Auteur Sujet: Connexion distante securisée SSH  (Lu 9037 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne crandor

  • Membre Complet
  • ***
  • Messages: 109
Connexion distante securisée SSH
« le: 21 octobre 2011 à 15:13:32 »
Je vais aller directement à l’essentiel, je ne vais pas m’étendre sur la partie technique n’étant pas spécialiste.

C’est une simple compil d’un tas de tutos s/ le net que j’ai eu me taper et rien ni don de moi.

Pour les config, mon serveur maison, est réalisé s/ mon VuDuo avec l’image blackhole 1.6.6. Dans cette image vous avez Opendropbear qui est une version light d’openSSh. J’ai uassi dans mon reseau une dream800 et 2 poste de travail.



Telecharger OpenSsh  ici :


http://www.i-have-a-dreambox.com/wbb2/thread.php?threadid=104605&hilight=sftp Vous pouvez éventuellement compiler votre propre package en téléchargeant la dernière version http://www.openssh.com/ (ça n’est pas mon fort)

Dans le VuDuo ou Dream avec Open dreamBear, assurez vous qu’il est arrêté. Et en telnet :

opkg remove  dropbear

Mette ensuite le contenu du zip OpennSSh dans tmp et :

opkg install /tmp/*.ipk


Configuration serveur (VUDUO)

je vous livre ma configuration, je ne saurais tout commenter, mais je vous en livre l’essentiel

/etc/ssh/sshd_config   ----------vous en trouverez un largement commenté


Port 443 mettez le port que vous vous voulez, le 22 est là par defaut
Protocol 2
ServerKeyBits 1024  ---------on va le voir dans la génération de la clef, 1024 me parait  largement suffisant
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 600
PermitRootLogin no   ---------  on peut le laisser à yes si on veut s’authentifier avec root,
StrictModes yes
RSAAuthentication yes
Les 2 paramétres qui suivent doivent être desativé (mettez un #) tant que vous n’avez pas la clef public clef privé
PubkeyAuthentication yes     
AuthorizedKeysFile  .ssh/authorized_keys    --- si on veut s’authentifier via clef public clef privée, on le discutera dans la création de la clef
IgnoreRhosts yes
PasswordAuthentication no    -------obligatoire à no si on veut s’authentifier clef public clef privée, s’il est à yes, c’est une authentification login mot de pass.
ChallengeResponseAuthentication yes
UsePrivilegeSeparation yes
Compression yes           ------- ça impliquerait probalement le telechargement de la librairie LZO, vous trouverez un package dans le net , si non je vous envoies le mien
ClientAliveInterval 15
ClientAliveCountMax 4
MaxStartups 10:30:60
MaxAuthTries 3
Subsystem sftp /usr/libexec/sftp-server



C’est fini pour la config du serveur.

Lancez votre serveur : /etc/init.d/sshd start  (ou restart si vous modifiez la config quand il est démarré)/




Configuration du client distant, dans mon cas PC boulot sous Windows XP.

Telecharger Putty outils (il y a d’autre outils dédiés au SSH mais c’est celui que je préfère)

Je passe s/ la question de connexion à votre serveur, si vous n’avez pas d’ip fixe, il vous faut un dyndns ou autre.




Configuration Putty.


Créer une connexion dans Putty donnez un nom mettez le port que vous avez paramétré dans le serveur et sauvegardez là.

Dans connexion allez à proxy pour le paramétrer ou laisser à None si vous avez votre propre connexion

Allez à SSH , vous sélectionnez Tunnel  dans source port vous mettez un port 1080 ou autres, cochez Dynamic.

Revenez vers cession et cliquez sur save.


Voilà c’est tout pour le client, si vous avez PasswordAuthentication à yes vous pouvez deja tester la connexion.


Paramètre navigateur


Je suppose que vous avez deux navigateurs au niveau client (dans mon cas IE et FireFox)

La connexion IE , est configuré avec le proxy d’entreprise.

Dans FireFox dans la partie config proxy (outils/option/connexion), cochez configuration manuelle du proxy.

Dans hôte SOCKS  mettez : localhost et port celui de votre tunnel Dynamic(defini dans putty)
Cochez Sock4

Pas de proxy pour : localhost, 127.0.0.1

Tous le reste doit rester vide

Et c’est fini.


Lancez une cession putty avec open, et là vous aurez votre authentification serveur (VuDuo dans mon cas) avec un joli shell, pratiquement telnet. A ce niveau la connexion est crypté SSH même avec une authentification login mot de pass.

Lancez Fire fox, votre page de démarrage se lancera avec votre connexion distante, vous pouvez le vérifier avec  mon ip.org. votre webif et tout votre réseau interne sont accessible via vos ip réseau local genre 192.168.x .x .


Sur votre routeur fermez tous les ports, ne laisser que celui la connexion SSH (443 ds mon cas)

Pour FTP , vous pouvez utilisez Mozilla fileZilla, ou winscp facile à trouver dans le net (j’utilse Winscp)

Nous aborderons sur le prochain post l’authentification par clef privée clef public, qui renforce la sécurité de la connexion.

Voilà, Danield si tu veux bien compléter ou clarifier des points que j’aurais oublié ou mal expliqué.



Dream 800 HD : EDG Nemesis 2.2 en flash et MB- DD 300GO
VU+ DUO :  Blackhole en Flash et MB - DD 1TO

Hors ligne Doume

  • The Boss
  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 6.185
  • Administrateur
    • Doume
Re: Connexion distante securisée SSH
« Réponse #1 le: 21 octobre 2011 à 15:31:48 »
J'ajouterai une précision :
PasswordAuthentication no    -------obligatoire à no (pas vrai ! )

Il est possible de garder à la fois l'authentification par clé publique/clé privée ET celle par mot de passe
- Si le client soumet sa clé, aucun mot de passe demandé
- Si le client n'a pas de clé, SSH serveur demande le password

C'est bien sûr moins sécurisant, mais ça permet quand même de se connecter depuis un PC sur lequel aucune clé n'est installée (Cyber café, par exemple)

Merci pour cette démarche de tuto, Crandor !

J'ai tous les droits, je suis chez moi.
Au moindre non-respect des règles, je vire les importuns.

Hors ligne Danield

  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 3.947
Re: Connexion distante securisée SSH
« Réponse #2 le: 21 octobre 2011 à 15:44:08 »
A Crandor,
Je ne procède pas comme toi, j'utilise le dropbear intégré aux images, cela fonctionne très bien, ainsi que le socks 5.
Pour filezilla, je te conseille d'utiliser l'extension QuickProxy, ainsi tu peux activer ou désactiver le proxy à la demande
Dreambox: 8000
VU+: ultimo, uno, Duo2
Reelbox : Avant-garde
Plasma Pioneer Kuro LX 5090 H
Wave frontier: 6 sats
Visiosat: 4 sats

Hors ligne crandor

  • Membre Complet
  • ***
  • Messages: 109
Re: Connexion distante securisée SSH
« Réponse #3 le: 21 octobre 2011 à 16:57:20 »
Re

Doume

si PasswordAuthentication est yes, même quand la clef est presente, c'est une simple authentification par login mot de pass qui est faite par le client, autrement dit l'authentification par clef public privée n'est plus utilisable.

Je voulais dire donc obligatoire à no, pour l'authentification par clef.

Danield

Merci pour l'astuce QuickProxy, c'est pratique.

Oui DropBear et OpenSSh c'est pratiquement pareil.
Dream 800 HD : EDG Nemesis 2.2 en flash et MB- DD 300GO
VU+ DUO :  Blackhole en Flash et MB - DD 1TO

Hors ligne MiKe

  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 5.895
    • Doume Forum
Re: Connexion distante securisée SSH
« Réponse #4 le: 21 octobre 2011 à 18:18:03 »
J'vais faire le test pour voir...Merci pour le tuto crandor  ;)
DM8000 HD PVR - HDD Western Digital Caviar Green 1 To - Graveur DVD LiteOn -
VU+ Duo - Solo2 -
iTGate TGS100 - TGS200 - TGS210 -
ET 5000 -
Plasma Pioneer Kuro PdP - LX5090H !

Hors ligne Doume

  • The Boss
  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 6.185
  • Administrateur
    • Doume
Re: Connexion distante securisée SSH
« Réponse #5 le: 21 octobre 2011 à 18:25:12 »

si PasswordAuthentication est yes, même quand la clef est presente, c'est une simple authentification par login mot de pass qui est faite par le client, autrement dit l'authentification par clef public privée n'est plus utilisable.

Je voulais dire donc obligatoire à no, pour l'authentification par clef.


Bizarre, car chez moi, je peux utiliser les deux....
J'ai tous les droits, je suis chez moi.
Au moindre non-respect des règles, je vire les importuns.

Hors ligne Danield

  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 3.947
Re: Connexion distante securisée SSH
« Réponse #6 le: 21 octobre 2011 à 20:15:06 »
Avec dropbear, oui sauf si dans dropbear tu paramètres comme ceci:
DROPBEAR_EXTRA_ARGS ="-s"
alors le mot de passe n'est plus jamais demandé, sinon il reste valable
Dreambox: 8000
VU+: ultimo, uno, Duo2
Reelbox : Avant-garde
Plasma Pioneer Kuro LX 5090 H
Wave frontier: 6 sats
Visiosat: 4 sats

Hors ligne sfinxx1

  • Membre Senior
  • ****
  • Messages: 432
  • aventurier Linux (je découvre tous les jours)
Re: Connexion distante securisée SSH
« Réponse #7 le: 25 octobre 2011 à 08:05:09 »
Bonjour, merci pour ce tuto, y a plus qu'à...
VU+ Duo (PODHD 2.2 + hypercam 2.18)  TM9100S <UR18>