tyPouypOblOg : Tag ssh, everything about ssh

OpenBSD 4.3

Sat, 12 Apr 2008 13:18:00 +0200

Nous approchons à grand pas de la sortie officiel de la nouvelle version d’OpenBSD !

OpenBSD 4.3 apporte comme d’habitude son lot de nouveautés:

Le support de toutes une série de nouvelles cartes réseau
Amélioration et nouveauté sur les drivers audio
nettoyage de code avec notamment DiskLabel qui est passé à la machine à laver :-p

Cette version est accompagné de la version 4.8 d’OpenSSH qui apporte lui aussi son lot de nouveautés. L’une d’entre elle à beaucoup fait parlé d’elle à ce sortie: l’ajout du support chroot . C’est une bonne chose qui va permettre au admisys de pouvoir dévinir plus finement les repertoires accessible par les utilisateurs de la machine. Ami de la bricabox, nous allons limité les accès :-D

Comme d’habitude vous pouvez déjà précommandé les CDs officiels.

ps: Il y a une grosse discussion sur la chanson rituel accompagnant la sortie de cette version. Il faut dire qu’elle est directement inspiré des echanges sulfureux qui ont eu lieu sur la mailing list officiel entre Richard Stallman et l’équipe Open. Pour rappel, Mr Stallman critiquais OpenBSD sur le fait de proposé du logiciel non libre dans les Ports (on a notamment parlé d’Opéra).

Alors même si l’équipe d’Open a réagi un peu fort, je crois que Mr Stallman avait lui aussi d’autre chat à fouetter que venir emmerder la liste pour une histoire de logiciel dispo uniquement via les ports, qui en plus est disponible sur toutes les distributions linux, et même installable presque plus facilement que sous OpenBSD, le tout sans avoir forcement un message indiquant que la licence n’est pas libre…

OpenBSD 4.3 - Chrooted SSH

Thu, 21 Feb 2008 21:30:00 +0100

Ca y est, on est à peine mi février que le tag 4.3-beta d’OpenBSD vient d’être posé sur la ligne.

Ca promet !

Et comme si ça ne suffisait pas, voilà qu’un petit addon apparait dans OpenSSH: on peut chrooter sshd très très facilement.

Je vais devenir gardien de prison moi :D

Bien sur, on retrouve plus de détail sur ces news chez undeadly.org

ssh avec clefs

Tue, 23 Jan 2007 10:46:00 +0100

Accéder à un serveur, avant ça se faisait par telnet. Maintenant Telnet est utilisé pour tester les connexions d’un serveur HTTP ou SMTP (ou autres) mais surement pas pour faire de l’administration de machine, car telnet est simple, basique et transmet en clair toute les instruction tapé, y compris les mots de passe.

Pour un accès plus sécurisé, l’administration de serveur (ou la simple connexion) s’effectue par le biais d’SSH. SSH est un protocole de communication, OpenSSH (voir aussi le site officiel OpenSSH.org) est un ensemble d’outil libre permettant l’utilisation de ce protocole.

Bon on arrête là les liens vers wikipedia :p Le but c’est donc de ce connecté de manière sécurisé à une machine distante. Pour cela, la machine distante doit avoir un “serveur” (ou démon) ssh qui écoute sur un port (par défaut: le 22). La commande en question:

ssh login@machine

et oui, tout simplement aller voir la man page ssh(1) pour en savoir plus.

Ensuite il faut saisir un mot de passe. Quand c’est une fois de temps à autre, ça peut aller. Quand cela vous arrive souvent taper tout le temps des mot de passe peut devenir pénible. On peut y remédier simplement. Tout d’abord, il faut se créer une clé. La commande ssh-keygen(1) nous permet de créé une clé privée et une clé publique chiffré en utilisant soit un type RSA soit DSA (arf, encore des lien wikipédia :-p ). Prenons DSA qui apparement est plus sécurisé (je ne suis pas un expert en sécurité, si quelqu’un peut me confirmé ça ?)

yafra@yeti:~$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/yafra/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/yafra/.ssh/id_dsa.
Your public key has been saved in /home/yafra/.ssh/id_dsa.pub.
The key fingerprint is:
90:56:9d:14:00:96:a1:73:dc:d1:ca:ef:09:fd:28:e6 yafra@yeti
yafra@yeti:~$

En plus de préciser l’endroit où l’on souhaite placer les clefs, on peut préciser une phrase qui servira de confirmation de clef. Cette commande va donc créer une clé publique et une privée dans le répertoire .ssh (dans mon cas). On retrouve un fichier id_dsa pour la clé privée et un id_dsa.pub pour la clé publique.

Bien, maintenant on va ajouter la clé publique sur les serveur que l’on veux pouvoir contacter sans saisir de mot de passe. On vas utiliser la commande scp(1) pour ça.

scp .ssh/id_dsa.pub monlogin@monserveur:.ssh/

On place notre clé publique dans le repertoire .ssh de notre utilisateur sur le serveur cible. Ensuite il faut se placer sur le serveur en question pour effectuer l’ajout de la clé dans la liste des cléfs autorisés:

ssh monlogin@monserveur
cat .ssh/id_dsa.pub >> .ssh/authorized_keys

Et voilà, le tour est joué. On peut maintenant se connecter en ssh sur cette machine en tapant simplement:

ssh monlogin@monserveur

Et sans avoir à taper de mot de passe. La seul condition est d’avoir la clé privé correspondante placé dans le repertoire .ssh (ou autre en fonction de la configuration du client ssh, mais c’est une autres histoire).

Ca faisait longtemps que j’avais pas posté. Faut dire qu’en se moment jesuis pas mal pris… tiens je vais d’ailleurs faire un petit top un de ces jours, dès que j’ai retouché quelque photos pour mettre avec :).

Pour ce qui est de ce billet, c’est pas bien compliqué, c’est des infos qu’on peut trouver sur pas mal de site, mais je pense que ça ne tueras personne que l’info soit disponible un peu plus :) et puis ça me fait plaisir de parler d’OpenSSH et de SSH en général, je m’en sert quotidiennement. Désolé pour ceux qui eventuellement ne comprendrais rien à tout ça (hein Terckan ;-) ).