2009-09-20 12:34:28 +02:00
<?xml version="1.0" encoding="UTF-8"?>
2003-07-08 11:23:29 +02:00
<!DOCTYPE html
PUBLIC "-//ENS/Tuteurs//DTD TML 1//EN"
"tuteurs://DTD/tml.dtd">
<html>
<head>
<title>ssh</title>
</head>
<body>
2009-09-20 12:27:14 +02:00
<h1>Connexion à distance sécurisée</h1>
2003-07-08 11:23:29 +02:00
<p>
2013-10-20 00:04:58 +02:00
SSH est un logiciel (et un protocole) permettant de se connecter à un ordinateur distant de façon sécurisée. Il vous permet en particulier d'ouvrir un shell à distance sur les machines des salles informatiques de l'ENS, et sur la machine <code>sas</code>. (Le serveur des élèves, clipper, n'est pas accessible par SSH pour des raissons de sécurité.)
2003-07-08 11:23:29 +02:00
</p>
2003-12-19 11:46:11 +01:00
<div class="encadre">
2009-09-20 12:27:14 +02:00
<strong>À savoir</strong> : le protocole SSH n'est <em>pas</em> une
2012-02-18 02:18:00 +01:00
particularité UNIX. Vous pouvez par exemple consulter, sur le site des <a
2003-07-19 13:03:18 +02:00
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a>, le <a
href="http://www.eleves.ens.fr/wintuteurs/tutorials/putty/">tutorial
2003-12-19 11:46:11 +01:00
sur PuTTY (Windows)</a>.
</div>
2013-10-14 00:07:38 +02:00
<div class="encadre">
<strong>Note</strong> : Sur cette page, il est question de SSH1 et de SSH2. Depuis quelques années déjà toutes les machines de l'ENS utilisent SSH2 et ce protocole est devenu le nouveau standard. Les informations sur SSH1 ne sont là qu'en cas de besoins vraiment particuliers.
</div>
<div class="encadre">
<strong>Note</strong> : Sur cette page, la machine <code>trolle.ens.fr</code> sera utilisée pour les démonstrations. Sachez que vous pouvez vous connecter de la même façon sur n'importe quelle machine des salles informatiques (le nom de la machine étant marqué dessus). Vous pouvez également vous connecter sur <code>sas.eleves.ens.fr</code> qui remplace l'ancien accès à <code>clipper</code> mais cette machine n'étant pas physique, il est conseillé de se connecter sur une des machines des salles informatiques pour effectuer des tâches gourmandes en ressources.
</div>
2003-07-19 13:03:18 +02:00
2003-07-08 11:23:29 +02:00
<h2>Se connecter</h2>
<p>
2009-09-20 12:27:14 +02:00
L'utilisation de <code>ssh</code> pour se connecter à une machine est
extrêmement simple.
2003-07-08 11:23:29 +02:00
</p>
2003-12-19 11:46:11 +01:00
<div class="encadre">
2009-09-20 12:27:14 +02:00
<strong>Définitions</strong> : par <dfn>machine locale</dfn>, on
2003-12-19 11:46:11 +01:00
entend la machine devant laquelle vous vous trouvez. Dans ce tutorial,
on l'appelle <code>machineloc</code>. La <dfn>machine distante</dfn>,
2009-09-20 12:27:14 +02:00
c'est celle à laquelle vous voulez vous connecter. Dans ce tutorial,
on l'appelle <code>machinedist</code>. Par exemple, si vous êtes dans
2013-10-14 00:07:38 +02:00
votre thurne et que vous voulez vous connecter à une machine de l'ENS (<code>trolle.ens.fr</code>),
2003-12-19 11:46:11 +01:00
la machine locale est votre propre ordinateur, la machine distante est
2013-10-14 00:07:38 +02:00
<code>trolle.ens.fr</code>.
2003-12-19 11:46:11 +01:00
</div>
2003-07-08 11:23:29 +02:00
<pre>
2009-09-20 12:27:14 +02:00
<span class="prompt">machineloc ~ $</span> <code>ssh</code> login@machinedist
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
On peut aussi utiliser la syntaxe équivalente :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> ssh machinedist -l login
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Pour indiquer la machine à distance, vous pouvez utiliser aussi bien
2013-10-20 00:04:58 +02:00
le nom de la machine (<code>sas.eleves.ens.fr</code>,
<code>horus.ens.fr</code>, etc.) que son adresse IP (pour sas.eleves,
<code>129.199.129.11</code>).
2003-07-08 11:23:29 +02:00
</p>
2009-09-20 12:27:14 +02:00
<p>Si vous avez le même login sur les deux machines en question, ce
n'est pas la peine de le mentionner, tapez simplement :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> ssh machinedist
2003-07-08 11:23:29 +02:00
</pre>
<p>
2009-09-20 12:27:14 +02:00
Si c'est la première fois que vous vous connectez par <code>ssh</code>
sur cette machine, vous verrez un message tel que celui-ci :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2009-09-20 12:27:14 +02:00
<span class="prompt">machineloc ~ $</span> ssh toto@machinedist
2003-12-19 11:46:11 +01:00
The authenticity of host 'machinedist' (111.222.333.4)' can't be established.
2003-07-08 11:23:29 +02:00
RSA1 key fingerprint is 1z:2y:3x:4w:56:78:98:78:ab:cd:ef:01:23:45:67:89.
2013-10-14 00:07:38 +02:00
Are you sure you want to continue connecting (yes/no)?
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Ne paniquez pas ! Tout est parfaitement normal, on vérifie qu'il
s'agit de la bonne machine. Il suffit de répondre 'yes' pour
2013-10-14 00:07:38 +02:00
continuer (si vous êtes sûr de votre connexion). <code>ssh</code> vous dira alors :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<a name="typeclef">Warning:</a> Permanently added 'machinedist,111.222.333.4' (RSA1) to
2003-07-08 11:23:29 +02:00
the list of known hosts.
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Ce qui signifie que <code>ssh</code> ne vous embêtera plus à poser la
question. Notez au passage le « RSA1 » entre parenthèses. Il s'agit du
2013-10-14 00:07:38 +02:00
type de clé utilisée par la machine distante. Cette information peut
vous servir par la suite pour générer une clé.
2003-07-08 11:23:29 +02:00
</p>
2005-05-04 12:05:56 +02:00
2003-07-08 11:23:29 +02:00
<h3>Authentification par mot de passe</h3>
<p>
2009-09-20 12:27:14 +02:00
La façon la plus simple de s'identifier est le mot de passe. Par
défaut, <code>ssh</code> vous le réclamera.
2003-07-08 11:23:29 +02:00
</p>
<pre>
2013-10-14 00:07:38 +02:00
<span class="clipper">trolle.ens.fr ~ $</span> ssh machine.monlabo.fr
toto@machine's password:
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
Il vous suffit de taper votre mot de passe. Attention, pour des
2009-09-20 12:27:14 +02:00
raisons de sécurité (un coup d'œil sur l'écran de son voisin est
un mode de piratage basique mais efficace) celui n'apparaître pas à
l'écran, vous devrez taper en aveugle. Si vous pensez avoir commis une
2013-10-14 00:07:38 +02:00
erreur dans votre mot de passe, faites <code>Ctrl+u</code> et retapez-le
en entier. Si vous avez tapé correctement votre mot de passe, vous
2009-09-20 12:27:14 +02:00
aurez à votre disposition un shell sur la machine distante. Sinon,
vous lirez « <i lang="en">Permission denied.</i> » et il faudra
2003-07-08 11:23:29 +02:00
recommencer.
</p>
2013-10-14 00:07:38 +02:00
<h3>Authentification par clé publique</h3>
2003-07-08 11:23:29 +02:00
<p>
2013-10-14 00:07:38 +02:00
Une autre méthode utilise ce qu'on appelle une « clé publique »,
2009-09-20 12:27:14 +02:00
c'est-à-dire un code qui vous identifie. Si vous suivez la procédure
décrite ci-dessous, vous pourrez vous connecter par <code>ssh</code>
2013-10-14 00:07:38 +02:00
sur une machine distante sans avoir à taper de mot de passe. De plus,
cette méthode permet de se connecter sur plusieurs machines avec la même
clé, ce qui peut être pratique. Enfin, utiliser une clé publique augmente
(légèrement) la sécurité en cas de compromission du serveur : celui-ci ne peut
pas récupérer votre mot de passe.
2003-07-08 11:23:29 +02:00
</p>
2013-10-14 00:07:38 +02:00
<h4><a name="type">Type de clé</a></h4>
2003-12-19 11:46:11 +01:00
<p>
2009-09-20 12:27:14 +02:00
Il existe différentes versions de SSH. Suivant le type de version
2013-10-14 00:07:38 +02:00
utilisé sur la machine distante, le type de clé à générer
2009-09-20 12:27:14 +02:00
diffère. Cette information vous est donnée par exemple lors de votre
première connexion <code>ssh</code> sur cette machine (voir <a
2003-12-19 11:46:11 +01:00
href="#typeclef">ci-dessus</a>). Si vous ne vous en souvenez plus,
2013-10-14 00:07:38 +02:00
sachez que SSH1 utilise généralement des clés RSA1, et que SSH2 peut utiliser des clés
RSA ou DSA. Pour connaître la version de SSH utilisée sur la machine
2009-09-20 12:27:14 +02:00
distante, tapez <code>ssh -v</code> sur la machine distante.
2003-12-19 11:46:11 +01:00
</p>
2004-01-02 11:34:07 +01:00
<div class="ens">
2009-09-20 12:27:14 +02:00
À l'ENS, depuis décembre 2003, les ordinateurs utilisent SSH2. Si vous
2013-10-14 00:07:38 +02:00
aviez déjà une clé publique pour vous connecter à l'ENS, il vaut
mieux en changer. Il vous suffit de générer une nouvelle clé, de type
RSA (chiffrement recommandé), et de suivre de nouveau la procédure ci-dessous.
2004-01-02 11:34:07 +01:00
</div>
2003-12-19 11:46:11 +01:00
<pre>
2013-10-20 00:17:06 +02:00
<span class="prompt">trolle ~</span> $ ssh -v
2004-01-02 11:34:07 +01:00
OpenSSH_3.7.1p2, SSH protocols 1.5/2.0, OpenSSL 0.9.7c 30 Sep 2003
Usage: ssh [options] host [command]
<...>
2003-12-19 11:46:11 +01:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Le « SSH protocols 1.5/2.0 » vous indique qu'il s'agit d'un
<code>ssh</code> récent qui peut faire du SSH1 ou du SSH2.
2003-12-19 11:46:11 +01:00
</p>
2013-10-14 00:07:38 +02:00
<h4><a name="keygen">Générer la clé</a></h4>
2003-07-08 11:23:29 +02:00
<p>
Pour ce faire, commencez par taper la commande <code>ssh-keygen</code>
(comme <i lang="en">key generator</i>) <strong>sur la machine
2013-10-14 00:07:38 +02:00
locale</strong> (et pas sur la machine distante).
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> ssh-keygen
</pre>
<p>
2009-09-20 12:27:14 +02:00
Avec un <code>ssh</code> récent, qui peut faire du SSH1 ou du SSH2, il
2013-10-14 00:07:38 +02:00
faut indiquer le type de clé à générer (voir ci-dessus). Par exemple,
pour générer une clé RSA (recommandé) :
2003-12-19 11:46:11 +01:00
</p>
2013-10-14 00:07:38 +02:00
<pre>
<span class="prompt">machineloc ~ $</span> ssh-keygen -t rsa
</pre>
<p>Pour générer une clé de type DSA, il suffit d'utiliser la commande suivant à la place :</p>
2003-12-19 11:46:11 +01:00
<pre>
2004-01-02 11:34:07 +01:00
<span class="prompt">machineloc ~ $</span> ssh-keygen -t dsa
2003-12-19 11:46:11 +01:00
</pre>
2013-10-14 00:07:38 +02:00
<p>Notez également qu'il est possible de spécifier la taille de la clé (en bits) avec le paramètre <code>-b X</code> où X est un nombre de bits à choisir parmi (par exemple) 1024, 2048 (minimum recommandé), 4096.</p>
2003-12-19 11:46:11 +01:00
<p class="continue">
2013-10-14 00:07:38 +02:00
Le générateur de clés va en générer deux, une clé publique et une
clé privée. Il va placer la clé privée (sous forme chiffrée) dans un
endroit qui, par défaut, est <code>$HOME/.ssh/id_rsa</code> pour
SSH2 et une clé chiffrée en RSA et <code>$HOME/.ssh/identity</code> pour SSH1 :
2003-12-19 11:46:11 +01:00
</p>
<pre>
2013-10-14 00:07:38 +02:00
<span class="prompt">machineloc ~ $</span> ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/usr/home/toto/.ssh/id_rsa):
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">Appuyez sur <code>Enter</code> pour accepter la
2013-10-14 00:07:38 +02:00
localisation de la clé (il est plus simple d'accepter la localisation
2009-09-20 12:27:14 +02:00
proposée). <code>ssh-keygen</code> vous demande ensuite une « <i
lang="en">passphrase</i> » (équivalent d'un mot de passe, mais sous
2013-10-14 00:07:38 +02:00
forme de phrase). Cette phrase sert à fortifier la clé pour la rendre
2009-09-20 12:27:14 +02:00
plus difficilement cassable. À partir de là, deux solutions :
2003-07-08 11:23:29 +02:00
</p>
<ul>
2009-09-20 12:27:14 +02:00
<li> si vous tapez une phrase, votre connection sera plus sûre, mais
vous devrez utiliser <code>ssh-agent</code> pour ne pas avoir à la
2013-10-14 00:07:38 +02:00
retaper à chaque fois (voir <a href="#ssh-agent">plus bas</a>). Si votre clé privée est récupérée, elle ne peut pas être utilisée sans la passphrase associée.</li>
2004-01-02 11:34:07 +01:00
2003-07-08 11:23:29 +02:00
<li> vous ne tapez pas de phrase (et appuyez seulement sur
2013-10-14 00:07:38 +02:00
<code>Enter</code>), votre connexion sera moins sûre. N'importe qui ayant accès à votre clé privée pourra se connecter en s'identifiant à votre place.</li>
2003-07-08 11:23:29 +02:00
</ul>
2009-09-20 12:27:14 +02:00
<p>Que vous tapiez une phrase ou pas, à la fin vous verrez quelque
chose comme </p>
2003-07-08 11:23:29 +02:00
<pre>
2013-10-14 00:07:38 +02:00
Your identification has been saved in /usr/home/toto/.ssh/id_rsa.
Your public key has been saved in /usr/home/toto/.ssh/id_rsa.pub.
2004-01-02 11:34:07 +01:00
The key fingerprint is:
1a:2a:3e:4a:1a:65:1c:89:10:92:9c:5c:1f:75:cc:de
toto@machineloc
2003-07-08 11:23:29 +02:00
</pre>
2013-10-14 00:07:38 +02:00
<h4>Que faire de la clé ?</h4>
2003-07-08 11:23:29 +02:00
<p class="continue">
2009-09-20 12:27:14 +02:00
Si l'on récapitule, <code>ssh-keygen</code> a généré deux
2013-10-14 00:07:38 +02:00
clés :</p>
2003-07-08 11:23:29 +02:00
<ul>
2013-10-14 00:07:38 +02:00
<li> une clé privée (chiffrée si vous avez donné une phrase, non
2009-09-20 12:27:14 +02:00
chiffrée sinon) qui est <code>$HOME/.ssh/identity</code> (ou
2013-10-14 00:07:38 +02:00
<code>$HOME/.ssh/id_rsa</code> si c'est du SSH2) et qui n'est
accessible qu'à vous.</li>
2003-07-08 11:23:29 +02:00
2013-10-14 00:07:38 +02:00
<li> une clé publique (non chiffrée) qui est
<code>$HOME/.ssh/id_rsa.pub</code> (ou
2004-01-02 11:34:07 +01:00
<code>$HOME/.ssh/identity.pub</code> si c'est du SSH1) et qui peut
2013-10-14 00:07:38 +02:00
être lue par tout le monde.</li>
2003-12-19 11:46:11 +01:00
2003-07-08 11:23:29 +02:00
</ul>
2003-12-19 11:46:11 +01:00
<div class="encadre">
2009-09-20 12:27:14 +02:00
<strong>Définition</strong> : qu'est-ce que ce
2013-10-14 00:07:38 +02:00
« <code>$HOME</code> » ? <dfn>$HOME</dfn> (ou <code>~</code>) est ce qu'on appelle une
2009-09-20 12:27:14 +02:00
variable d'environnement, qui sert à indiquer aux programmes quel est
votre répertoire personnel (la racine de votre compte). Faites
2013-10-14 00:07:38 +02:00
<code>echo $HOME</code> dans un terminal sur une machine de l'ENS
pour savoir quel est le vôtre. Par exemple, sur les machines de l'ENS, c'est
2003-12-19 11:46:11 +01:00
<code>/users/promo/matiere/login</code>. Pour en savoir plus, voir
2009-09-20 12:27:14 +02:00
l'article « <a
href="&url.tuteurs;docs/hublot/hublot03.html#concept">Concept :
2013-10-14 00:07:38 +02:00
arborescence</a> » dans le n°3 du <cite>Hublot</cite>.<br/>
2003-12-19 11:46:11 +01:00
</div>
2003-07-08 11:23:29 +02:00
<p>
Maintenant, sur la machine <strong>distante</strong>, allez dans le
2013-10-14 00:07:38 +02:00
répertoire <code>~/.ssh</code> et éditez le fichier
2009-09-20 12:27:14 +02:00
<code>authorized_keys</code> : ajoutez à la fin, et <strong>sur
une seule ligne</strong> (attention aux éditeurs qui coupent les
2013-10-14 00:07:38 +02:00
lignes) la clé publique (<code>identity.pub</code> pour SSH1 ou
<code>id_rsa.pub</code> pour SSH2) que vous venez de générer (attention,
il faut bien ajouter la clé publique et non la clé privée !). Procédez
2003-12-19 11:46:11 +01:00
ainsi pour toutes les machines distantes auxquelles vous voulez vous
2009-09-20 12:27:14 +02:00
connecter sans avoir à taper votre mot de passe. Et voilà !
2003-07-08 11:23:29 +02:00
</p>
2003-12-19 11:46:11 +01:00
<h4><a name="ssh-agent">Utiliser <code>ssh-agent</code></a></h4>
2003-07-08 11:23:29 +02:00
<p>
2009-09-20 12:27:14 +02:00
Si vous avez opté pour la solution « phrase de passe », bravo, votre
2013-10-14 00:07:38 +02:00
connexion est plus sûre, votre clé privée ne peut pas être usurpée. Mais vous devez taper à chaque fois ladite
phrase... ce qui est vite pénible. Solution, utiliser <code>ssh-agent</code>.
2003-07-08 11:23:29 +02:00
</p>
2013-10-14 00:07:38 +02:00
<p>D'abord, il faut lancer <code>ssh-agent</code>, qui gère les clés
2009-09-20 12:27:14 +02:00
d'identification. Si vous êtes logué dans une salle informatique de
l'ENS avec la config conscrits, pas de problème,
<code>ssh-agent</code> est déjà lancé. Si ce n'est pas le cas, il faut
le lancer vous-même.
2003-12-19 11:46:11 +01:00
</p>
<p>
2013-10-14 00:07:38 +02:00
Comme l'agent est disponible dans tous les programmes lancés ultérieurement,
2009-09-20 12:27:14 +02:00
on le lance au début d'une session. Par exemple, quand vous êtes en
mode texte et que vous lancez le serveur X :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> ssh-agent startx
2003-07-08 11:23:29 +02:00
</pre>
2003-12-19 11:46:11 +01:00
<p class="continue">
2009-09-20 12:27:14 +02:00
Quand vous vous loguez à distance, c'est plutôt :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machinedist ~ $</span> exec ssh-agent $SHELL
2003-07-08 11:23:29 +02:00
</pre>
<p>
2009-09-20 12:27:14 +02:00
Une fois lancé, l'agent vous suit dans toutes vos connexions à
distance, et ainsi il est disponible partout. Il faut donner à l'agent
2013-10-14 00:07:38 +02:00
votre clé à gérer en tapant <code>ssh-add</code>. On vous demande
2009-09-20 12:27:14 +02:00
alors votre phrase de passe :
2003-07-08 11:23:29 +02:00
</p>
<pre>
<span class="prompt">machine ~ $</span> ssh-add
2013-10-14 00:07:38 +02:00
Need passphrase for /home/toto/.ssh/id_rsa (toto@machine)
2003-07-08 11:23:29 +02:00
Enter passphrase:
2013-10-14 00:07:38 +02:00
Identity added: /home/toto/.ssh/id_rsa (toto@machine)
2003-07-08 11:23:29 +02:00
</pre>
2013-10-14 00:07:38 +02:00
<p><em>Note</em> : Les dernières versions des environnements de bureau sous Linux possèdent leur propre interface graphique qui sert de surcouche à <code>ssh-agent</code>. Par exemple, <code>seahorse</code> (ou Trousseau de clé Gnome) tient ce rôle dans Gnome. L'utilisation de <code>ssh-agent</code> peut alors être facilitée, notamment car ces logiciels déverrouillent les clés SSH avec le mot de passe de login directement.</p>
2009-09-20 12:27:14 +02:00
<h3>Exécution d'une commande à distance</h3>
2003-07-08 11:23:29 +02:00
<p>
2009-09-20 12:27:14 +02:00
Vous pouvez également utiliser <code>ssh</code> pour exécuter une
commande à distance. Par exemple, vous voulez, de votre machine
2013-10-20 00:04:58 +02:00
personnelle, connaître l'heure sur sas.eleves, pour savoir si votre
2009-09-20 12:27:14 +02:00
machine est en retard, en avance ou à l'heure.
2003-07-08 11:23:29 +02:00
</p>
<pre>
2013-10-20 00:04:58 +02:00
<span class="prompt">machineloc ~ $</span> ssh sas.eleves.ens.fr date
2003-07-08 11:23:29 +02:00
Fri Jul 4 12:01:49 MET DST 2003
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
N'oubliez pas de préciser <code>toto@machine</code> si vos logins sont
différents entre les deux machines. Si vous voulez exécuter à distance
2003-12-19 11:46:11 +01:00
une commande avec des options, mieux vaut mettre des guillemets. Par
2013-10-14 00:07:38 +02:00
exemple, je peux savoir si <code>brick</code> est une station Sun ou
2003-12-19 11:46:11 +01:00
un PC, en utilisant la commande <code>uname</code>.
2003-07-08 11:23:29 +02:00
</p>
2003-12-19 11:46:11 +01:00
<pre>
<span class="prompt">machineloc ~ $</span> ssh toto@brick.ens.fr "uname -p"
i386
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
La réponse est « i386 », dénomination utilisée pour les PC.
2003-12-19 11:46:11 +01:00
</p>
2003-07-08 11:23:29 +02:00
2013-10-14 00:07:38 +02:00
<p><em>Petite astuce pour <a href="&url.tuteurs;internet/irc.html">IRC</a></em> : Il est possible de se connecter sur IRC sur une machine de l'ENS directement avec la commande suivante (créer un alias pour plus de facilité) :</p>
<pre>
<span class="prompt">machineloc ~ $</span> ssh login@trolle.ens.fr -t irc
</pre>
2003-07-08 11:23:29 +02:00
<h3>Message d'erreur</h3>
<p>
2009-09-20 12:27:14 +02:00
Il est possible que vous voyiez un jour le message d'erreur suivant :
2003-07-08 11:23:29 +02:00
</p>
<pre>
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle
attack)!
It is also possible that the host key has just been changed.
Please contact your system administrator.
</pre>
<p class="continue">
2013-10-14 00:07:38 +02:00
Ce message signifie que la clé ssh (l'identification) de la machine
2009-09-20 12:27:14 +02:00
distante a changé. En effet, à chaque fois que vous vous connectez à
une machine par <code>ssh</code>, celle-ci présente à votre machine
une sorte de carte d'identité, ainsi vous êtes sûr qu'il s'agit bien
2003-07-08 11:23:29 +02:00
de la bonne machine et pas d'un pirate. Ou bien la machine a
2013-10-14 00:07:38 +02:00
réellement changé de clé ssh (à l'ENS, cela arrive de temps à autres
2003-07-08 11:23:29 +02:00
quand le SPI upgrade une machine), ou bien c'est une attaque de
2009-09-20 12:27:14 +02:00
pirate. Il vaut mieux écrire au SPI pour savoir ce qu'il en est.
2003-07-08 11:23:29 +02:00
</p>
2009-09-20 12:27:14 +02:00
<h2>Transférer des fichiers</h2>
2003-07-08 11:23:29 +02:00
2009-09-20 12:27:14 +02:00
<p>Il y a d'autres commandes associées à <code>ssh</code> qui vous
permettent, de manière tout aussi sûre, de transférer des fichiers
d'une machine à une autre. En l'espèce, <code>scp</code> (<i
2003-07-19 13:03:18 +02:00
lang="en">Secure Copy</i>) a un fonctionnement aussi simple que celui
de <code>ssh</code>.</p>
<p>
2009-09-20 12:27:14 +02:00
Les explications qui suivent sous pour les sytèmes UNIX. Pour savoir
2003-07-19 13:03:18 +02:00
comment faire sous Windows, reportez-vous au tutorial des <a
2003-07-10 20:06:56 +02:00
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a> sur <a
2003-07-19 13:03:18 +02:00
href="http://www.eleves.ens.fr/wintuteurs/tutorials/transfiles/">WinSCP</a>.
2003-07-08 11:23:29 +02:00
</p>
2009-09-20 12:27:14 +02:00
<h3>De la machine locale à la machine distante</h3>
2003-07-08 11:23:29 +02:00
2009-09-20 12:27:14 +02:00
<p>Pour envoyer des fichiers de votre machine locale à la machine
distante, faites :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2005-07-05 09:17:03 +02:00
<span class="prompt">machineloc ~ $</span> scp fichier1 fichier2 fichier3 machinedist:
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Attention, <em>n'oubliez pas les deux points à la fin</em>. Vous
2003-07-08 11:23:29 +02:00
devrez taper votre mot de passe (sauf si vous utilisez
2013-10-14 00:07:38 +02:00
l'authentification par clé publique, voir ci-dessus), puis
2003-07-08 11:23:29 +02:00
<code>ssh</code> se lancera dans le transfert en vous indiquant sa
2009-09-20 12:27:14 +02:00
progression :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> scp tagada.txt machinedist:
2013-10-14 00:07:38 +02:00
toto@machinedist's password:
tagada.txt 100% |***************************************| 2263 00:00
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Pour énumérer les fichiers à copier, mettez-les simplement à la suite,
séparés par une espace, sans virgule.
2003-07-08 11:23:29 +02:00
</p>
2009-09-20 12:27:14 +02:00
<p>Pour transférer un <strong>répertoire</strong> entier, il faut
2003-07-08 11:23:29 +02:00
utiliser l'option <code>-r</code> (comme <i lang="en">recursive</i>),
2009-09-20 12:27:14 +02:00
sinon ssh vous dira « répertoire: <i lang="en">not a regular
file</i> ».
2003-07-08 11:23:29 +02:00
</p>
<pre>
2009-09-20 12:27:14 +02:00
<span class="prompt">machineloc ~ $</span> scp -r répertoire machinedist:
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Dans ces premiers exemples, le(s) fichier(s) sera ou seront copié(s),
avec le <em>même nom</em> sur la machine distante, à la racine de
2003-07-08 11:23:29 +02:00
votre compte. Nous allons compliquer progressivement les
choses. Maintenant, vous voulez changer le nom du fichier en cours de
route, renommer <code>tagada.txt</code> en
2009-09-20 12:27:14 +02:00
<code>coincoin.txt</code> :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> scp tagada.txt machinedist:coincoin.txt
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
Maintenant, nous allons envoyer notre fichier <code>tagada.txt</code>
2009-09-20 12:27:14 +02:00
à un endroit précis sur le compte distant, dans le répertoire
<code>$HOME/divers/blagues</code> :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> scp tagada.txt machinedist:divers/blagues
2003-07-08 11:23:29 +02:00
</pre>
2013-10-14 00:07:38 +02:00
<p class="continue">
Et même vers n'importe quel répertoire (<code>/bidule</code> par exemple où / est la racine de la machine) :
</p>
<pre>
<span class="prompt">machineloc ~ $</span> scp tagada.txt machinedist:/bidule
</pre>
2009-09-20 12:27:14 +02:00
<h3>De la machine distante à la machine locale</h3>
2003-07-08 11:23:29 +02:00
2009-09-20 12:27:14 +02:00
<p>Pour rapatrier des fichiers de la machine distante à votre machine
locale, la même syntaxe est utilisée, mais inversée :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> scp machinedist:tagada.txt .
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Le . (point) à la fin signifie que <code>scp</code> devra mettre le
fichier <em>ici</em>, dans le répertoire dans lequel vous vous trouvez
actuellement. Évidemment, vous pouvez lui indiquer un autre
répertoire :
2003-07-08 11:23:29 +02:00
</p>
<pre>
2003-12-19 11:46:11 +01:00
<span class="prompt">machineloc ~ $</span> scp machinedist:tagada.txt divers
2003-07-08 11:23:29 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
Et ainsi de suite, vous pouvez appliquez les mêmes techniques que pour
le transfert machine locale -> machine distante, décrites ci-dessus.
2003-07-08 11:23:29 +02:00
</p>
2003-09-08 15:09:29 +02:00
2007-09-02 13:58:44 +02:00
<h3>Sous KDE</h3>
<p> Sous KDE (par exemple dans la <a
2007-09-02 14:16:44 +02:00
href="&url.tuteurs;unix/config/">config conscrits</a> 2006 et plus),
2009-09-20 12:27:14 +02:00
il est possible d'accéder par ssh aux fichiers situés sur une machine
2007-09-02 13:58:44 +02:00
distante avec le gestionnaire de fichiers Konqueror. Pour ce faire,
tapez simplement dans la barre d'adresses de Konqueror : </p>
2009-09-20 12:27:14 +02:00
<pre>sftp://login@machinedist/répertoire/</pre>
2007-09-02 13:58:44 +02:00
<p class="continue">par exemple</p>
2013-10-14 00:07:38 +02:00
<pre>sftp://conscrit@trolle.ens.fr/users/06/maths/conscrit/</pre>
2007-09-02 13:58:44 +02:00
2009-09-20 12:27:14 +02:00
<p class="continue">Une boîte de dialogue apparaît si nécessaire pour
2007-09-02 14:16:44 +02:00
vous demander votre mot de passe. Vous pouvez ensuite copier,
2009-09-20 12:27:14 +02:00
déplacer, modifier les fichiers existants (et en ajouter) presque
comme s'ils étaient sur la machine locale.</p>
2007-09-02 13:58:44 +02:00
2009-09-20 12:27:14 +02:00
<p>La même astuce marche depuis n'importe quelle boîte de dialogue de
2007-09-02 13:58:44 +02:00
gestion de fichiers de KDE, par exemple celles auxquelles font appel
les fonctions Ouvrir et Enregistrer des divers logiciels. </p>
2005-05-04 12:05:56 +02:00
2013-10-14 00:07:38 +02:00
<h3>Sous Gnome</h3>
<p>La même chose est possible sous Gnome, en passant par le menu "Connexion à un serveur" du gestionnaire de fichiers Nautilus.</p>
2009-09-20 12:27:14 +02:00
<h2>Créer des alias</h2>
2005-05-04 12:05:56 +02:00
2009-09-20 12:27:14 +02:00
<p> Quand on utilise beaucoup la connexion distante, il devient très
vite fastidieux d'avoir toujours à taper en entier le nom
2013-10-14 00:07:38 +02:00
<code>trolle.ens.fr</code>, <em>a fortiori</em> son adresse IP
<code>129.199.129.38</code>. S'il n'y a pas d'ambiguïté (en l'occurrence,
si vous n'utilisez jamais qu'un seul serveur portant le nom de trolle,
et pas, par exemple, trolle.ens.fr et trolle.chezmoi.fr), vous pouvez
2009-09-20 12:27:14 +02:00
<strong>assigner un alias à une adresse</strong>. Pour ce faire, mettez
2005-05-04 12:05:56 +02:00
dans le fichier <code>$HOME/.ssh/config</code> les lignes
2009-09-20 12:27:14 +02:00
suivantes : </p>
2005-05-04 12:05:56 +02:00
<pre>
2013-10-14 00:07:38 +02:00
Host trolle
2005-05-04 12:05:56 +02:00
User toto
2013-10-14 00:07:38 +02:00
HostName trolle.ens.fr
2005-05-04 12:05:56 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
(n'oubliez pas de remplacer « toto » par votre nom d'utilisateur).
2005-05-04 12:05:56 +02:00
</p>
<p>
2009-09-20 12:27:14 +02:00
Ainsi, il suffira de taper :
2005-05-04 12:05:56 +02:00
</p>
<pre>
2013-10-14 00:07:38 +02:00
<span class="prompt">machineloc ~ $</span> ssh trolle
2005-05-04 12:05:56 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
au lieu de :
2005-05-04 12:05:56 +02:00
</p>
<pre>
2013-10-14 00:07:38 +02:00
<span class="prompt">machineloc ~ $</span> ssh toto@trolle.ens.fr
2005-05-04 12:05:56 +02:00
</pre>
<p>
2009-09-20 12:27:14 +02:00
Cette modification s'étend également à <code>scp</code>. Il vous suffit
en effet de taper :
2005-05-04 12:05:56 +02:00
</p>
<pre>
2013-10-14 00:07:38 +02:00
<span class="prompt">machineloc ~ $</span> scp tagada.txt trolle:divers/blagues
2005-05-04 12:05:56 +02:00
</pre>
<p class="continue">
2009-09-20 12:27:14 +02:00
au lieu de :
2005-05-04 12:05:56 +02:00
</p>
<pre>
2013-10-14 00:07:38 +02:00
<span class="prompt">machineloc ~ $</span> scp tagada.txt toto@trolle.ens.fr:divers/blagues
2005-05-04 12:05:56 +02:00
</pre>
2012-02-18 02:18:00 +01:00
<h2>Informations périmées</h2>
<div class="attention">
<strong>Mise à jour</strong> : à l'ENS, depuis décembre 2003, les
2013-10-14 00:07:38 +02:00
ordinateurs utilisent SSH2. Si vous aviez déjà une clé publique pour
2012-02-18 02:18:00 +01:00
vous connecter à l'ENS, il vaut mieux en changer. Il vous suffit de
2013-10-14 00:07:38 +02:00
générer une nouvelle clé, de type RSA, et de <a href="#keygen">suivre
2012-02-18 02:18:00 +01:00
de nouveau la procédure</a>.
</div>
<p>
Il existe plusieurs protocoles Internet permettant de se connecter à
un ordinateur distant : <code>telnet</code>, les r-commandes
(<code>rlogin</code>, <code>rsh</code> ou encore <code>rcp</code>),
<code>ssh</code> (<i lang="la">Secure Shell</i>). Alors que
<code>telnet</code> et les r-commandes font circuler les informations
en clair sur le réseau (voir notre documentation sur les <a
href="&url.tuteurs;internet/dangers_telnet.html">dangers de
<code>telnet</code></a>), <code>ssh</code> est beaucoup plus
sûr :
</p>
<ul>
2013-10-14 00:07:38 +02:00
<li> le client (par exemple, vous) et le serveur (trolle.ens.fr)
2012-02-18 02:18:00 +01:00
s'authentifient mutuellement, ce qui évite que des pirates se fassent
passer pour l'un ou pour l'autre</li>
<li> les données échangées sur le réseau par le biais de
<code>ssh</code> sont chiffrées, ce qui garantit leur confidentialité</li>
</ul>
<p class="continue">
Pour ces deux raisons, nous vous conseillons vivement
d'<strong>abandonner <code>telnet</code> et
<code>rlogin</code></strong> pour adopter <code>ssh</code>. Le
piratage, ça n'existe pas que dans les films. Vous pensez peut-être
que rien sur votre compte n'intéresse un pirate, et que donc il n'est
pas utile de prendre vos précautions. Vous avez tort à deux
titres : le pirate peut se servir de votre compte pour attaquer
une autre machine... Bonne chance alors pour convaincre la DST que ce
n'était pas vous. Ensuite, en vous exposant au danger, vous mettez
ensuite en danger les autres utilisateurs de l'ENS. Alors soyez
responsables.
</p>
2013-10-14 00:07:38 +02:00
<div class="metainformation">Auteur : Marie-Lan Nguyen, Marc Mezzarobba, Antoine Amarilli, Lucas Verney. <date value="from git" /></div>
2003-07-08 11:23:29 +02:00
</body>
2003-09-25 10:49:28 +02:00
</html>
2012-02-18 02:18:00 +01:00