title: Howto OpenSSH
* Documentation : <>
[OpenSSH]( est l'implémentation la plus répandue du protocole SSH permettant de se connecter sur une machine à travers le réseau de manière sécurisée.
OpenSSH est développé par le projet [OpenBSD](HowtoOpenBSD), il
fait partie du projet [OpenBSD](HowtoOpenBSD) et permet de nombreuses fonctionnalités : SFTP, gestion de clés, tunnels, VPN, etc.
Ce protocole existe en plusieurs
versions et nous utilisons uniquement la version 2. La version 1
comporte des failles de sécurité et ne doit plus être utilisée.
## Installation
### Debian
On peut installer les parties client et serveur indépendamment :
# apt install openssh-client
# ssh -V
OpenSSH_7.4p1 Debian-10+deb9u1, OpenSSL 1.0.2l 25 May 2017
# apt install openssh-server
# nc localhost 22
SSH-2.0-OpenSSH_7.4p1 Debian-10+deb9u1
# systemctl status ssh
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
Main PID: 1715 (sshd)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/ssh.service
└─1715 /usr/sbin/sshd -D
### OpenBSD
Les parties client et serveur sont incluses dans la base OpenBSD.
$ ssh -V
OpenSSH_7.5, LibreSSL 2.5.2
La partie serveur est activée par défaut, sauf mention contraire à l'installation.
# grep -r sshd /etc/rc.conf*
# rcctl enable sshd
## Configuration
### Configuration sshd_config
Fichiers de configuration :
├── moduli
├── ssh_config
├── sshd_config
├── ssh_host_ecdsa_key
├── ssh_host_ed25519_key
├── ssh_host_rsa_key
La configuration de base qu'on utilise (les options commentées sont
les valeurs par défaut).
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $
2017-10-25 22:20:04 +02:00
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
#Port 22
#AddressFamily any
2017-10-26 18:05:10 +02:00
#ListenAddress ::
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key
# Ciphers and keying
#RekeyLimit default none
# Logging
2017-10-26 18:05:10 +02:00
#SyslogFacility AUTH
2017-10-25 22:20:04 +02:00
# Authentication:
2017-10-26 18:05:10 +02:00
#LoginGraceTime 2m
2017-10-28 21:21:20 +02:00
PermitRootLogin no
2017-10-26 18:05:10 +02:00
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#PubkeyAuthentication yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
2017-10-28 21:21:20 +02:00
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
2017-10-26 18:05:10 +02:00
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
2017-10-26 18:05:10 +02:00
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
2017-10-26 18:05:10 +02:00
#IgnoreRhosts yes
2017-10-25 22:20:04 +02:00
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
2017-10-26 18:05:10 +02:00
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
2017-10-26 18:05:10 +02:00
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
2017-10-26 18:05:10 +02:00
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
2017-10-26 18:05:10 +02:00
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
2017-10-26 18:05:10 +02:00
#UsePrivilegeSeparation sandbox
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none
# no default banner path
#Banner none
# Allow client to pass locale environment variables
#AcceptEnv LANG LC_*
# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server -l INFO
2017-10-26 18:05:10 +02:00
# Example of overriding settings on a per-user basis
#Match User anoncvs
2017-10-28 21:21:20 +02:00
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server
2017-10-28 21:21:20 +02:00
AllowUsers jdoe alice bob
2017-10-26 18:05:10 +02:00
Match Address
PasswordAuthentication yes
Match User alice bob
PasswordAuthentication no
2017-10-26 18:05:10 +02:00
Match Group adm
PasswordAuthentication no
### Configuration ssh_config
On peut configurer la partie client via le fichier `~/.ssh/config`.
On peut ainsi passer certaines options générales :
UseRoaming no
User jdoe
IdentityFile ~/.ssh/id_ed25519
IdentityFile ~/.ssh/id_rsa
On peut aussi passer des options spécifiques à chaque serveur distant sur lequel on va se connecter.
On définit ainsi des *alias* (utilisables ensuite via `ssh`) et des options correspondantes :
Host foo
Port 2222
User john
IdentityFile ~/.ssh/id_bastion_ed25519
ProxyCommand ssh -W %h:%p
ProxyCommand ssh -W john@
Host switch42
User admin
ProxyCommand sh -c "nc -w1 %h %p 2>/dev/null || ssh -W %h:%p"
KexAlgorithms diffie-hellman-group1-sha1
## SCP
Le protocole SCP (Secure Copy) est basé sur SSH, il permet de transférer des fichiers entre deux machines distantes de façon sécurisée.
2017-10-28 21:21:20 +02:00
$ scp /foo/FICHIER
2017-10-28 21:21:20 +02:00
$ scp -r /foo/
* `-P 2222` : utilise le port 2222 pour le serveur distant (malheureusement différent de `ssh`…)
* `-q` : mode silencieux
* `-C` : active la compression
* `-i identity_file` : utilise une clé SSH spécifique
Le protocole SFTP correspond au **SSH File Transfer Protocol** : c'est une extension du protocole SSH qui permet non seulement de transférer des fichiers (comme [SCP](HowtoOpenSSH#scp)) mais aussi d'avoir des fonctionnalités plus avancées (listing de répertoire, suppression de fichiers, etc.) similaire au vieux protocole FTP.
### chroot SFTP
On peut restreindre un accès SFTP dans un répertoire, les utilisateurs n'auront accès qu'à une vue limitée de l'arborescence du système.
Pour mettre en place un chroot SFTP, on crée un répertoire `/home/sftp` et un groupe `sftp` :
# mkdir /home/sftp
# chown root:sftp /home/sftp
# chmod 750 /home/sftp
# groupadd sftp
et on configure via `/etc/ssh/sshd_config` :
Subsystem sftp internal-sftp
Match group sftp
ChrootDirectory /home/sftp
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
On peut ensuite créer un utilisateur restreint :
# useradd -g sftp -d /jdoe jdoe
# mkdir /home/sftp/jdoe/
# chown jdoe:sftp /home/sftp/jdoe/
# chmod 700 /home/sftp/jdoe/
2017-10-28 21:21:20 +02:00
On peut restreindre un utilisateur au protocole SFTP.
Il faut s'assurer que `/usr/lib/sftp-server` soit un shell valide et lui définir comme shell par défaut :
# echo '/usr/lib/stfp-server' >> /etc/shells
2017-10-28 21:21:20 +02:00
# usermod -s /usr/lib/sftp-server userna
## Clé SSH
2017-10-28 21:21:20 +02:00
Il y a plusieurs types de clé, avec suivant les algorithmes, des tailles de clés variables ou non.
L'algorithme que nous conseillons est *ed25519* mais attention, ce n'est pas supporté sur des anciennes machines (Debian 7 par exemple) où il faudrait utiliser l'algorithme *RSA* (on conseille alors d'utiliser une taille de clé de 4096).
Pour générer une clé SSH *ed25519* :
$ ssh-keygen -t ed25519 -a 100
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/jdoe/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/jdoe/.ssh/id_ed25519.
Your public key has been saved in /home/jdoe/.ssh/
The key fingerprint is:
The key's randomart image is:
+--[ED25519 256]--+
| o.*oB&**.|
| * =+.#Oo|
| o .+*+o|
| . . .oo |
| S .. |
| . = . |
| + + . . |
| o o. . |
| o+E. |
> *Note* : l'option -a 100` spécifie le nombre d'itérations de l'algorithme de dérivation de clé qui protège la clé privée avec la passphrase utilisée. Cela protège la clé privée contre le brute-force de la passphrase. Mais attention, plus ce nombre est grand, plus le déchiffrement de la clé est ralenti. Un bon compromis est *100* en nombre d'itérations.
Pour générer une clé SSH *RSA* :
$ ssh-keygen -o -t rsa -b 4096 -a 100
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jdoe/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/jdoe/.ssh/id_rsa.
Your public key has been saved in /home/jdoe/.ssh/
The key fingerprint is:
The key's randomart image is:
+---[RSA 4096]----+
| o+. .+o= |
| .o ...E.o |
|oo. + o* |
|.oo = oo++. |
|.. .+.S+. . |
| . . .o * o |
|+ =. o o |
| X .. . . |
|. . .o.o |
> *Note* : dans le cas de *RSA*, on utilise [l'argument`-o`]( afin que la clé privée utilise le nouveau format qui est à la fois [standard]( et plus résistant aux attaques par brute-force.
### authorized_keys
Pour autoriser une connexion avec une clé SSH, il faut la placer dans le fichier `~/.ssh/authorized_keys` et ajuster les droits :
$ ssh mkdir -p ~/.ssh
$ ssh chmod 700 ~/.ssh
$ scp ~/.ssh/
$ ssh chmod 600 ~/.ssh/authorized_keys
Pour faire cela de façon plus simple, on peut utiliser le script `ssh-copy-id` :
$ ssh-copy-id
> *Note* : pour préciser un port alternatif, on peut utiliser l'option `-p NN` depuis Debian 8. En Debian 7, il faut utiliser `ssh-copy-id "-pNN"`
On peut mettre des restrictions d'accès via le fichier `.ssh/authorized_keys`, par exemple :
no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa XXXXX commentaires
### Agent SSH
2017-10-28 21:21:20 +02:00
Il est important de protéger une clé SSH utilisée par humain par une passphrase.
Pour éviter de taper sa passphrase à chaque utilisation, on peut utiliser un *agent SSH* qui va la retenir en mémoire.
2017-10-28 21:21:20 +02:00
En général, un agent SSH est lancé par son Window Manager.
2017-10-20 21:12:10 +02:00
eval $(ssh-agent) 1> /dev/null
2017-10-28 21:21:20 +02:00
Une fois lancé, l'agent ouvre une socket Unix dans `$TMPDIR/ssh-XXXXXXXXXX/agent.PPID` et la rend disponible via les variables d'environnement suivantes :
On peut alors lancer la commande `ssh-add` qui va nous demander notre passphrase et la transmettre à l'agent SSH :
$ ssh-add -t 36000
Enter passphrase for /home/jdoe/.ssh/id_ed25519:
Identity added: /home/jdoe/.ssh/id_ed25519 (/home/jdoe/.ssh/id_ed25519)
> *Note* : l'option [-t]( permet de limiter à 10h le temps où l'agent va conserver la passphrase en mémoire. Si l'option n'est pas utilisée, ce temps sera infini, ce que l'on déconseille en général.
On peut également utiliser l'outil [keychain]( qui facilite l'utilisation d'un agent SSH (et d'un agent GPG).
Il va notamment lancer les agents si ils ne sont pas encore lancés, et transmettre plusieurs clés SSH si besoin.
$ keychain id_ed25519 id_rsa --timeout 600
* keychain 2.7.1 ~
* Starting ssh-agent...
* Starting gpg-agent...
* Adding 2 ssh key(s): /home/jdoe/.ssh/id_ed25519 /home/jdoe/.ssh/id_rsa
Enter passphrase for /home/jdoe/.ssh/id_ed25519:
* ssh-add: Identities added: /home/jdoe/.ssh/id_ed25519 /home/jdoe/.ssh/id_rsa (life=600m)
> *Note* : on pourra bien sûr lancer *keychain* via son `~/.profile`
Enfin, il existe d'autres implémentations d'agent SSH, notamment `gpg-agent`.
## Tunnel SSH
Un tunnel SSH permet d'accéder à une ressource distante via une connexion SSH.
Cela s'utilise classiquement pour accéder à un service distant non accessible directement.
### Tunnel SSH vers un service
Exemple simple : on veut accéder à un service MySQL accessible en local sur un serveur distant.
On lance la commande suivante :
2017-10-28 21:21:20 +02:00
$ ssh -L 3306:
2017-10-28 21:21:20 +02:00
Et l'on pourra accéder au service MySQL sur sa propre machine via port 3306.
2017-10-28 21:21:20 +02:00
Si le service MySQL est sur une 3ème machine (accessible depuis le serveur distant), il suffit de préciser son IP avec l'option `-L` :
2017-10-28 21:21:20 +02:00
$ ssh -L 3306:
2017-10-28 21:21:20 +02:00
On peut bien sûr utiliser un port différent pour sa propre machine, par exemple 8306 :
2017-10-28 21:21:20 +02:00
$ ssh -L 8306:
2017-10-28 21:21:20 +02:00
De même, si l'on veut se « binder » sur une autre IP que sur sa propre machine, on peut le préciser avec l'option `-L` :
2017-10-28 21:21:20 +02:00
$ ssh -L
2017-10-28 21:21:20 +02:00
Enfin il faut noter que si l'on veut utiliser un port local inférieur à 1024, il faudra lancer la commande en "root" :
2017-10-28 21:21:20 +02:00
# ssh -L 443:
2017-10-28 21:21:20 +02:00
### Proxy SOCKS via SSH
2017-10-28 21:21:20 +02:00
On peut lancer un proxy SOCKS passant par un serveur distant ainsi :
2017-10-28 21:21:20 +02:00
$ ssh -D 6789
2017-10-28 21:21:20 +02:00
Il reste ensuite à configurer le logiciel qui va utiliser ce proxy SOCKS (4a ou 5) avec l'adresse et le port 6789.
C'est ainsi pratique avec un navigateur où l'ensemble du trafic vers le web passera ainsi par le serveur distant.
## Astuces
2017-10-28 21:21:20 +02:00
### Séquences d'échappement SSH
2017-10-28 21:21:20 +02:00
On peut utiliser des combinaisons de touches spéciales via une connexion SSH pour intéragir sur la connexion en cours.
En tapant `Entrée + ~ + ?` on obtient la liste des séquences possibles :
2017-10-28 21:21:20 +02:00
Supported escape sequences:
~. - terminate connection (and any multiplexed sessions)
~B - send a BREAK to the remote system
~C - open a command line
~R - request rekey
~V/v - decrease/increase verbosity (LogLevel)
~^Z - suspend ssh
~# - list forwarded connections
~& - background ssh (when waiting for connections to terminate)
~? - this message
~~ - send the escape character by typing it twice
(Note that escapes are only recognized immediately after newline.)
Voici les séquences les plus utiles :
* `Entrée + ~ + .` : forcer à terminer la connexion SSH en cours (utile en cas de perte de connexion…)
* `Entrée + ~ + v` : diminue la verbosité, par exemple quand on s'est connecté avec `ssh -vvv`
2017-10-28 21:21:20 +02:00
### Connexion SSH par rebond
Il se peut qu'on doive passer par une machine pour se connecter en SSH à une machine cible (c'est le principe d'un [bastion](
On peut ainsi se connecter avec `-o ProxyCommand` :
ssh -o ProxyCommand="ssh -W"
Dans les versions récentes d'OpenSSH (notamment sur Debian 9) il existe une méthode plus simple :
2017-10-28 21:21:20 +02:00
$ ssh -J
2017-10-28 21:21:20 +02:00
> *Note* : il ne faut pas utiliser l'option `-A` pour rebondir car elle est dangereuse, à moins que vous ne voulez vraiment faire du [Agent forwarding](HowtoOpenSSH#agent-forwarding)
2017-10-28 21:21:20 +02:00
### Agent forwarding
Si vous voulez utiliser une [clé SSH](HowtoOpenSSH#cle-SSH) locale depuis un serveur distant, vous pouvez utiliser l'option `-A` :
$ ssh -A
$ env | grep ^SSH_A
> *Note* : attention, cette option doit être utilisée en connaissance de cause car l'utilisateur *root* sur la machine ** aura accès à vos clés et donc aux machines distantes auxquelles vous avez accès avec vos clés.
2017-10-28 21:21:20 +02:00
### VPN over SSH
On peut utiliser OpenSSH comme VPN !
Côté serveur, vous devez :
- Ajouter `PermitTunnel yes`
- Autoriser l'IP Forwarding : `sysctl -w net.ipv4.ip_forward=1`
- Si besoin, mettre une règle de NAT, par exemple sous Linux : `iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE`
Pour lancer le connexion VPN, on fera :
# ssh -w 42:42
2017-10-28 21:21:20 +02:00
On a ensuite un périphérique `tun42` utilisable des 2 côtés à configurer.
- Côté serveur SSH : `ifconfig tun42`
- Côté client SSH : `ifconfig tun42`
2017-10-28 21:21:20 +02:00
On peut alors enfin configurer le routage au niveau client, par exemple sous Linux :
2017-10-28 21:21:20 +02:00
# ip route add via dev tun42`
2017-10-28 21:21:20 +02:00
### UserKnownHostsFile
OpenSSH se sert du fichier `~/.ssh/known_hosts` pour retenir le fingerprint de chaque connexion effectuée.
Cela lui permet de détecter un changement des clés du serveur, notamment une tentative d'usurpation d'un serveur :
2017-10-28 21:21:20 +02:00
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
2017-10-28 21:21:20 +02:00
2017-10-28 21:21:20 +02:00
$ ssh-keygen -f "~/.ssh/known_hosts" -R
On peut également désactiver cette vérification en utilisant un fichier alternatif :
$ ssh -o UserKnownHostsFile=/dev/null
### ControlMaster
OpenSSH peut permettre de réutiliser une connexion en cours pour d'autres connexions via l'option `ControlMaster`.
Si l'on veut activer ce comportement, on pourra ajouter dans `~/.ssh/config` :
ControlMaster auto
ControlPath ~/.ssh/ssh_control_%h_%p_%r
[SSHFS]( permet de créer des montages via une connexion SSH :
# apt install sshfs
$ sshfs /mnt
$ fusermount -u /mnt/ssh
## FAQ
### Obtenir l'empreinte de la clé publique du serveur
$ ssh-keygen -lf /etc/ssh/clé.pub
### Regénérer les clés du serveur
#### Sous Debian :
# rm -i /etc/ssh/ssh_host_*
# dpkg-reconfigure openssh-server
Creating SSH2 RSA key; this may take some time ...
Creating SSH2 DSA key; this may take some time ...
Restarting OpenBSD Secure Shell server: sshd.
#### Sous OpenBSD :
# rm -i /etc/ssh/ssh_host_*
# ssh-keygen -A
ssh-keygen: generating new host keys: RSA DSA ECDSA ED25519
À noter que c'est fait à chaque boot (via */etc/rc*), si les clés
n'existent pas donc une autre solution est de supprimer les clés et de
### reload/restart le démon ssh sur Debian sans passer par le script d'init
Pour reload :
# start-stop-daemon --stop --signal 1 --quiet --oknodo --pidfile /var/run/ --exec /usr/sbin/sshd
Pour redémarrer :
# start-stop-daemon --stop --quiet --oknodo --retry 30 --pidfile /var/run/
# start-stop-daemon --start --quiet --pidfile /var/run/ --exec /usr/sbin/sshd
### Peut-on encore utiliser une clé SSH DSA ?
Les clés SSH avec l'algorithme DSA sont dépréciées depuis Stretch.
### Limitation du temps de connexion via SSH
On peut limiter le temps d'une connexion SSH inactive en utilisant la variable d'environnement *TMOUT*.
On peut provoquer une déconnexion automatique au bout d'1h d'activité en positionnant :
export TMOUT=3600
À l'inverse, si l'on veut éviter une déconnexion automatique quand cette variable est positionnée, on peut la supprimer ou l'augmenter :
$ unset TMOUT
$ export TMOUT=999999
