j’ai pas le temps de bidouiller bicause vacance en perspective et départ d’ici peux et je passe le peux de temps a sauvgarder mes donnée cd/dvd/ clef usb clonage ect
j’essaye sa dès que je me serai up-loader sur le site des vacance
j’ai pas le temps de bidouiller bicause vacance en perspective et départ d’ici peux et je passe le peux de temps a sauvgarder mes donnée cd/dvd/ clef usb clonage ect
j’essaye sa dès que je me serai up-loader sur le site des vacance
bon je re-dettere le sujet pour me rendre compte que j’ai oublier de répondre
la réponse est que le port knoking est peux utile le simple fait de déplacer le port suffi apparemment
2 question en rapport avec l’astuce :
1ere question:
c’est possible d’interdire l’aces par r ssh root@ip ? en permettant uniquement l’aces par clef en root ?
je vai ssayer d’être un peux plus claire:S
si je met:PermitRootLogin no j’ai plus aces root avec la clef ET ssh root@ip , l’idee et donc de faire:
clef = aces root ok et ssh root@ip = aces interdi ?
autrement je peux foutre un mots de passe a la con de 90 caractère sa reviens a peux près aux meme
2eme question
sous M$ il font comment pour utiliser la clef a la places du mots passe ? (a par installer une distribution … ) ?
[quote=“panthere”]bon je re-dettere le sujet pour me rendre compte que j’ai oublier de répondre
la réponse est que le port knoking est peux utile le simple fait de déplacer le port suffi apparemment
2 question en rapport avec l’astuce :
1ere question:
c’est possible d’interdire l’aces par r ssh root@ip ? en permettant uniquement l’aces par clef en root ?
je vai ssayer d’être un peux plus claire:S
si je met:PermitRootLogin no j’ai plus aces root avec la clef ET ssh root@ip , l’idee et donc de faire:
clef = aces root ok et ssh root@ip = aces interdi ?
autrement je peux foutre un mots de passe a la con de 90 caractère sa reviens a peux près aux meme
2eme question
sous M$ il font comment pour utiliser la clef a la places du mots passe ? (a par installer une distribution … ) ?[/quote]
Pour la deuxième question le “tunelier” que j’utilise accepte les deux possibilités de connexion clé ou mots de passe ( et même les deux en même temps maintenant que j’y pense ).
Pour la première question je sais plus comment j’avais bidouillé ça mais j’avais deux ports différents pour ssh un marcher avec des clés pour OVH, et l’autre avec clés et mots de passe pour un gars et moi même ( donc oui c’est faisable ).
En ce qui concerne le port knocking c’est super pratique pour éviter les scannes des “kevin” et leur sempiternelle force brute sur les ports ssh
[quote=“Clochette”]
Pour la deuxième question le “tunelier” que j’utilise accepte les deux possibilités de connexion clé ou mots de passe ( et même les deux en même temps maintenant que j’y pense ).
Pour la première question je sais plus comment j’avais bidouillé ça mais j’avais deux ports différents pour ssh un marcher avec des clés pour OVH, et l’autre avec clés et mots de passe pour un gars et moi même ( donc oui c’est faisable ).
En ce qui concerne le port knocking c’est super pratique pour éviter les scannes des “kevin” et leur sempiternelle force brute sur les ports ssh [/quote]
qu’elle soft a tu utiliser ? et comment (sous M$) ?
2port different c’est pas utile car on peux ce connecter a 2 desus sans probleme, mai ce qui m’interesse c’est comment interdire la connection comme citer plus haut?.
quelqu’un a une idée ?
J’aime pas trop faire de pub mais putty, poderosa et bitvise font ce que tu désire faire ( putty j’aime pas ces “déco” intempestive, poderosa n’est plus maintenu depuis déjà quelques temps, et bitvise est très “trop” complet ).
[quote=“panthere”]1ere question:
c’est possible d’interdire l’aces par r ssh root@ip ? en permettant uniquement l’aces par clef en root ?
je vai ssayer d’être un peux plus claire:S
si je met:PermitRootLogin no j’ai plus aces root avec la clef ET ssh root@ip , l’idee et donc de faire:
clef = aces root ok et ssh root@ip = aces interdi ?[/quote]
En gros tu ne veut pas de d’accès avec mots de passe ?
http://www.linux-france.org/prj/edu/archinet/systeme/ch13s03.html
[quote=“Clochette”]J’aime pas trop faire de pub mais putty, poderosa et bitvise font ce que tu désire faire ( putty j’aime pas ces “déco” intempestive, poderosa n’est plus maintenu depuis déjà quelques temps, et bitvise est très “trop” complet ).
[quote=“panthere”]1ere question:
c’est possible d’interdire l’aces par r ssh root@ip ? en permettant uniquement l’aces par clef en root ?
je vai ssayer d’être un peux plus claire:S
si je met:PermitRootLogin no j’ai plus aces root avec la clef ET ssh root@ip , l’idee et donc de faire:
clef = aces root ok et ssh root@ip = aces interdi ?[/quote]
En gros tu ne veut pas de d’accès avec mots de passe ?
http://www.linux-france.org/prj/edu/archinet/systeme/ch13s03.html[/quote]
oui, mai c est déjà chose faite avec le tuto de fran.b le seul truc qui derange c’est qu’on peux encore utiliser la ethode classique :
dans ton tuto c’est expliquer comment faire mai rien coter configuration serveur .p
[quote=“panthere”]
oui, mai c est déjà chose faite avec le tuto de fran.b le seul truc qui derange c’est qu’on peux encore utiliser la ethode classique :
dans ton tuto c’est expliquer comment faire mai rien coter configuration serveur .p[/quote]
Si t’avais fouillé la page d’avant il te parle d’un fichier de configuration placé dans /etc/ssh/sshd_config dans lequel tu va pouvoir faire ce que tu cherche.
# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no
Et regarde du côté de ssh-agent pour avoir à éviter de retaper la passe phrase
Salut,
Dans la doc http://formation-debian.via.ecp.fr/ssh.html une façon de faire
équivalente avec % ssh-copy-id -i ~/.ssh/id_dsa.pub login@nom_DNS_du_serveur,
il suffit (il me semble) de ne pas mettre de “pass phrase” pour se connecter sans ne rien saisir.
[quote=“Dixippe”]Salut,
Dans la doc http://formation-debian.via.ecp.fr/ssh.html une façon de faire
équivalente avec % ssh-copy-id -i ~/.ssh/id_dsa.pub login@nom_DNS_du_serveur,
il suffit (il me semble) de ne pas mettre de “pass phrase” pour se connecter sans ne rien saisir.[/quote]
Oui mais au niveau sécu, ce n’est quand même pas terrible.
À l’occasion du “remplissage” de mon nouvel “ordibureau”, je n’ai recopié que peu de choses en l’état et j’ai souvent repris les installations du début, ce qui a été le cas hier de ce truc de François dont je me sers depuis longtemps.
Comme j’avais déjà installé le jeu de clefs avec passphrase et que je n’avais pas envie de tout reprendre, j’ai essayé d’approfondir la chose.
Je me suis rendu compte qu’on pouvait, a posteriori, entrer facilement un agent, lequel agent semble être installé nativement (sur ma Sid, en tous cas). Pour s’en rendre compte, taper dans une console : set | grep SSH_AUTH_SOCK
Si, pas de réponse, il vous faudra en créer un.
Si, réponse du genre : SSH_AUTH_SOCK=/chemin…blabla agent.xxxx, il est installé sur votre machine.
Il ne vous reste plus qu’à éditer le fichier ~/.ssh/config (ou à le créer si absent) et à le modifier légèrement, par rapport à celui présenté en début de fil par François, comme suit :
[quote]Host
HostName 192.168.x.y
User
PasswordAuthentication no
port XYZ (si différent du classique ‘22’)
IdentityFile ~/.ssh/id_rsa
Host
HostName 192.168.y.z
User
PasswordAuthentication no
port ZYX (si différent du classique ‘22’)
IdentityFile ~/.ssh/id_rsa
Host
…
etc.[/quote]
Pour vous connecter, il vous suffit d’entrer :
$ ssh machine1
Il vous sera demandé d’entrer la passphrase … c’est fastidieux ?
Qu’à cela ne tienne, si, comme moi et beaucoup d’autres, vous ne fermez pas votre machine “client” mais vous la placez en hibernation ou en veille sur RAM, l’agent restera en mémoire sur une console donnée. Il vous suffit de ne pas fermer cette console. Perso, j’ai plusieurs bureaux ainsi dédiés.
Tant que la machine n’est pas éteinte complètement, l’agent reste valide.
Si vous éteignez physiquement votre machine “client”, il vous faudra entrer de nouveau la passphrase.
Comme je suis partisan du moindre effort, j’ai créé un alias dans
~/.bashrc
alias monagent='ssh-add ~/.ssh/id_rsa'
(ne pas oublier les ').
Il suffit donc d’entrer dans la console :
$ monagent
La passphrase vous est demandée, que vous entrez une fois pour toutes, tant que la machine n’est pas éteinte.
Vous voulez gérer la machine 3 :
ricardo@machine"client":~$ ssh machine3
et, sans ne rien plus faire :
ricardo@machine3:~$
Une fois la séance terminée :
$ exit
et retour machine “client”
Besoin d’aller gérer une autre machine : même processus, rien d eplus.
Sécurité ? : la même car sans votre clef privée, personne ne pourra se cpnnecter sur les machines “serveur”.
Pour plus de facilité, on peut envoyer la même clef publique à tous les serveurs de confiance (ses propres machines). Ainsi, même “IdentityFile”, ce qui permet d’utiliser SSHFS avec moins de problèmes.
SCP fonctionne parfaitement mais je n’ai pas encore testé sur SFTP.
NOTA : s’il y a des fautes de frappe, soyez indulgent car avec une seul œil vraiment fonctionnel, je ne suis pas très efficient