Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ssh [Le 22/04/2026, 18:00] – réorganisation et description : différenciation client / serveur krodelabestiole
+++ ssh [Le 07/05/2026, 17:43] (Version actuelle) – [Configuration du serveur] warning désactiver //toutes// les autres méthodes krodelabestiole
@@ Ligne 1: / Ligne 1: @@
-{{tag>administration sécurité serveur}}
+{{tag>administration sécurité serveur réseau partage}}
 {{ :logo_openssh.png?120|Puffy la mascotte de OpenSSH}}
@@ Ligne 36: / Ligne 36: @@
 **OpenSSH** se compose de deux outils principaux :
-  * Le **[[#serveur]]** doit être installé sur la machine -- distante -- //à laquelle// on souhaite se connecter, pour la contrôler, accéder à des fichiers, comme //[[:ssh_avance#tunneliser_sa_connexion_internet_par_ssh_sans_squid|proxy]]//, etc. (le terme //serveur// détermine aussi bien le service qui tourne sur l'ordinateur que l'oridnateur lui-même (pour plus d'information à ce sujet, voir la page //[[:Serveur]]//). Il est fournit par le paquet ''[[pu>openssh-server]]'', qui n'est généralement pas [[#Installation|installé]] par défaut.
+  * Le **[[#serveur]]** doit être installé sur la machine -- distante -- //à laquelle// on souhaite se connecter, pour la contrôler, accéder à des fichiers, l'utiliser comme //[[:ssh_avance#tunneliser_sa_connexion_internet_par_ssh_sans_squid|proxy]]//, etc. (le terme //serveur// détermine aussi bien le service qui tourne sur l'ordinateur que l'ordinateur lui-même (pour plus d'information à ce sujet, voir la page //[[:Serveur]]//). Il est fourni par le paquet ''[[pu>openssh-server]]'', qui n'est généralement pas [[#Installation|installé]] par défaut.
-  * Le **[[#client]]** est l'interface locale, avec laquelle on interagit directement, et qui permet de réaliser différentes tâches à distance. Pour **OpenSSH** il s'agit d'une application en ligne de commande fournie par le paquet ''[[pu>openssh-client]]'', installé par défaut sur Ubuntu. Celui-ci donne accès à la [[:console]] distante comme si elle était locale, via le [[:terminal]].
+  * Le **[[#client]]** est l'interface locale, avec laquelle on interagit directement, et qui permet de réaliser différentes tâches à distance. Pour **OpenSSH** il s'agit d'une application en ligne de commande fournie par le paquet ''[[pu>openssh-client]]'', installé par défaut sur Ubuntu. Celui-ci donne accès à la [[:console]] distante comme si elle était locale, via le [[:terminal]]. Mais il existe d'autres types de clients (voir l'introduction du chapitre //[[#Client]]//).
 ===== Serveur =====
@@ Ligne 44: / Ligne 44: @@
 Pour accéder à une machine à distance (ordinateur personnel, serveur distant qu'on administre, //box//, etc.), [[:deb#installer_un_paquet_deb|installer le paquet]] ''[[apt>openssh-server]]'' sur cette machine. Elle sera le //[[:serveur]]// SSH.
-On peut vérifier ce qui est déjà installé avec la commande :
-<code bash>ssh -V</code>
-qui devrait retourner une ligne du type ''OpenSSH_8.2p1 Ubuntu-4ubuntu0.12, OpenSSL 1.1.1f  31 Mar 2020''.
 La commande suivante permet de connaître la version de la bibliothèque [[wpfr>Transport_Layer_Security|TLS]] (anciennement SSL, le nom est resté) :
@@ Ligne 57: / Ligne 53: @@
 Il est notamment possible de :
-  * l'[[#activer]] ou l'[[#arrêter]] : pour par exemple désactiver momentanément le service
+  * le [[#démarrer]] ou l'[[#arrêter]] : pour par exemple désactiver momentanément le service
   * le [[#relancer]] : utile entre autre après une modification de la configuration.
-Vous trouverez en fin de cette page plus d'information sur la [[#configuration du serveur SSH]], //peu sécurisée par défaut//.
+Vous trouverez plus bas des information sur la [[#configuration du serveur]] SSH, //peu sécurisé par défaut//.
 === Vérifier le status ===
@@ Ligne 66: / Ligne 62: @@
 <code bash>sudo systemctl status ssh</code>
-=== Activer ===
+=== Démarrer ===
 Saisissez dans un [[:terminal]] la [[:commande_shell|commande]] suivante :
 <code bash>sudo systemctl start ssh</code>
@@ Ligne 78: / Ligne 74: @@
 ==== Configuration du serveur ====
-La configuration par défaut du serveur SSH sous Ubuntu est suffisante pour fonctionner correctement. Le fichier de configuration à [[:tutoriel:comment_editer_un_fichier|éditer avec les droits d'administration]] est  ''/etc/ssh/sshd_config''.
+<note warning>
+La configuration par défaut du serveur SSH sous Ubuntu est fonctionnelle, mais n'apporte pas un niveau de sécurité suffisant pour l'exposer sur Internet !
-Tableau des principales directives à modifier le cas échéant :
+Pour cela il faut forcer l'[[#authentification_par_un_systeme_de_cles_publiqueprivee|utilisation de clés]] et [[#désactiver toutes les autres méthodes d'authentification]].
+</note>
+Le fichier de configuration à [[:tutoriel:comment_editer_un_fichier|éditer avec les droits d'administration]] est ''/etc/ssh/sshd_config''.
+<note tip>
+Bien que ce soit rarement documenté, il peut être plus fiable de créer et éditer les directives de configuration dans un fichier ''/etc/ssh/sshd_config.d/custom.conf'' plutôt que directement dans ''/etc/ssh/sshd_config''.
+Ce fichier surchargera les valeurs déclarées dans ''/etc/ssh/sshd_config'' sans risquer d'être écrasé par une [[:upgrade|mise à niveau majeure]].
+</note>
+=== Édition ===
+Pour éditer le fichier ''/etc/ssh/sshd_config'' (ou plutôt ''/etc/ssh/sshd_config.d/custom.conf'', voir note ci-dessus) avec les [[:permissions administrateur]] (requiert le mot de passe), il existe deux possibilités :
+  * utiliser un éditeur de texte "graphique" qui propose un [[:elevation_privileges#gnome_fichiers_et_gedit|mode administrateur]], par exemple :
+    * avec l'éditeur de texte par défaut depuis la version [[:kinetic|Kinetic 22.10]] de Ubuntu ([[:GNOME]]) :<code>gted admin:///etc/ssh/sshd_config</code>
+    * ou (pour les versions d'Ubuntu antérieures) :<code>gedit admin:///etc/ssh/sshd_config</code>
+  * ou avec un éditeur de texte en mode [[:terminal|console]] :<code>sudoedit /etc/ssh/sshd_config</code>qui sous ×buntu équivaut à :<code>sudo nano /etc/ssh/sshd_config</code>
+=== Directives ===
+Tableau des principales directives à modifier si besoin :
+<mobiletable 1>
 ^Directive du fichier^Valeur par défaut sous Ubuntu^Valeur possible^Effet de la valeur choisie^
 |''Port''|''22''| Tous les ports qui ne sont pas utilisés par un autre service  | Le changement du port par défaut , souvent conseillé, n'augmentera pas la sécurité. C'est même l'inverse si vous choisissez un port non privilégié, c'est à dire supérieur à 1024  |
-|''PermitRootLogin''|''without-password'' / ''prohibit-password''|''yes'' ''no'' ''without-password'' ''forced-commands-only'' ''prohibit-password''| cf [[http://manpages.ubuntu.com/manpages/lucid/man5/sshd_config.5.html| le man]] |
+|''PermitRootLogin''|''without-password'' / ''prohibit-password''|''yes'' ''no'' ''without-password'' ''forced-commands-only'' ''prohibit-password''| Permet la connexion directe de l'utilisateur ''[[:root]]''. À éviter pour des raisons de [[:sécurité]] (en particulier sur un serveur Ubuntu, sur lequel l'utilisateur ''root'' n'esiste pas par défaut). |
 |''PubkeyAuthentication''|''yes''|''no''|Laisser ''yes'' si vous voulez établir l'authentification par clé comme expliqué plus haut|
 |''PasswordAuthentication''|''yes''|''no''|On peut parfaitement conserver l'authentification par clé pour certains utilisateurs avec celle par mot de passe pour d'autres utilisateurs. Conserver cette valeur à yes tant que l'authentification par clé n'est pas pleinement fonctionnelle, sinon vous perdrez toute connexion en SSH|
@@ Ligne 90: / Ligne 109: @@
 |''#MaxStartups 10:30:60''|ligne commentée donc inactive|décommenter (enlever symbole ''#'')|Le ''10'' représente le nombre de connexions acceptées sans qu'un utilisateur ait réussi à s'identifier, si cela passe au dessus de ''10'', il y a 30% de probalités que les suivantes soient bloquées, et ce pourcentage augmente linéairement jusqu'à 100 % lorsque le //full// est atteint, à ''60'' connexions. Très utile pour éviter [[http://linuxfr.org/~dark_star/18379.html|ce genre]] de désagrément.|
 |''#Banner /etc/issue.net''|Ligne commentée donc inactive|Décommenter|Lorsque vous essayez de vous connecter à votre serveur par SSH, le fichier ''/etc/issue.net'' est affiché (à vous de le personnaliser pour dire bonjour ou mettre un avertissement, un guide, etc.)|
-|UsePAM|yes|no|Attention, bien lire la page de ''[[man>sshd_config|man sshd_config]]'', ce paramètre interagit avec ''ChallengeResponseAuthentication'' et ''PasswordAuthentication'' |
+|UsePAM|yes|no|Ce paramètre permet l'authentification par mot de passe avec ''KbdInteractiveAuthentication''((anciennement ''ChallengeResponseAuthentication'')) et ''PasswordAuthentication''. Il faut absolument le [[#Désactiver toutes les autres méthodes d'authentification|désactiver]] dans le cadre d'une authentification par clé ! |
 |''AllowUsers''|Ligne absente (autorisé à tous)|ajouter la ligne avec valeur(s) : ''AllowUsers Alice Bob'' |Spécifie les //logins// des seuls utilisateurs autorisés à se connecter. //Idéal pour ouvrir un compte FTP à un ami tout en restreignant l'accès au shell via SSH//.|
 |''DenyUsers''|Ligne absente (interdit à personne)|Ajouter la ligne avec valeur(s)|Interdit l'accès à SSH aux utilisateurs listés|
@@ Ligne 96: / Ligne 115: @@
 |''DenyGroups''|Ligne absente (interdit à aucun groupe)|Ajouter la ligne avec valeur(s)|Interdit l'accès à SSH aux utilisateurs des groupes listés|
 |''ClientAliveInterval''|Ligne absente|Ajouter la ligne avec valeur en secondes : ''ClientAliveInterval 300''|Permet dans certains cas de maintenir une connexion sans coupures|
+</mobiletable>
 Pour plus d'informations consultez ''[[man>sshd_config|man sshd_config]]''.
@@ Ligne 108: / Ligne 128: @@
 Il existe plusieurs sortes de clients :
-  * Pour **OpenSSH** il s'agit d'une application en ligne de commande fournie par le paquet ''[[pu>openssh-client]]'', installé par défaut sur Ubuntu. Celui-ci donne accès à la [[:console]] distante, comme si elle était locale, via le [[:terminal]]. Voir //[[#Accès au terminal à distance]]//.
+  * Pour **OpenSSH** il s'agit de la commande ''[[man>ssh]]'' fournie par le paquet ''[[pu>openssh-client]]'', installé par défaut sur Ubuntu. Celle-ci donne accès à la [[:console]] distante, comme si elle était locale, via le [[:terminal]]. Voir //[[#Accès au terminal à distance]]//.
-  * On peut aussi utiliser **SSH** pour accéder à des fichiers via le gestionnaire de fichier grâce à [[:SFTP]], voir le chapitre //[[:sftp#clients|clients SFTP]]//. Pour [[:nautilus|GNOME Fichiers]] en particulier, voir le chapitre //[[:sftp#GNOME Fichiers]]//.
+  * On peut aussi utiliser **SSH** via le gestionnaire de fichiers grâce à [[:SFTP]], voir le chapitre //[[:sftp#clients|clients SFTP]]//. Pour [[:nautilus|GNOME Fichiers]] en particulier, voir le chapitre //[[:sftp#GNOME Fichiers]]//.
-  * On peut aussi télécharger ou téléverser des fichiers grâce à la commande ''scp''.
+  * On peut aussi télécharger, téléverser ou synchroniser des fichiers grâce à [[#transferts_en_ligne_de_commande|différentes commandes]], ou à **[[:rclone]]**.
   * D'autres cas d'utilisation ([[:ssh_avance#se_connecter_en_ssh_a_travers_un_mandataire_http_proxy|proxy]] par ex.) sont décrits sur la page //[[:SSH avancé]]//.
-==== Installation du client SSH ====
+==== Installation du client en ligne de commande ====
+La fonctionnalité //[[#Installation du client SSH|client]]// (en ligne de commande) est fournie par le paquet ''[[apt>openssh-client]]'', qui est installé par défaut sur Ubuntu (et sur la plupart des [[:distributions]] Linux).
+Dans le cas contraire, [[:deb#installer_un_paquet_deb|installer le paquet]] ''[[apt>openssh-client]]'', qui fournit la [[:commande shell|commande]] ''[[man>ssh]]''.
+<note tip>
+On peut vérifier la version installée avec l'option ''-V'' :
+<code bash>ssh -V</code>
+</note>
-La fonctionnalité //[[#Installation du client SSH|client]]// est fournie par le paquet ''[[apt>openssh-client]]'', qui est installé par défaut sur Ubuntu. Dans le cas contraire, [[:deb#installer_un_paquet_deb|installer le paquet]] ''[[apt>openssh-client]]'', qui fournit la [[:commande shell|commande]] ''[[man>ssh]]''.
+=== Autres systèmes d'exploitation ===
-=== Autres systèmes d'exploitation - hors Linux ===
+== Windows ==
 <note tips>
@@ Ligne 123: / Ligne 152: @@
 </note>
-Pour contrôler une machine distante depuis un poste équipé de Windows, on peut aussi installer et utiliser **[[https://putty.org/index.html|PuTTY]]**, qui est publié sous [[wpfr>licence MIT]].
+Pour contrôler une machine distante depuis un poste équipé de Windows, le client (ainsi que le serveur) **OpenSSH** sont aussi disponibles nativement sur Windows.((Voir //[[https://www.zebulon.fr/astuces/internet-reseaux/comment-installer-et-utiliser-le-client-ssh-cache-de-windows.html|Comment installer et utiliser le client SSH caché de Windows ?]]//))
-Le client (ainsi que le serveur) **OpenSSH** sont aussi disponibles nativement sur Windows.((Voir //[[https://www.zebulon.fr/astuces/internet-reseaux/comment-installer-et-utiliser-le-client-ssh-cache-de-windows.html|Comment installer et utiliser le client SSH caché de Windows ?]]//))
+On peut aussi installer et utiliser **[[https://putty.org/index.html|PuTTY]]**, qui est publié sous [[wpfr>licence MIT]].
-Il existe aussi des clients SSH pour Android ([[https://f-droid.org/fr/packages/org.connectbot/|ConnectBot]]), iOS, et la pluaprt des systèmes d'exploitation.
+== macOS ==
-<note tip>
+macOS inclut un client SSH disponible depuis le terminal.
-Vérifiez bien qu'aucun [[:pare-feu]] n'est actif sur le serveur SSH //avant// l'installation de SSH. Sans quoi vous ne pourrez pas vous y connecter.
-Pour utiliser SSH derrière un pare-feu, port standard du protocole SSH est le ''22''.
+Il existe aussi [[https://sshpilot.app/|SSH Pilot]] ([[wpfr>logiciel libre|libre]]) et [[https://termius.com|Termius]] -- qui sont d'ailleurs aussi disponibles sur Linux((Par exemple en [[:Flatpak]] : [[https://flathub.org/fr/apps/io.github.mfat.sshpilot|SSH Pilot]] / [[https://flathub.org/fr/apps/com.termius.Termius|Termius]])).
-</note>
+== Smartphones ==
+Il existe aussi des clients SSH pour **Android** (voir le dépôt d'applications [[wpfr>logiciel libre|libres]] [[https://search.f-droid.org/?q=ssh&lang=fr|F-Droid]]), **iOS**, et la plupart des systèmes d'exploitation.
 ==== Utilisations des clients ====
@@ Ligne 143: / Ligne 174: @@
 où
   * ''nom_utilisateur'' est le nom d'[[:utilisateur]] à utiliser sur la machine distante
-  * ''hôte'' est le nom d'hôte de la machine distante, qui peut être un nom de domaine, une adresse IPv4, ou un nom [[:zeroconf#mDNS]] ou [[wpfr>NetBIOS]] en local
+  * ''hôte'' est le [[:réseau#nom d'hôte]] de la machine distante, qui peut être un nom de domaine, une adresse IPv4, ou un nom [[:zeroconf#mDNS]] ou [[wpfr>NetBIOS]] en local (voir //[[:réseau#Nom d'hôte]]//)
   * ''numéro de port'' est le numéro du port sur lequel écoute le serveur.
@@ Ligne 177: / Ligne 208: @@
 où
   * ''nom_utilisateur'' est le nom d'[[:utilisateur]] à utiliser sur la machine distante
-  * ''hôte'' est le nom d'hôte de la machine distante, qui peut être un nom de domaine, une adresse IP (IPv4 ou IPv6 cette fois), ou un nom [[:zeroconf#mDNS]] ou [[wpfr>NetBIOS]] en local
+  * ''hôte'' est le [[:réseau#nom d'hôte]] de la machine distante, qui peut être un nom de domaine, une adresse IP (IPv4 ou IPv6 cette fois), ou un nom [[:zeroconf#mDNS]] ou [[wpfr>NetBIOS]] en local (voir //[[:réseau#Nom d'hôte]]//)
   * ''numéro de port'' est le numéro du port sur lequel écoute le serveur.
@@ Ligne 220: / Ligne 251: @@
 <code bash>scp -6 <élément> <nom>@[addresse ipv6]:<destination></code>
-**Exemples** :
+Exemples :
   * Pour un **fichier** :<code bash>scp fichier.txt hornbeck@192.168.1.103:/home/hornbeck</code>et en IPv6<code bash>scp -6 fichier.txt albertine@[2a01:e35:2431::2a34]:/home/albertine</code>
   * Pour un **répertoire** :<code bash>scp -r répertoire hornbeck@192.168.1.103:/home/hornbeck/</code>et en IPv6<code bash>scp -6r répertoire/ albertine@[2a01:e35:2431::2a34]:/home/albertine</code>
@@ Ligne 265: / Ligne 296: @@
 </note>
-Vous pouvez aussi le renommer en le copiant (« mon.txt ») sur le disque local (toujours dans le répertoire courant):
+Vous pouvez aussi le renommer en le copiant (''mon.txt'') sur le disque local (toujours dans le répertoire courant):
 <code bash>scp hornbeck@192.168.1.103:/home/hornbeck/urls.txt ./mon.txt</code>
@@ Ligne 303: / Ligne 334: @@
   * Il est [[:sauvegarde|sauvegardé]] avec le reste de son [[:arborescence#répertoire personnel]] (''[[:arborescence#répertoire personnel|$HOME]]'') et ainsi très simple à conserver ou à migrer d'un système à un autre.
-Il est possible de configurer le client de manière indépendante pour chaque serveur (ou chaque hôte), et au passage de créer facilement des "alias" pour ces hôtes avec ces configurations, en spécifiant un ''Host'' (nom d'hôte à passer à la commande ''[[man>ssh.1|ssh]]'') différent du ''HostName'' (nom d'hôte réel).\\
+Il est possible de configurer le client de manière indépendante pour chaque serveur (ou chaque hôte), et au passage de créer facilement des "alias" pour ces hôtes avec ces configurations, en spécifiant un ''Host'' ([[:réseau#nom d'hôte]] à passer à la commande ''[[man>ssh.1|ssh]]'') différent du ''HostName'' ([[:réseau#nom d'hôte]] réel).\\
 Par exemple :
 <file>
@@ Ligne 327: / Ligne 358: @@
 <note>
-Dans le cas où on utilise un //wildcard// ''*'' dans le nom de l'hôte pour gérer un ensemble de serveurs sur des domaines proches par ex., l'ordre dans lequel on les déclare peut avoir son importance : il faut commencer par les plus spécifiques, sans quoi ceux-ci ne seront jamais pris en compte.\\
+Dans le cas où on utilise un //wildcard// ''*'' dans la valeur de ''Host'' pour gérer un ensemble de serveurs sur des domaines proches par ex., l'ordre dans lequel on les déclare peut avoir son importance : il faut commencer par les plus spécifiques, sans quoi ceux-ci ne seront jamais pris en compte.\\
 Par ex. :
 <file>
@@ Ligne 341: / Ligne 372: @@
 ===== Authentification  =====
-<note warning>Si vous ouvrez votre serveur SSH sur Internet, par exemple pour y accéder depuis l'ordinateur d'un ami(e) ou lui permettre d'accéder à certains de vos fichiers, n'oubliez JAMAIS qu'Internet est parcouru par des robots qui scannent et testent en permanence tous les serveurs disponibles (SSH et autres) et qu'ils vont faire des tentatives pour trouver vos mots de passe de compte (on parle d'[[wpfr>attaque par force brute]]). L'usage des clés est donc très fortement recommandé.
+<note warning>Si vous ouvrez votre serveur SSH sur Internet, par exemple pour y accéder depuis l'ordinateur d'un ami(e) ou lui permettre d'accéder à certains de vos fichiers, n'oubliez JAMAIS qu'Internet est parcouru par des robots qui scannent et testent en permanence tous les serveurs disponibles (SSH et autres) et qu'ils vont faire des tentatives pour trouver vos mots de passe de compte (on parle d'[[wpfr>attaque par force brute]]). L'usage des clés, et la [[#désactiver toutes les autres méthodes d'authentification|désactivation de toutes les autres méthodes d'authentification]] est donc très fortement recommandé.
 Si vous ne pouvez vraiment pas faire autrement, utilisez des mots de passe longs et complexes ainsi qu'un système de protection tel que [[:fail2ban]] qui permet de bannir des adresses IP au bout d'un certain nombre de tentatives erronées.\\
@@ Ligne 375: / Ligne 406: @@
 === Mise en place des clés ===
+<note warning>
+Après avoir mis en place une authentification par clé fonctionnelle, n'oubliez pas de [[#désactiver toutes les autres méthodes d'authentification]], afin de garantir la [[:sécurité]] de votre serveur.
+</note>
 À moins que vous n'ayez déjà un couple de clés, vous devez d'abord en créer.\\
@@ Ligne 383: / Ligne 418: @@
 <code bash>ssh-keygen -t rsa -b 4096 -C "email@example.com"</code>
-Il vous sera alors demandé où enregistrer la clé privée (acceptez juste l'endroit par défaut : **~/.ssh**, et ne changez pas le nom du fichier généré) puis de choisir une //passphrase// (phrase de reconnaissance).
+Il vous sera alors demandé où enregistrer la clé privée (acceptez juste l'endroit par défaut : ''~/.ssh'', et ne changez pas le nom du fichier généré) puis de choisir une //passphrase// (phrase de reconnaissance).
 <note warning>Bien que non obligatoire, l'utilisation d'une //passphrase// est recommandée pour protéger votre clé privée. En effet toute personne qui obtiendrait l'accès à votre clé privée (non protégée) aurait alors vos permissions sur d'autres ordinateurs. Veuillez prendre un instant et choisissez une très bonne //passphrase// c'est à dire longue et complexe.
 On peut tester sa passphrase sur sa clé en exécutant <code bash>ssh-keygen -y -f .ssh/id_ed25519 # qui va demander la passphrase et afficher la clé publique si la saisie est correcte</code></note>
@@ Ligne 403: / Ligne 438: @@
 <note tip>pistes pour débugger :
   * forcer l'utilisation uniquement de clefs dans la commande ssh : <code bash>ssh -o PubkeyAuthentication=yes -o PreferredAuthentications=publickey</code>
-  * utiliser les options **-v** ou **-vv** ou **-vvv** dans le commande ssh
+  * utiliser les options ''-v'' ou ''-vv'' ou ''-vvv'' dans le commande ssh
 </note>
 Il faut maintenant envoyer au serveur votre clé publique pour qu'il puisse vous chiffrer des messages.
-<note>**En résumé** (car les paragraphes ci-dessous utilisant des scripts peuvent sembler confus à certains)
+<note>
-  * Coté client : Il faut que le client ait mis sa clé privée en $HOME/.ssh/ (côté client).
+**En résumé** (car les paragraphes ci-dessous utilisant des scripts peuvent sembler confus à certains)
-  * Coté client : la clé doit être connue de l'agent SSH (ssh-add)
+  * Coté client : Il faut que le client ait mis sa clé privée en ''$HOME/.ssh/'' (côté client).
-  * Coté client : Le répertoire $HOME/.ssh doit appartenir au propriétaire de $HOME et les clés privées ne doivent être accessibles que par leur propriétaire (mode %%rw------%% ou 600 au maximum)
+  * Coté client : la clé doit être connue de l'agent SSH (''[[man>ssh-add]]'').
-  * Coté serveur : La clé publique du client doit se trouver dans le fichier $HOME/.ssh/authorized_keys du serveur.
+  * Coté client : Le répertoire ''$HOME/.ssh'' doit appartenir au propriétaire de $HOME et les clés privées ne doivent être accessibles que par leur propriétaire (mode ''%%rw------%%'' ou ''600'' au maximum).
-  * Coté serveur : il vaut mieux refuser l'accès par mot de passe ("PasswordAuthentication no" dans /etc/ssh/sshd_config du serveur)
+  * Coté serveur : La clé publique du client doit se trouver dans le fichier ''$HOME/.ssh/authorized_keys'' du serveur.
+  * Coté serveur : il vaut mieux refuser l'accès par mot de passe (''PasswordAuthentication no'' dans ''/etc/ssh/sshd_config'' du serveur).
 </note>
 L'utilisateur distant doit avoir cette clé (c'est une ligne de caractères en code ASCII) dans son fichier de clés d'autorisation situé à ''~/.ssh/authorized_keys'' sur le système distant. Employez la commande ''[[man>ssh-copy-id]]''.
-''ssh-copy-id'' est un script qui utilise ssh pour se connecter à une machine à distance en utilisant le mot de passe de l'utilisateur. L'[[#authentification par mot de passe]] doit donc être autorisée dans le fichier de configuration du serveur ssh (par défaut sur Ubuntu). Il change également les permissions des répertoires **~/.ssh** et **~/.ssh/authorized_keys** de l'hôte distant pour enlever l'accès en écriture du groupe (qui vous empêcherait de vous connecter si le serveur distant ssh a "StrictModes yes" dans son fichier de configuration, ce qui est le cas par défaut sur Ubuntu).
+''ssh-copy-id'' est un script qui utilise SSH pour se connecter à une machine à distance en utilisant le mot de passe de l'utilisateur. L'[[#authentification par mot de passe]] doit donc être autorisée dans le fichier de configuration du serveur SSH (par défaut sur Ubuntu). Il change également les permissions des répertoires ''~/.ssh'' et ''~/.ssh/authorized_keys'' de l'hôte distant pour enlever l'accès en écriture du groupe (qui vous empêcherait de vous connecter si le serveur distant SSH a ''StrictModes yes'' dans son fichier de configuration, ce qui est le cas par défaut sur Ubuntu).
 <code bash>ssh-copy-id -i ~/.ssh/id_ed25519.pub <username>@<ipaddress></code>
 ou si le port est différent du port standard 22 ([[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=99785|notez les guillemets]]):
@@ Ligne 429: / Ligne 465: @@
 Lancez :
 <code bash>ssh <username>@<ipaddress> -p <num_port></code>
-Dorénavant n'utilisez plus votre mot de passe mais votre **passphrase** pour vous connecter. Celle-ci sert à déchiffrer votre //clé privée// de votre système local.
+Dorénavant n'utilisez plus votre mot de passe mais votre //passphrase// pour vous connecter. Celle-ci sert à déchiffrer votre //clé privée// de votre système local.
 Si ça ne marche pas, c'est-à-dire que le mot de passe vous est quand même demandé, essayez sur votre serveur la commande :
@@ Ligne 436: / Ligne 472: @@
 Pour résumer, deux choses sont nécessaires pour obtenir un accès réellement sécurisant (et sécurisé ;-)) par authentification à clé publique par rapport à l'authentification par mot de passe classique :
-  - **Votre clé privée**, chiffrée ;
+  - Votre** clé privée**, chiffrée ;
-  - **Votre passphrase**, utilisée pour déchiffrer votre clé privée.
+  - Votre **//passphrase//**, utilisée pour déchiffrer votre clé privée.
 Si vous choisissez de ne pas avoir de mot de passe (ce qui est possible, voyez la prochaine section), vous aurez une sécurité moindre, ainsi que si vous utilisez une authentification uniquement par mot de passe, comparé à celle que vous pouvez avoir en combinant les deux.
@@ Ligne 443: / Ligne 479: @@
 === Éléments importants en lien avec l'usage des clés ===
-== Authentification par mot de passe et / ou par clé ==
+== Désactiver toutes les autres méthodes d'authentification ==
 Vous pouvez avoir avec SSH les deux modes d'authentifications actifs en même temps, par mot de passe et par clés.
-Vous pouvez vouloir neutraliser l'authentification par mot de passe pour des raisons de sécurité, pour cela il faut modifier le fichier de configuration ''/etc/ssh/sshd_config'' de la manière suivante :
+Or pour garantir la [[:sécurité]] du serveur, il est indispensable de neutraliser les méthodes d'authentification autre que par paire de clés !\\
+Pour cela, modifier le fichier de configuration ''/etc/ssh/sshd_config'' de la manière suivante :
-- A la ligne ''PasswordAuthentication'' mettre ''no''
+  * À la ligne ''PasswordAuthentication'' remplacer ''yes'' par ''no''.
+  * A la ligne ''UsePAM'' remplacer ''yes'' par ''no''.
+<note important>
+Il est aussi généralement nécessaire, de désactiver l'authentification directe avec l'utilisateur ''[[:root]]'', toujours pour garantir la [[:sécurité]] du serveur :
+  PermitRootLogin no
+</note>
 <note>
-N'oubliez pas de [[#relancer]] le service ssh sur votre serveur après avoir changé la configuration.
+N'oubliez pas de [[#relancer]] le service SSH sur votre serveur après avoir changé la configuration.
 </note>
@@ Ligne 499: / Ligne 542: @@
 </code>
-Soit l'information est exacte et une machine a été corrompue, ou bien il s'agit juste d'un changement de clé (réinstallation par exemple) et dans ce cas il faut effacer les entrées dans le fichier **.ssh/known_hosts** de votre compte.\\
+Soit l'information est exacte et une machine a été corrompue, ou bien il s'agit juste d'un changement de clé (réinstallation par exemple) et dans ce cas il faut effacer les entrées dans le fichier ''.ssh/known_hosts'' de votre compte.\\
 Avant la chose était relativement simple, la clé était directement associée au nom ou à l'IP de la machine cible. Ce n'est plus le cas à présent où elle est associée par UUID rendant quasiment impossible l'identification visuelle de la ligne concernée. Mais ssh étant sympathique, il vous indique quelle est la ligne du fichier concernée.\\
-Pour reprendre l'exemple précédent on peut lire la ligne Offending key in /home/<vous>/.ssh/known_hosts:4 → la clé en erreur est donc située ligne 4 du fichier **.ssh/known_hosts**
+Pour reprendre l'exemple précédent on peut lire la ligne ''Offending key in /home/<vous>/.ssh/known_hosts:4'' → la clé en erreur est donc située ligne 4 du fichier ''.ssh/known_hosts''
 Il existe cependant une méthode plus subtile en employant la commande suivante :
@@ Ligne 510: / Ligne 553: @@
 == Connexion à un répertoire /home chiffré ==
-Si vous souhaitez vous connecter par SSH avec une clef publique sur un compte dont le home est chiffré, il est important de faire attention à ce que sur le serveur le fichier/dossier **.ssh/authorized_keys** soit à la fois dans le home chiffré et déchiffré. En effet si le fichier authorized_keys est dans le home sous forme chiffré (.private), open_ssh ne pourra pas lire la clef publique attendue. Il faut donc créer un dossier .ssh et y mettre le fichier authorized_keys quand le home est démonté donc chiffré. Cependant, si vous ne le laissez pas aussi dans le home déchiffré et donc monté, la connexion SSH se fera avec la clef publique mais le home ne sera pas déchiffré automatiquement.
+Si vous souhaitez vous connecter par SSH avec une clef publique sur un compte dont le home est chiffré, il est important de faire attention à ce que sur le serveur le fichier/répertoire ''.ssh/authorized_keys'' soit à la fois dans le home chiffré et déchiffré. En effet si le fichier ''authorized_keys'' est dans le home sous forme chiffré (''.private''), open_ssh ne pourra pas lire la clef publique attendue. Il faut donc créer un répertoire ''.ssh'' et y mettre le fichier ''authorized_keys'' quand le home est démonté donc chiffré. Cependant, si vous ne le laissez pas aussi dans le home déchiffré et donc monté, la connexion SSH se fera avec la clef publique mais le home ne sera pas déchiffré automatiquement.
-La meilleure solution est de créer des liens virtuels vers un dossier qui n'est pas soumis au chiffrement/déchiffrement comme expliqué [[https://rohieb.wordpress.com/2010/10/09/84/|ici]]
+La meilleure solution est de créer des liens virtuels vers un dossier qui n'est pas soumis au chiffrement/déchiffrement comme expliqué [[https://rohieb.wordpress.com/2010/10/09/84/|ici]].
 == Authentification SSH avec plusieurs clés privées ==
@@ Ligne 533: / Ligne 576: @@
 </file>
-Pour plus d'options, comme l'utilisateur ou le port à utiliser par défaut, voir le [[:man|manuel]] de **ssh_config**, cf. aussi [[https://gitlab.com/help/ssh/README#working-with-non-default-ssh-key-pair-paths|l'aide de gitlab (en)]]
+Pour plus d'options, comme l'utilisateur ou le port à utiliser par défaut, voir le [[:man|manuel]] de ''ssh_config'', cf. aussi [[https://gitlab.com/help/ssh/README#working-with-non-default-ssh-key-pair-paths|l'aide de gitlab (en)]]
 == Les empreintes (fingerprint) ==
@@ Ligne 611: / Ligne 654: @@
   * [[:ssh_avance]] Fixme !
+-----
 //[[:Contributeurs]] : [[:utilisateurs:sx1]], [[:utilisateurs:krodelabestiole]], [[:utilisateurs:Zer00CooL]], [[:utilisateurs:bruno]].//

Différences

Outils pour utilisateurs

Outils du site

Outils de la page

Divers