur, et sans lajout de plugins. Plus dinformations ici.
15
7.6 FireSSH
FireSSH est un plugin pour Firefox incluant un client SSH complet. Il est tlchargeable ici. De plus, il est capable de stocker les profils afin de faciliter leur accs ultrieurement.
16
8. Divers
8.1 Journaux dvnements
Pour afficher les logs des connexions, excutez la commande suivante : tail -f /var/log/auth.log
8.2 Activation du routage
Voir si le routage est activ (0 : dsactiv, 1 : activ) : sysctl net.ipv4.ip_forward
Activer le routage temporairement : sysctl -w net.ipv4.ip_forward=1
Activer le routage permanent : nano /etc/sysctl.conf net.ipv4.ip_forwarding=1
Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante : m. decrevoisier A-R-0-B-A-5 outlook . com
Kali linux pour les hackers : Le guide étape par étape du débutant pour apprendre le système d’exploitation des hackers éthiques et comment attaquer et défendre les systémes