Connexion à distance sécurisée

Il existe plusieurs protocoles Internet permettant de se connecter à un ordinateur distant : telnet, les r-commandes (rlogin, rsh ou encore rcp), ssh (Secure Shell). Alors que telnet et les r-commandes font circuler les informations en clair sur le réseau (voir notre documentation sur les dangers de telnet), ssh est beaucoup plus sûr :

Pour ces deux raisons, nous vous conseillons vivement d'abandonner telnet et rlogin pour adopter ssh. Le piratage, ça n'existe pas que dans les films. Vous pensez peut-être que rien sur votre compte n'intéresse un pirate, et que donc il n'est pas utile de prendre vos précautions. Vous avez tort à deux titres : le pirate peut se servir de votre compte pour attaquer une autre machine... Bonne chance alors pour convaincre la DST que ce n'était pas vous. Ensuite, en vous exposant au danger, vous mettez ensuite en danger les autres utilisateurs de l'ENS. Alors soyez responsables.

Par ailleurs, ssh n'est vraiment pas une particularité UNIX. Vous pouvez vous connecter par ssh également avec Windows ou MacOS. Reportez-vous à notre documentation sur les dangers de telnet, nous vous y indiquons quels programmes vous pouvez utiliser pour faire du ssh. Vous pouvez également consulter, sur le site des WinTuteurs, le tutorial sur PuTTY.

Se connecter

L'utilisation de ssh pour se connecter à une machine est extrêmement simple sous Unix et Linux.

drakkar ~ $ ssh <login>@<nom de la machine>

Ou bien :

drakkar ~ $ ssh <nom de la machine> -l <login>

Vous pouvez utiliser aussi bien le nom de la machine (clipper.ens.fr, horus.ens.fr, etc.) que son adresse IP (pour clipper, 129.199.121.1).

Si vous avez le même login sur les deux machines en question, ce n'est pas la peine de le mentionner, tapez simplement :

drakkar ~ $ ssh <nom de la machine>

Si c'est la première fois que vous vous connectez par ssh sur cette machine, vous verrez un message tel que celui-ci :

drakkar ~ $ ssh toto@machine.monlabo.fr
The authenticity of host 'machine.monlabo.fr (111.222.333.4)' can't be established.
RSA1 key fingerprint is 1z:2y:3x:4w:56:78:98:78:ab:cd:ef:01:23:45:67:89.
Are you sure you want to continue connecting (yes/no)? 

Ne paniquez pas ! Tout est parfaitement normal, on vérifie qu'il s'agit de la bonne machine. Il suffit de répondre 'yes' pour continuer. ssh vous dira alors :

Warning: Permanently added 'machine.monlabo.fr,111.222.333.4' (RSA1) to
the list of known hosts.

Ce qui signifie que ssh ne vous embêtera plus à poser la question.

Authentification par mot de passe

La façon la plus simple de s'identifier est le mot de passe. Par défaut, ssh vous le réclamera.

clipper ~ $ ssh machine.monlabo.fr
toto@machine's password: 

Il vous suffit de taper votre mot de passe. Attention, pour des raisons de sécurité (un coup d'œil sur l'écran de son voisin est un mode de piratage basique mais efficace) celui n'apparaître pas à l'écran, vous devrez taper en aveugle. Si vous pensez avoir commis une erreur dans votre mot de passe, faites Ctrl+u et retapez le en entier. Si vous avez tapé correctement votre mot de passe, vous aurez à votre disposition un shell sur la machine distante. Sinon, vous lirez « Permission denied. » et il faudra recommencer.

Authentification par clef publique

Une autre méthode utilise ce qu'on appelle une « clef publique », c'est-à-dire un code qui vous identifie. Si vous suivez la procédure décrite ci-dessous, vous pourrez vous connecter par ssh sur une machine distante sans avoir à taper de mot de passe.

Générer la clef

Pour ce faire, commencez par taper la commande ssh-keygen (comme key generator) sur la machine locale (et pas sur la machine à distance). Le générateur de clefs va en générer deux, une clef publique et une clef privée. Il va placer la clef privée (sous forme chiffrée) dans un endroit qui, par défaut, est $HOME/.ssh/identity :

drakkar ~ $ ssh-keygen
Initializing random number generator...
Generating p:
...........................................................................
..............................................++ (distance 2064)
Generating q:  ...............++ (distance 324)
Computing the keys...
Testing the keys...
Key generation complete.
Enter file in which to save the key
(/users/00/litt/toto/.ssh/identity): 

Appuyez sur Enter pour accepter la localisation de la clef. ssh-keygen vous demande ensuite une « passphrase » (équivalent d'un mot de passe, mais sous forme de phrase). Cette phrase sert à fortifier la clef pour la rendre plus difficilement cassable. À partir de là, deux solutions :

Que vous tapiez une phrase ou pas, à la fin vous verrez 

Your identification has been saved in
/users/00/litt/toto/.ssh/identity.
Your public key is:
1024 37
123123123123123123123123123123123123123123123123123123123123123123123123123123123123123
123123123123123123123123123123123123123123123123123123123123123123123123123123123123123
123123123123123123123123123123123123 toto@machine
Your public key has been saved in
/users/00/litt/toto/.ssh/identity.pub

Que faire de la clef

Si l'on récapitule, ssh-keygen a généré deux clefs :

Maintenant, sur la machine distante, allez dans le répertoire .ssh et éditez le fichier authorized_keys : ajoutez à la fin, et sur une seule ligne (attention aux éditeurs qui coupent les lignes) la clef publique que vous venez de générer. Procédez ainsi pour toutes les machines distantes auxquelles vous voulez vous connecter sans avoir à taper votre mot de passe. Et voilà !

Utiliser ssh-agent

Si vous avez opté pour la solution « phrase de passe », bravo, votre connexion est plus sûre. Mais vous devez taper à chaque fois ladite phrase... Solution, utiliser ssh-agent.

D'abord, il faut lancer ssh-agent, qui gère les clefs d'identification. Si vous êtes logué dans une salle informatique de l'ENS avec la config conscrits, pas de problème, ssh-agent est déjà lancé. Si ce n'est pas le cas, il faut le lancer vous-même. Comme l'agent est disponible dans tous les programmes qui découlent, on le lance au début d'une session. Par exemple, quand vous êtes en mode texte et que vous lancez le serveur X :

machine ~ $ ssh-agent startx

Quand vous vous loguez à distance, c'est plutôt :

machine ~ $ exec ssh-agent $SHELL

Une fois lancé, l'agent vous suit dans toutes vos connexions à distance, et ainsi il est disponible partout. Il faut donner à l'agent votre clef à gérer en tapant ssh-add. On vous demande alors votre phrase de passe :

machine ~ $ ssh-add
Need passphrase for /home/toto/.ssh/identity (toto@machine)
Enter passphrase:
Identity added: /home/toto/.ssh/identity (toto@machine)

C'est tout !

Exécution d'une commande à distance

Vous pouvez également utiliser ssh pour exécuter une commande à distance. Par exemple, vous voulez, de votre machine personnelle, connaître l'heure sur clipper, pour savoir si votre machine est en retard, en avance ou à l'heure.

machine ~ $ ssh clipper.ens.fr date
Fri Jul  4 12:01:49 MET DST 2003

N'oubliez pas de préciser toto@machine si vos logins sont différents entre les deux machines.

Message d'erreur

Il est possible que vous voyiez un jour le message d'erreur suivant :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: HOST IDENTIFICATION HAS CHANGED!         @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle
attack)!
It is also possible that the host key has just been changed.
Please contact your system administrator.

Ce message signifie que la clef ssh (l'identification) de la machine distante a changé. En effet, à chaque fois que vous vous connectez à une machine par ssh, celle-ci présente à votre machine une sorte de carte d'identité, ainsi vous êtes sûr qu'il s'agit bien de la bonne machine et pas d'un pirate. Ou bien la machine a réellement changé de clef ssh (à l'ENS, cela arrive de temps à autres quand le SPI upgrade une machine), ou bien c'est une attaque de pirate. Il vaut mieux écrire au SPI pour savoir ce qu'il en est.

Transférer des fichiers

Il y a d'autres commandes associées à ssh qui vous permettent, de manière tout aussi sûre, de transférer des fichiers d'une machine à une autre. En l'espèce, scp (Secure Copy) a un fonctionnement aussi simple que celui de ssh.

Les explications qui suivent sous pour les sytèmes UNIX. Pour savoir comment faire sous Windows, reportez-vous au tutorial des WinTuteurs sur WinSCP.

De la machine locale à la machine distante

Pour envoyer des fichiers de votre machine locale à la machine distante, faites :

clipper ~ $ scp <mon ou mes fichiers> machine.monlabo.fr:

Attention, n'oubliez pas les deux points à la fin. Vous devrez taper votre mot de passe (sauf si vous utilisez l'authentification par clef publique, voir ci-dessus), puis ssh se lancera dans le transfert en vous indiquant sa progression :

clipper ~ $ scp tagada.txt machine.monlabo.fr:
toto@machine.monlabo.fr's password: 
tagada.txt       100% |***************************************| 2263       00:00    

Pour énumérer les fichiers à copier, mettez-les simplement à la suite, séparés par une espace, sans virgule.

Pour transférer un répertoire entier, il faut utiliser l'option -r (comme recursive), sinon ssh vous dira « <répertoire>: not a regular file ».

clipper ~ $ scp -r <répertoire> machine.monlabo.fr:

Dans ces premiers examples, le(s) fichier(s) sera ou seront copié(s), avec le même nom sur la machine distante, à la racine de votre compte. Nous allons compliquer progressivement les choses. Maintenant, vous voulez changer le nom du fichier en cours de route, renommer tagada.txt en coincoin.txt :

clipper ~ $ scp tagada.txt machine.monlabo.fr:coincoin.txt

Maintenant, nous allons envoyer notre fichier tagada.txt à un endroit précis sur le compte distant, dans le répertoire $HOME/divers/blagues :

clipper ~ $ scp tagada.txt machine.monlabo.fr:divers/blagues

De la machine distante à la machine locale

Pour rapatrier des fichiers de la machine distante à votre machine locale, la même syntaxe est utilisée, mais inversée :

clipper ~ $ scp machine.monlabo.fr:tagada.txt .

Le . (point) à la fin signifie que scp devra mettre le fichier ici, dans le répertoire dans lequel vous vous trouvez actuellement. Évidemment, vous pouvez lui indiquer un autre répertoire :

clipper ~ $ scp machine.monlabo.fr:tagada.txt divers

Et ainsi de suite, vous pouvez appliquez les mêmes techniques que pour le transfert machine locale -> machine distante, décrites ci-dessus.

Auteur : Marie-Lan Nguyen. Dernière modification : le .