2017-10-19 17:47:17 +02:00
categories: OpenBSD sysadmin
title: Howto SSH
...
* Documentation : < https: // www . openssh . com / manual . html >
SSH est un protocol réseau permettant de se connecter sur une machine
à travers le réseau de manière sécurisée. Nous utilisons
l'implémentation la plus répandue : OpenSSH. Ce protocol existe en
plusieurs versions et nous utilisons uniquement la version 2. La
version 1 comporte des failles de sécurité et ne doit plus être utilisée.
2016-12-29 11:25:39 +01:00
# Howto SSH : Secure SHell
2017-10-19 17:50:07 +02:00
## Installation
### Debian
~~~
# apt install openssh-server
~~~
### OpenBSD
OpenSSH étant développé au sein d'OpenBSD, la partie cliente et la
partie serveur sont incluses dans la base. L'activation de la partie
serveur dépend du choix qui a été fait lors de l'installation.
2016-12-29 11:25:39 +01:00
## Administration SSH
2017-10-19 17:53:21 +02:00
### Obtenir l'empreinte de la clé publique (RSA) du serveur
2017-01-03 11:20:35 +01:00
2016-12-29 11:25:39 +01:00
~~~
2017-10-19 17:53:21 +02:00
$ ssh-keygen -lf /etc/ssh/clé.pub
2016-12-29 11:25:39 +01:00
~~~
2017-10-19 17:53:21 +02:00
### Regénérer les clés RSA/DSA du serveur
2017-01-03 11:20:35 +01:00
2017-10-19 17:53:21 +02:00
Sous Debian :
2017-01-03 11:20:35 +01:00
2016-12-29 11:25:39 +01:00
~~~
# mv /etc/ssh/{moduli,*key*} /tmp/ssh/
# dpkg-reconfigure openssh-server
Creating SSH2 RSA key; this may take some time ...
Creating SSH2 DSA key; this may take some time ...
Restarting OpenBSD Secure Shell server: sshd.
~~~
2017-10-19 17:55:23 +02:00
Sous OpenBSD :
~~~
# ssh -A
ssh-keygen: generating new host keys: RSA DSA ECDSA ED25519
~~~
À noter que c'est fait à chaque boot si les clés n'existent pas donc
une autre solution est de supprimer les clés et de rebooter.
2016-12-29 11:25:39 +01:00
## SFTP chroot
Voici un ensemble de commandes pouvant être utilisées pour mettre en place un accès SFTP pour un ou plusieurs utilisateurs, qui n'auront accès qu'à une vue limitée de l'arborescence du système :
~~~
# Répertoire dans lequel SSHD va se chrooter
mkdir /home/sftp
chmod 755 /home/sftp
# Les utilisateurs du groupe sftp (ici account1) disposeront de l'accès SFTP restreint
groupadd sftp
useradd -g sftp -d /account1 account1
mkdir /home/sftp/account1/
chown account1:sftp /home/sftp/account1/
chmod 700 /home/sftp/account1/
~~~
Dans le fichier /etc/ssh/sshd_config :
~~~
Subsystem sftp internal-sftp
Match group sftp
ChrootDirectory /home/sftp
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
~~~
2017-10-19 17:56:06 +02:00
## Restriction de l'accès d'une clé ssh
2016-12-29 11:25:39 +01:00
Pour autoriser une clé SSH en limitant les accès via _.ssh/authorized_keys_ :
~~~
no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa XXXXX commentaires
~~~
## SFTP Only
Mettre shell /usr/lib/sftp-server pour l'utilisateur et s'assurer que ce shell est bien présent dans /etc/shells
2017-01-03 11:20:35 +01:00
2016-12-29 11:25:39 +01:00
~~~
# usermod -s /usr/lib/sftp-server userna
# echo '/usr/lib/stfp-server' >> /etc/shells
~~~
## VPN over SSH
Côté serveur SSH :
- Ajouter "PermitTunnel yes" dans la config ssh
- sysctl -w net.ipv4.ip_forward=1
- iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Puis se connecter de root vers root :
~~~
# ssh -w 42:42 ssh.example.com
~~~
On a ensuite un périphérique "tun42" utilisable des 2 côtés à configurer.
Serveur SSH : ifconfig tun42 172.17.18.2/24
En local : ifconfig tun42 172.17.18.1/24
On peut alors router au niveau IP :
ip route add 8.8.8.8/32 via 172.17.18.2 dev tun42
2017-09-08 21:08:37 +02:00
## Log verbeux pour SFTP
Pour augmenter la verbosité du sous-système sftp-server, notamment loguer les commandes SFTP, il suffit de passer l'option -l à l'appel de sftp-server dans sshd_config :
~~~
Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO
~~~
