relecture et compléments avant publication

2017-10-29 01:40:29 +02:00 · 2017-10-29 01:40:29 +02:00 · d83595c102
parent 50b533dd90
commit d83595c102
1 changed files with 142 additions and 10 deletions
--- a/HowtoOpenSSH.md
+++ b/HowtoOpenSSH.md
@ -6,13 +6,8 @@ title: Howto OpenSSH
 * Documentation : <https://www.openssh.com/manual.html>

 [OpenSSH](https://www.openssh.com/) est l'implémentation la plus répandue du protocole SSH permettant de se connecter sur une machine à travers le réseau de manière sécurisée.
-OpenSSH est développé par le projet [OpenBSD](HowtoOpenBSD), il
+OpenSSH est développé par le projet [OpenBSD](HowtoOpenBSD) avec une grande attention sur la sécurité. Il offre de nombreuses fonctionnalités : SCP, SFTP, clés SSH, tunnels, VPN, etc.

-fait partie du projet [OpenBSD](HowtoOpenBSD) et permet de nombreuses fonctionnalités : SFTP, gestion de clés, tunnels, VPN, etc.
-
-Ce protocole existe en plusieurs
-versions et nous utilisons uniquement la version 2. La version 1
-comporte des failles de sécurité et ne doit plus être utilisée.

 ## Installation

@ -243,6 +238,8 @@ Host foo ssh.example.com
 Host sql.example.com
    IdentityFile ~/.ssh/id_bastion_ed25519
    ProxyCommand ssh bastion.example.com -W %h:%p
+    StrictHostKeyChecking no
+    UserKnownHostsFile /dev/null

 Host nfs.example.com
    ProxyCommand ssh -W bastion.example.com:2222 john@192.0.2.111
@ -281,7 +278,18 @@ Options utiles pour `scp` :

 ## SFTP

-Le protocole SFTP correspond au **SSH File Transfer Protocol** : c'est une extension du protocole SSH qui permet non seulement de transférer des fichiers (comme [SCP](HowtoOpenSSH#scp)) mais aussi d'avoir des fonctionnalités plus avancées (listing de répertoire, suppression de fichiers, etc.) similaire au vieux protocole FTP.
+Le protocole SFTP correspond au **SSH File Transfer Protocol** : c'est une extension du protocole SSH qui permet non seulement de transférer des fichiers (comme [SCP](HowtoOpenSSH#scp)) mais aussi d'avoir des fonctionnalités plus avancées (listing de répertoire, suppression de fichiers, etc.) similaire au vieux protocole FTP :
+
+~~~
+$ sftp ssh.example.com
+Connected to ssh.example.com.
+sftp> ls
+sftp> lls
+sftp> pwd
+sftp> get FICHIER
+sftp> put FICHIER
+sftp> bye
+~~~

 ### chroot SFTP

@ -418,7 +426,7 @@ no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa XXXXX co
 ### Agent SSH

 Il est important de protéger une clé SSH utilisée par humain par une passphrase.
-Pour éviter de taper sa passphrase à chaque utilisation, on peut utiliser un *agent SSH* qui va la retenir en mémoire.
+Pour éviter de taper sa passphrase à chaque utilisation, on peut utiliser un *agent SSH* qui va retenir la clé SSH en mémoire.

 En général, un agent SSH est lancé par son Window Manager.
 Sinon, on peut le lancer automatiquement via son `~/.profile` :
@ -434,7 +442,7 @@ SSH_AUTH_SOCK=/tmp/ssh-IklIVmCGvWgT/agent.1151
 SSH_AGENT_PID=1198
 ~~~

-On peut alors lancer la commande `ssh-add` qui va nous demander notre passphrase et la transmettre à l'agent SSH :
+On peut alors lancer la commande `ssh-add` qui va nous demander notre passphrase pour transmettre la clé à l'agent SSH :

 ~~~
 $ ssh-add -t 36000
@ -503,6 +511,16 @@ Enfin il faut noter que si l'on veut utiliser un port local inférieur à 1024,
 # ssh -L 443:127.0.0.1:443 ssh.example.com
 ~~~

+### Tunnel SSH inverse
+
+Si l'on est derrière une connexion NAT par exemple, on peut ouvrir un tunnel pour permettre une connexion distante depuis une machine accessible en SSH :
+
+~~~
+ssh -R 22000:127.0.0.1:22 ssh.example.com
+~~~
+
+Depuis *ssh.example.com* on peut ainsi accéder à la machine derrière le NAT via `ssh -p22000 127.0.0.1`.
+
 ### Proxy SOCKS via SSH

 On peut lancer un proxy SOCKS passant par un serveur distant ainsi :
@ -563,7 +581,7 @@ $ ssh -J bastion.example.com cible.example.com

 ### Agent forwarding

-Si vous voulez utiliser une [clé SSH](HowtoOpenSSH#cle-SSH) locale depuis un serveur distant, vous pouvez utiliser l'option `-A` :
+Si vous voulez utiliser une [clé SSH](HowtoOpenSSH#cle-SSH) locale depuis un serveur distant, vous pouvez utiliser l'option `-A` qui va rendre votre agent local accessible depuis le serveur distant :

 ~~~
 $ ssh -A ssh.example.com
@ -573,6 +591,12 @@ SSH_AUTH_SOCK=/tmp/ssh-sUSruIwyCa/agent.3265

 > *Note* : attention, cette option doit être utilisée en connaissance de cause car l'utilisateur *root* sur la machine *ssh.example.com* aura accès à vos clés et donc aux machines distantes auxquelles vous avez accès avec vos clés.

+On peut également ajouter les clés SSH présentes sur un serveur distant en faisant :
+
+~~~
+$ ssh ssh.example.com -t -A ssh-add
+~~~
+
 ### VPN over SSH

 On peut utiliser OpenSSH comme VPN !
@ -625,6 +649,50 @@ On peut également désactiver cette vérification en utilisant un fichier alter
 $ ssh -o UserKnownHostsFile=/dev/null ssh.example.com
 ~~~

+On peut également générer à l'avance les fingerpints dans un fichier `~/.ssh/known_hosts2` (utilisé par défaut).
+
+Pour générer les fingerprints, on peut utiliser la commande `ssh-keyscan` :
+
+~~~
+$ ssh-keyscan ssh.example.com
+ssh.example.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2nP2WzQ8hkZDiEq5+QSGFhTB7SYfRa7/IG0gMOIoCDXH8b3sfsBUUEL8ZSFaWgNKskUnpgg/fqAhvnDLOPskr3OGXRfrCR68fCqn5H1zBrHB1kpdjPW9ezUe1xoY3hGp6LITANHWpZie1wBjYAzaBO70hNAo4JMCQvZXDsQdyws2DRSuYtiAoG/ZY0+t2VZh3MJLcofv1wNo43M+aHJR2xWmQSE7cWjMlcw/QOmsWJBv1+Kb/nK2Q7buX/byvY8ySu5ydATnyEinzbutZXc/t/FioOtWMeqh6NlD3aPGIpUTmf8ow+c1QwZWOC3T2GWyTD5KVmAZSm77lWkpYFcd1
+ssh.example.com ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBsUneE642qr/kzKwJcKl9Cgog/kgCqRLZwZs4J7RRt8
+~~~
+
+Puis l'on crée un fichier contenant :
+
+~~~
+example-ssh,ssh.example.com,192.0.2.42 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2nP2WzQ8hkZDiEq5+QSGFhTB7SYfRa7/IG0gMOIoCDXH8b3sfsBUUEL8ZSFaWgNKskUnpgg/fqAhvnDLOPskr3OGXRfrCR68fCqn5H1zBrHB1kpdjPW9ezUe1xoY3hGp6LITANHWpZie1wBjYAzaBO70hNAo4JMCQvZXDsQdyws2DRSuYtiAoG/ZY0+t2VZh3MJLcofv1wNo43M+aHJR2xWmQSE7cWjMlcw/QOmsWJBv1+Kb/nK2Q7buX/byvY8ySu5ydATnyEinzbutZXc/t/FioOtWMeqh6NlD3aPGIpUTmf8ow+c1QwZWOC3T2GWyTD5KVmAZSm77lWkpYFcd1
+example-ssh,ssh.example.com,192.0.2.42 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBsUneE642qr/kzKwJcKl9Cgog/kgCqRLZwZs4J7RRt8
+~~~
+
+Ce fichier contenant les fingerprints peut aussi être placé dans `/etc/ssh/ssh_known_hosts` ou `/etc/ssh/ssh_known_hosts2` et sera ainsi utilisé par défaut par tous les utilisateurs d'une machine.
+
+Une autre technique pour vérifier un fingerprint est d'avoir des enregistrements DNS SSHFP.
+On peut les générer à l'aide de la commande `ssh-keygen` :
+
+~~~
+$ ssh-keygen -r ssh.example.com
+ssh.example.com IN SSHFP 1 1 b0db7dbfe0775199662453c9d6eace6f993b9fdc
+ssh.example.com IN SSHFP 1 2 13e60f2c4d2848aea91c420b783273afe6c23efd23818ab220f167a53a0be886
+ssh.example.com IN SSHFP 2 1 c2ea7d50f05af4cabc8e6add3491a08654127f83
+ssh.example.com IN SSHFP 2 2 1222b6f7ad0d3447a31e3cba1af2eaf8aab7316570b63cc3eccdd4d865fee474
+ssh.example.com IN SSHFP 3 1 d93dbd0af9c7fd456b3fa4e9094ede031791da84
+ssh.example.com IN SSHFP 3 2 3b885c365ae3cebab6dea63b3eb697d2060d9da906e129011841d665a4ccfe4f
+ssh.example.com IN SSHFP 4 1 39d521c3d4b6f672149c1cc053014c9ebdfd4727
+ssh.example.com IN SSHFP 4 2 0f28d1764793b519c9c74bfb7c6d0dc9b980bdf22c68d1e324d19247d8cbe161
+~~~
+
+On peut ainsi vérifier à la connexion :
+
+~~~
+$ ssh -o "VerifyHostKeyDNS ask" ssh.example.com
+The authenticity of host 'ssh.example.com (192.0.2.42)' can't be established.
+ED25519 key fingerprint is SHA256:sln94vzrKSsTezPvT6pyO/Glavvl7/Ao8Wcd46BeRb0.
+Matching host key fingerprint found in DNS.
+Are you sure you want to continue connecting (yes/no)?
+~~~
+
 ### ControlMaster

 OpenSSH peut permettre de réutiliser une connexion en cours pour d'autres connexions via l'option `ControlMaster`.
@ -645,6 +713,23 @@ $ sshfs ssh.example.com:/foo/bar /mnt
 $ fusermount -u /mnt/ssh
 ~~~

+### X Forwarding
+
+SSH peut créer automatiquement un tunnel et gérer la variable $DISPLAY pour afficher en local les applications graphiques distantes.
+Côté serveur, il faut la présence du package `xauth` et l'option `X11Forwarding yes` dans la configuration SSH.
+On peut alors lancer :
+
+~~~
+$ ssh -X ssh.example.com
+$ xlogo
+~~~
+
+### mosh
+
+<https://mosh.org/>
+
+En cas de connexion réseau avec une latence ou de la perte de paquets, une alternative à OpenSSH est **mosh**.
+

 ## FAQ

@ -713,3 +798,50 @@ $ unset TMOUT
 $ export TMOUT=999999
 ~~~

+### Comment lister les clés SSH en mémoire d'un agent SSH ?
+
+On peut utiliser la commande `ssh-add -l` :
+
+~~~
+$ ssh-add -l
+256 71:fd:ba:ef:aa:94:27:14:05:d8:b6:db:28:e4:65:c2 /home/jdoe/.ssh/id_ed25519 (ED25519)
+2048 2b:c8:ae:c0:d3:25:93:83:d4:41:4d:21:1e:80:2f:f4 rsa w/o comment (RSA)
+~~~
+
+À noter que l'on peut forcer un agent SSH à oublier les clés SSH à l'aide d'une des deux commandes suivantes :
+
+~~~
+$ ssh-add -D
+All identities removed.
+
+$ keychain --clear
+ * ssh-agent: All identities removed.
+ * gpg-agent: All identities removed.
+~~~
+
+On peut aussi verrouiller temporairement son agent SSH via :
+
+~~~
+$ ssh-add -x
+Enter lock password: 
+Again: 
+Agent locked.
+
+$ ssh-add -l
+The agent has no identities.
+
+$ ssh-add -X
+Enter lock password: 
+Agent unlocked.
+~~~
+
+### Comment protéger un serveur SSH des attaques ?
+
+Voici plusieurs méthodes pour protéger son serveur SSH (qui peuvent se cumuler)
+
+- ne pas ouvrir son port SSH à l'extérieur à l'exception de certaines adresses IP
+- modifier le port d'écoute de son serveur SSH pour diminuer un peu les attaques automatiques (`Port 2200` dans *sshd_config*)
+- utiliser du Port Knocking pour camoufler son port SSH
+- ne pas autoriser les connexions SSH avec un mot de passe (`PasswordAuthentication no` dans *sshd_config*)
+- configurer [Fail2Ban](HowtoFail2Ban) pour bannir les adresses IP qui se trompent de mot de passe
+