Atelier sur openssh 1. La thorie 2. 1. Dfinition 2.

SSH (Secure Shell) dsigne un ensemble de commandes et de protocoles qui remplacent les commandes remote (rlogin, rsh, rcp, telnet), en offrant, en plus, la confidentialit des changes et l'authentification des correspondants. OpenSSH supporte les algorithmes de chiffrement DES, BlowFish, RSA, DSA, etc ... 2. Les principaux composants de ssh 3. sshd le logiciel serveur, actif sur le port TCP 22, qui ouvre une session partir d'une connexion d'un client ssh. ssh : le logiciel client qui remplace rsh et rlogin scp : le logiciel client qui remplace rcp ssh-keygen : le logiciel qui sert crer des couples de cls publiques/prives. 3. Les fichiers 4. ~/.ssh/known_hosts contient une copie des cls publiques des serveurs avec lesquels on dialogue. Ces cls permettent leur authentification. /etc/ssh/ssh_host_key.pub La cl publique RSA sshv1 du serveur. /etc/ssh/ssh_host_rsa_key.pub La cl publique RSA SSHv2 du serveur /etc/ssh/ssh_host_dsa_key.pub La cl publique DSA SSHv2 du serveur /etc/ssh/sshd_config La configuration du serveur /etc/ssh/ssh_host_key /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_dsa_key /etc/ssh/ssh_config La configuration par dfaut des clients

Les cls prives du serveur ct client ~/.ssh/ssh_config ~/.ssh/identity ~/.ssh/id_rsa ~/.ssh/id_dsa ~/.ssh/identity.pub Pr. nabil benamar La configuration d'un client La cl prive RSA SSHv1 La cl prive RSA SSHv2 La cl prive DSA SSHv2 La cl pubique RSA SSHv1 1 ~/.ssh/id_rsa.pub La cl publique RSA SSHv2 ~/.ssh/id_dsa.pub La cl publique DSA SSHv2 ~/.ssh/authorized_keys Ce fichier, prsent sur le serveur, contient une copie des cls publiques des utilisateurs distants (une par ligne). 2. Le savoir pratique 3. dans cet atelier, on travaille en binme. Chacun peut tre le client ou le serveur du partenaire. Le nom de l'utilisateur rseau est guest sur une machine et dayf sur l'autre. Les membres d'un bine peuvent choisirent leur prnom la place. 1. Utilisation de SSH sans configuration 2. 1. Vrifiez si Openssh est install sur votre machine. Installez-le le cas chant 2.

$ dpkg-query -W|grep -i openssh 2. $ sudo apt-get install openssh-server 3. 3. $ sudo apt-get install openssh-client 4. 4. Le service SSH est-il actif ? Sinon activez-le $ netstat -an|grep ':22' $ sudo service ssh status $ sudo service ssh start 5. Sur le client et le serveur, crer un utilisateur. 6. useradd -d guest 7. 7. passwd guest 8. 8. Afficher l'empreinte de la cl RSA du serveur 9. 9. Dconnectez vous puis reconnectez-vous. Avez toujours le message warning ? Pourquoi ? 10. 10. diter le fichier ~/.ssh/known-hosts. Qu'est ce qu'il contient ? 11. Supprimez ce fichier et reconnectez vous au serveur. Qu'est ce que vous remarquez ? 12. 12. Quel est le message affich si vous essayez de se connecter avec un autre serveur de mme 13. adresse IP que le serveur auquel vous tes connect en premire tape ? 13. Copiez un fichier sur le serveur. $ scp /etc/profile dayf@10.1.1.1:/tmp/temp3e7P`dmlam_r3Payflt<$d c t6mp3e4dc1Pcd 13lt2.l m use`te l 18. sur la machine cliente, vrifier les droits de la cl secrte RSA 19. -rw------- 1 root root 1675 2011-10-25 21:19 /etc/ssh/ssh_host_rsa_key 19. redmarrez les service 20. 20. Modifiez la configuration globale du client en permettant authentification base sur l'hte remarque : il est consill de sauvegarder la configuration initiale des fichies ssh_conf et sshd_conf dans des fichiers part. 21. Tester votre configuration. Que remarquez-vous ? 22. 3. Authentification base sur la cl publique 4. Dans cette partie un utilisateur donn deux comptes de mme nom. L'un sur le poste client et l'autre sur le serveur. Il doit tre en mesure de se connecter son compte sur le serveur sans mot de

pass. 22. L'utilisateur cre un couple de cls publique/prive sur le poste client 23. $ ssh-keygen -t rsa 23. L'utilisateur copie sa cl publique sur le serveur 24. $scp .ssh/id_rsa.pub 10.1.1.2: 24. $ssh 10.1.1.2 cat id_rsa.pub '>>' .ssh/authorized_keys // il l'ajoute aux cls autorises. 25. 25. $ssh 10.1.1.2 chmod 600 .ssh/authorized_keys 26. testez la connexion. Que remarquez-vous ? 27. Remarque : Le mot de passe sera demand si vous avez configurez l'accs votre cl prive avec une phrase de passe ! 4. Utiliser un agent 5. 5. Utiliser le X-Forwarding 6. 27. Vrifiez si le serveur autorise le forwarding X11 $grep X11Forwarding /etc/ssh/sshd_config X11Forwarding yes nc28. partirqt rPng session shell en' postehnpy ga g ni d'une O snBqtn` d'Sn mode graphique sur le poste client, d SSRE