SSH Essentials: Utilisation des serveurs, des clients et des clés SSH

Lorsque vous vous connectez via SSH, vous êtes transféré dans une session shell, qui est une interface textuelle permettant d’interagir avec votre serveur. Pendant toute la durée de votre session SSH, toutes les commandes que vous tapez dans votre terminal local sont envoyées via un tunnel SSH chiffré et exécutées sur votre serveur.

La connexion SSH est implémentée à l’aide d’un modèle client-serveur. Cela signifie que pour établir une connexion SSH, la machine distante doit exécuter un logiciel appelé démon SSH. Ce logiciel écoute les connexions sur un port réseau spécifique, authentifie les demandes de connexion et génère l’environnement approprié si l’utilisateur fournit les informations d’identification correctes.

L’ordinateur de l’utilisateur doit disposer d’un client SSH. Il s’agit d’un logiciel qui sait comment utiliser le protocole SSH pour communiquer et peut recevoir des informations sur l’hôte distant auquel se connecter, le nom d’utilisateur à utiliser et les informations d’identification devant être transmises pour l’authentification. Le client peut également spécifier certains détails sur le type de connexion qu’il souhaite établir.

Les clients s’authentifient généralement à l’aide de mots de passe (moins sécurisés et non recommandés) ou de clés SSH, qui sont très sécurisées.

Les identifiants de mot de passe sont cryptés et sont faciles à comprendre pour les nouveaux utilisateurs. Cependant, les robots automatisés et les utilisateurs malveillants tentent souvent de s’authentifier auprès de comptes permettant des connexions avec mot de passe, ce qui peut entraîner des problèmes de sécurité. Pour cette raison, nous vous recommandons de toujours configurer l’authentification par clé SSH pour la plupart des configurations.

Les clés SSH sont un ensemble correspondant de clés cryptographiques pouvant être utilisées pour l’authentification. Chaque ensemble contient une clé publique et une clé privée. La clé publique peut être partagée librement sans souci, tandis que la clé privée doit être gardée avec vigilance et ne jamais être exposée à qui que ce soit.

Pour s’authentifier à l’aide de clés SSH, un utilisateur doit disposer d’une paire de clés SSH sur son ordinateur local. Sur le serveur distant, la clé publique doit être copiée dans un fichier du répertoire de base de l’utilisateur, sous + ~ / .ssh / allowed_keys +. Ce fichier contient une liste de clés publiques, une par ligne, autorisées à se connecter à ce compte.

Lorsqu’un client se connecte à l’hôte et souhaite utiliser l’authentification par clé SSH, il en informera le serveur et lui indiquera la clé publique à utiliser. Le serveur recherche ensuite la clé publique dans son fichier + registered_keys +, génère une chaîne aléatoire et la chiffre en utilisant la clé publique. Ce message chiffré ne peut être déchiffré qu’avec la clé privée associée. Le serveur enverra ce message crypté au client pour vérifier s’il possède la clé privée associée.

À la réception de ce message, le client le déchiffrera à l’aide de la clé privée et combinera la chaîne aléatoire révélée avec un identifiant de session préalablement négocié. Il génère ensuite un hachage MD5 de cette valeur et le renvoie au serveur. Le serveur avait déjà le message d’origine et l’ID de session. Il peut donc comparer un hachage MD5 généré par ces valeurs et déterminer que le client doit posséder la clé privée.

Maintenant que vous savez comment fonctionne SSH, nous pouvons commencer à discuter de quelques exemples pour illustrer différentes façons de travailler avec SSH.

Générer une nouvelle paire de clés publique et privée SSH sur votre ordinateur local est la première étape vers l’authentification avec un serveur distant sans mot de passe. À moins d’une bonne raison de ne pas le faire, vous devez toujours vous authentifier à l’aide de clés SSH.

Un certain nombre d’algorithmes cryptographiques peuvent être utilisés pour générer des clés SSH, notamment RSA, DSA et ECDSA. Les clés RSA sont généralement préférées et constituent le type de clé par défaut.

Pour générer une paire de clés RSA sur votre ordinateur local, tapez:

Cette invite vous permet de choisir l’emplacement où stocker votre clé privée RSA. Appuyez sur ENTREE pour laisser cette valeur par défaut. Elle sera stockée dans le répertoire caché + .ssh + du répertoire de base de votre utilisateur. Si vous laissez l’emplacement par défaut sélectionné, votre client SSH pourra rechercher les clés automatiquement.

L’invite suivante vous permet d’entrer une phrase secrète d’une longueur arbitraire pour sécuriser votre clé privée. Par défaut, vous devez entrer toute phrase secrète que vous avez définie ici chaque fois que vous utilisez la clé privée, en tant que mesure de sécurité supplémentaire. N’hésitez pas à appuyer sur ENTREE pour laisser ce champ vide si vous ne voulez pas de phrase secrète. Gardez toutefois à l’esprit que cela permettra à toute personne obtenant le contrôle de votre clé privée de se connecter à vos serveurs.

Si vous choisissez de saisir une phrase secrète, rien ne s’affiche lorsque vous tapez. Ceci est une mesure de sécurité.

Cette procédure a généré une paire de clés RSA SSH, située dans le répertoire caché + .ssh + du répertoire de base de votre utilisateur. Ces fichiers sont:

Les clés SSH sont 2048 bits par défaut. Cela est généralement considéré comme suffisant pour la sécurité, mais vous pouvez spécifier un plus grand nombre de bits pour une clé plus solide.

Pour ce faire, incluez l’argument + -b + avec le nombre de bits souhaité. La plupart des serveurs prennent en charge les clés d’une longueur d’au moins 4096 bits. Des clés plus longues peuvent ne pas être acceptées à des fins de protection DDOS:

Si vous avez déjà créé une clé différente, il vous sera demandé si vous souhaitez écraser votre clé précédente:

Si vous choisissez «oui», votre clé précédente sera remplacée et vous ne pourrez plus vous connecter aux serveurs à l’aide de cette clé. Pour cette raison, veillez à écraser les clés avec précaution.

Si vous avez généré une phrase secrète pour votre clé privée et souhaitez la modifier ou la supprimer, vous pouvez le faire facilement.

Pour changer ou supprimer le mot de passe, tapez simplement:

Vous pouvez taper l’emplacement de la clé que vous souhaitez modifier ou appuyer sur ENTREE pour accepter la valeur par défaut:

Entrez l’ancienne phrase de passe que vous souhaitez modifier. Vous serez alors invité à entrer une nouvelle phrase secrète:

Ici, entrez votre nouvelle phrase secrète ou appuyez sur ENTREE pour la supprimer.

Chaque paire de clés SSH partage une "empreinte" cryptographique unique qui peut être utilisée pour identifier les clés de manière unique. Cela peut être utile dans diverses situations.

Pour connaître l’empreinte d’une clé SSH, tapez:

Vous pouvez appuyer sur ENTREE s’il s’agit du bon emplacement pour la clé, sinon entrez le nouvel emplacement. Vous recevrez une chaîne contenant la longueur en bits de la clé, l’empreinte digitale, le compte et l’hôte pour lesquels elle a été créée, ainsi que l’algorithme utilisé:

Pour copier votre clé publique sur un serveur, vous permettant de vous authentifier sans mot de passe, plusieurs approches peuvent être adoptées.

Si vous disposez actuellement d’un accès SSH basé sur un mot de passe configuré sur votre serveur et que l’utilitaire + ssh-copy-id + est installé, la procédure est simple. L’outil + ssh-copy-id + est inclus dans de nombreux packages OpenSSH de distributions Linux, il est donc très probablement installé par défaut.

Si vous avez cette option, vous pouvez facilement transférer votre clé publique en tapant:

Ceci vous demandera le mot de passe du compte utilisateur sur le système distant:

Après avoir saisi le mot de passe, le contenu de votre clé + ~ / .ssh / id_rsa.pub sera ajouté à la fin du fichier` + ~ / .ssh / registered_keys` du compte d’utilisateur:

Vous pouvez maintenant vous connecter à ce compte sans mot de passe:

Si vous ne disposez pas de l’utilitaire + ssh-copy-id +, mais disposez toujours d’un accès SSH basé sur un mot de passe au serveur distant, vous pouvez copier le contenu de votre clé publique de manière différente.

Vous pouvez sortir le contenu de la clé et la diriger dans la commande + ssh +. Du côté distant, vous pouvez vous assurer que le répertoire + ~ / .ssh + existe, puis ajouter le contenu redirigé vers le fichier + ~ / .ssh / allowed_keys +:

Il vous sera demandé de fournir le mot de passe pour le compte distant:

Après avoir entré le mot de passe, votre clé sera copiée, vous permettant de vous connecter sans mot de passe:

Si vous ne disposez pas d’un accès SSH basé sur un mot de passe, vous devrez ajouter votre clé publique au serveur distant manuellement.

Sur votre ordinateur local, vous pouvez trouver le contenu de votre fichier de clé publique en tapant:

Vous pouvez copier cette valeur et la coller manuellement à l’emplacement approprié sur le serveur distant. Vous devrez vous connecter au serveur distant par d’autres moyens (comme la console Web DigitalOcean).

Sur le serveur distant, créez le répertoire + ~ / .ssh + s’il n’existe pas déjà:

Ensuite, vous pouvez créer ou ajouter le fichier + ~ / .ssh / registered_keys + en tapant:

Vous devriez maintenant pouvoir vous connecter au serveur distant sans mot de passe.

Pour vous connecter à un serveur distant et y ouvrir une session shell, vous pouvez utiliser la commande + ssh +.

Le formulaire le plus simple suppose que votre nom d’utilisateur sur votre ordinateur local est identique à celui du serveur distant. Si cela est vrai, vous pouvez vous connecter en utilisant:

Si votre nom d’utilisateur est différent sur le serveur distant, vous devez transmettre le nom de l’utilisateur distant de la manière suivante:

Lors de votre première connexion à un nouvel hôte, vous verrez un message ressemblant à ceci:

Tapez "oui" pour accepter l’authenticité de l’hôte distant.

Si vous utilisez l’authentification par mot de passe, vous serez invité à entrer le mot de passe du compte distant ici. Si vous utilisez des clés SSH, vous serez invité à saisir la phrase secrète de votre clé privée, le cas échéant, sinon vous serez automatiquement connecté.

Pour exécuter une seule commande sur un serveur distant au lieu de créer une session shell, vous pouvez ajouter la commande après les informations de connexion, comme ceci:

Cela permettra de se connecter à l’hôte distant, de s’authentifier avec vos informations d’identification et d’exécuter la commande que vous avez spécifiée. La connexion sera immédiatement fermée par la suite.

Par défaut, le démon SSH sur un serveur est exécuté sur le port 22. Votre client SSH supposera que c’est le cas lorsque vous essayez de vous connecter. Si votre serveur SSH écoute sur un port non standard (comme cela est démontré dans une section ultérieure), vous devrez spécifier le nouveau numéro de port lors de la connexion à votre client.

Vous pouvez le faire en spécifiant le numéro de port avec l’option + -p +:

Pour éviter de devoir le faire à chaque fois que vous vous connectez à votre serveur distant, vous pouvez créer ou modifier un fichier de configuration dans le répertoire + ~ / .ssh + du répertoire de base de votre ordinateur local.

Editez ou créez le fichier maintenant en tapant:

Ici, vous pouvez définir des options de configuration spécifiques à l’hôte. Pour spécifier votre nouveau port, utilisez un format comme celui-ci:

Cela vous permettra de vous connecter sans spécifier le numéro de port spécifique sur la ligne de commande.

Si vous avez une phrase secrète sur votre clé SSH privée, vous serez invité à la saisir chaque fois que vous l’utiliserez pour vous connecter à un hôte distant.

Pour éviter d’avoir à le faire plusieurs fois, vous pouvez exécuter un agent SSH. Ce petit utilitaire stocke votre clé privée après avoir saisi la phrase secrète pour la première fois. Il sera disponible pendant toute la durée de votre session de terminal, vous permettant ainsi de vous connecter ultérieurement sans ressaisir la phrase secrète.

Ceci est également important si vous devez transférer vos informations d’identification SSH (voir ci-dessous).

Pour démarrer l’agent SSH, tapez ce qui suit dans votre session de terminal locale:

Cela démarrera le programme d’agent et le placera à l’arrière-plan. Maintenant, vous devez ajouter votre clé privée à l’agent, afin qu’il puisse gérer votre clé:

Vous devrez entrer votre phrase secrète (si celle-ci est définie). Ensuite, votre fichier d’identité est ajouté à l’agent, ce qui vous permet d’utiliser votre clé pour vous connecter sans avoir à ressaisir la phrase secrète.

Si vous souhaitez pouvoir vous connecter sans mot de passe à un serveur depuis un autre serveur, vous devez transférer les informations de votre clé SSH. Cela vous permettra de vous authentifier auprès d’un autre serveur via le serveur auquel vous êtes connecté, à l’aide des informations d’identification de votre ordinateur local.

Pour commencer, vous devez démarrer votre agent SSH et ajouter votre clé SSH à l’agent (voir ci-dessus). Cela fait, vous devez vous connecter à votre premier serveur à l’aide de l’option + -A +. Cela transmet vos informations d’identification au serveur pour cette session:

À partir de là, vous pouvez SSH sur tout autre hôte auquel votre clé SSH est autorisée à accéder. Vous vous connecterez comme si votre clé SSH privée se trouvait sur ce serveur.

Si vous avez des clés SSH configurées, testées et fonctionnant correctement, il est probablement judicieux de désactiver l’authentification par mot de passe. Cela empêchera tout utilisateur de se connecter avec SSH en utilisant un mot de passe.

Pour ce faire, connectez-vous à votre serveur distant et ouvrez le fichier + / etc / ssh / sshd_config + avec les privilèges root ou sudo:

Dans le fichier, recherchez la directive + PasswordAuthentication +. Si c’est commenté, décommentez-le. Définissez-le sur «non» pour désactiver les connexions par mot de passe:

Une fois la modification effectuée, enregistrez et fermez le fichier. Pour implémenter les modifications, vous devez redémarrer le service SSH.

Sur Ubuntu / Debian:

Sur CentOS / Fedora:

Désormais, tous les comptes du système ne pourront pas se connecter avec SSH en utilisant des mots de passe.

Certains administrateurs suggèrent de modifier le port par défaut sur lequel SSH est exécuté. Cela peut aider à réduire le nombre de tentatives d’authentification auxquelles votre serveur est soumis par des robots automatisés.

Pour modifier le port sur lequel le démon SSH écoute, vous devez vous connecter à votre serveur distant. Ouvrez le fichier + sshd_config + sur le système distant doté des privilèges root, soit en vous connectant à cet utilisateur, soit en utilisant + sudo +:

Une fois à l’intérieur, vous pouvez modifier le port sur lequel SSH s’exécute en recherchant la spécification + Port 22 + et en la modifiant pour refléter le port que vous souhaitez utiliser. Par exemple, pour changer le port en 4444, mettez ceci dans votre fichier:

Enregistrez et fermez le fichier lorsque vous avez terminé. Pour implémenter les modifications, vous devez redémarrer le démon SSH.

Sur Ubuntu / Debian:

Sur CentOS / Fedora:

Après le redémarrage du démon, vous devrez vous authentifier en spécifiant le numéro de port (indiqué dans une section précédente).

Pour limiter explicitement les comptes d’utilisateurs pouvant se connecter via SSH, vous pouvez adopter différentes approches, chacune impliquant la modification du fichier de configuration du démon SSH.

Sur votre serveur distant, ouvrez ce fichier maintenant avec les privilèges root ou sudo:

La première méthode de spécification des comptes autorisés à se connecter utilise la directive + AllowUsers +. Recherchez la directive + AllowUsers + dans le fichier. S’il n’en existe pas, créez-le n’importe où. Après la directive, répertoriez les comptes utilisateur qui devraient être autorisés à se connecter via SSH:

Enregistrez et fermez le fichier. Redémarrez le démon pour implémenter vos modifications.

Sur Ubuntu / Debian:

Sur CentOS / Fedora:

Si vous êtes plus à l’aise avec la gestion de groupe, vous pouvez utiliser la directive + AllowGroups +. Si tel est le cas, ajoutez simplement un groupe qui devrait être autorisé à accéder à SSH (nous allons créer ce groupe et ajouter des membres momentanément):

Enregistrez et fermez le fichier.

Maintenant, vous pouvez créer un groupe système (sans répertoire de base) correspondant au groupe que vous avez spécifié en tapant:

Assurez-vous d’ajouter les comptes d’utilisateur dont vous avez besoin à ce groupe. Cela peut être fait en tapant:

Maintenant, redémarrez le démon SSH pour implémenter vos modifications.

Sur Ubuntu / Debian:

Sur CentOS / Fedora:

Il est souvent conseillé de désactiver complètement la connexion root via SSH après avoir configuré un compte d’utilisateur SSH disposant des privilèges + sudo +.

Pour ce faire, ouvrez le fichier de configuration du démon SSH avec root ou sudo sur votre serveur distant.

À l’intérieur, recherchez une directive appelée + PermitRootLogin +. Si c’est commenté, décommentez-le. Changez la valeur en "non":

Enregistrez et fermez le fichier. Pour implémenter vos modifications, redémarrez le démon SSH.

Sur Ubuntu / Debian:

Sur CentOS / Fedora:

Dans certains cas, vous souhaiterez peut-être désactiver l’accès root, mais l’activer afin de permettre à certaines applications de s’exécuter correctement. Un exemple de ceci pourrait être une routine de sauvegarde.

Cela peut être accompli via le fichier + registered_keys + de l’utilisateur root, qui contient les clés SSH autorisées à utiliser le compte.

Ajoutez la clé de votre ordinateur local que vous souhaitez utiliser pour ce processus (il est recommandé de créer une nouvelle clé pour chaque processus automatique) au fichier + registered_keys + de l’utilisateur root sur le serveur. Nous allons démontrer ici avec la commande + ssh-copy-id +, mais vous pouvez utiliser n’importe laquelle des méthodes de copie de clés décrites dans d’autres sections:

Maintenant, connectez-vous au serveur distant. Nous aurons besoin d’ajuster l’entrée dans le fichier + registered_keys +, donc ouvrez-la avec un accès root ou sudo:

Au début de la ligne avec la clé que vous avez téléchargée, ajoutez une liste + command = + qui définit la commande pour laquelle cette clé est valide. Cela devrait inclure le chemin d’accès complet à l’exécutable, ainsi que tous les arguments:

Enregistrez et fermez le fichier lorsque vous avez terminé.

Ouvrez maintenant le fichier + sshd_config + avec les privilèges root ou sudo:

Recherchez la directive + PermitRootLogin et modifiez la valeur en` + forcé-commandes-seulement`. Cela n’autorisera les connexions par clé SSH à utiliser root que si une commande a été spécifiée pour la clé:

Enregistrez et fermez le fichier. Redémarrez le démon SSH pour implémenter vos modifications.

Sur Ubuntu / Debian:

Sur CentOS / Fedora:

Le démon SSH peut être configuré pour transférer automatiquement l’affichage des applications X sur le serveur vers la machine cliente. Pour que cela fonctionne correctement, le client doit disposer d’un système X Windows configuré et activé.

Pour activer cette fonctionnalité, connectez-vous à votre serveur distant et modifiez le fichier + sshd_config + en tant que root ou avec les privilèges sudo:

Recherchez la directive + X11Forwarding +. Si c’est commenté, décommentez-le. Créez-le si nécessaire et définissez la valeur sur «oui»:

Enregistrez et fermez le fichier. Redémarrez votre démon SSH pour implémenter ces modifications.

Sur Ubuntu / Debian:

Sur CentOS / Fedora:

Pour vous connecter au serveur et transférer l’affichage de l’application, vous devez passer l’option + -X + du client lors de la connexion:

Les applications graphiques démarrées sur le serveur via cette session doivent être affichées sur l’ordinateur local. La performance est peut-être un peu lente, mais elle est très utile à la limite.

Sur votre ordinateur local, vous pouvez définir des configurations individuelles pour tout ou partie des serveurs auxquels vous vous connectez. Ceux-ci peuvent être stockés dans le fichier + ~ / .ssh / config +, qui est lu par votre client SSH à chaque appel.

Créez ou ouvrez ce fichier dans votre éditeur de texte sur votre ordinateur local:

À l’intérieur, vous pouvez définir des options de configuration individuelles en les introduisant avec un mot-clé + Host +, suivi d’un alias. Sous cela et en retrait, vous pouvez définir n’importe laquelle des directives de la page de manuel + ssh_config +:

Un exemple de configuration serait:

Vous pouvez ensuite vous connecter à + ​​example.com + sur le port 4444 en utilisant le nom d’utilisateur «demo» en tapant simplement:

Vous pouvez également utiliser des caractères génériques pour faire correspondre plusieurs hôtes. Gardez à l’esprit que les correspondances ultérieures peuvent remplacer les précédentes. Pour cette raison, vous devriez placer vos matchs les plus généraux au sommet. Par exemple, vous pouvez par défaut toutes les connexions pour ne pas autoriser le transfert X, avec un remplacement pour + exemple.com + en ayant ceci dans votre fichier:

Enregistrez et fermez le fichier lorsque vous avez terminé.

Si vous vous trouvez déconnecté des sessions SSH avant que vous soyez prêt, il est possible que votre connexion prenne fin.

Vous pouvez configurer votre client pour qu’il envoie de temps en temps un paquet au serveur afin d’éviter cette situation:

Sur votre ordinateur local, vous pouvez configurer cela pour chaque connexion en modifiant votre fichier + ~ / .ssh / config +. Ouvrez-le maintenant:

S’il n’en existe pas déjà, en haut du fichier, définissez une section qui correspondra à tous les hôtes. Réglez le paramètre + ServerAliveInterval + sur «120» pour envoyer un paquet au serveur toutes les deux minutes. Cela devrait être suffisant pour informer le serveur de ne pas fermer la connexion:

Enregistrez et fermez le fichier lorsque vous avez terminé.

Par défaut, chaque fois que vous vous connectez à un nouveau serveur, l’empreinte digitale de la clé d’hôte du démon SSH vous sera présentée.

Ceci est configuré pour que vous puissiez vérifier l’authenticité de l’hôte auquel vous essayez de vous connecter et repérer les instances où un utilisateur malveillant peut tenter de se faire passer pour l’hôte distant.

Dans certaines circonstances, vous souhaiterez peut-être désactiver cette fonctionnalité. * Note *: Cela peut être un gros risque pour la sécurité, alors assurez-vous de savoir ce que vous faites si vous configurez votre système de cette manière.

Pour effectuer le changement, ouvrez le fichier + ~ / .ssh / config sur votre ordinateur local:

S’il n’en existe pas déjà, en haut du fichier, définissez une section qui correspondra à tous les hôtes. Définissez la directive + StrictHostKeyChecking + sur «no» pour ajouter automatiquement de nouveaux hôtes au fichier + known_hosts +. Définissez le + UserKnownHostsFile sur` + / dev / null` pour ne pas avertir les hôtes nouveaux ou modifiés:

Vous pouvez activer la vérification au cas par cas en inversant ces options pour d’autres hôtes. La valeur par défaut pour + StrictHostKeyChecking + est «ask»:

Il existe des situations dans lesquelles l’établissement d’une nouvelle connexion TCP peut prendre plus de temps que vous le souhaiteriez. Si vous effectuez plusieurs connexions sur le même ordinateur, vous pouvez tirer parti du multiplexage.

Le multiplexage SSH réutilise la même connexion TCP pour plusieurs sessions SSH. Cela supprime une partie du travail nécessaire pour établir une nouvelle session, voire accélérer les choses. Limiter le nombre de connexions peut également être utile pour d’autres raisons.

Pour configurer le multiplexage, vous pouvez configurer manuellement les connexions ou configurer votre client pour qu’il utilise automatiquement le multiplexage lorsqu’il est disponible. Nous allons démontrer la deuxième option ici.

Pour configurer le multiplexage, éditez le fichier de configuration de votre client SSH sur votre machine locale:

Si vous n’avez pas déjà de définition d’hôte générique en haut du fichier, ajoutez-en une maintenant (sous la forme + hôte * +). Nous allons définir les valeurs + ControlMaster +, + ControlPath + et + ControlPersist + pour établir notre configuration de multiplexage.

Le paramètre «+ ControlMaster » doit être réglé sur «auto» pour permettre automatiquement le multiplexage, si possible. Le ` ControlPath +` établira le chemin d’accès au contrôle socket. La première session créera ce socket et les sessions suivantes pourront le trouver car il est étiqueté par nom d’utilisateur, hôte et port.

Régler l’option + ControlPersist + sur «1» permettra à la connexion principale initiale d’être mise en arrière-plan. Le «1» spécifie que la connexion TCP doit se terminer automatiquement une seconde après la fermeture de la dernière session SSH:

Enregistrez et fermez le fichier lorsque vous avez terminé. Maintenant, nous devons créer le répertoire spécifié dans le chemin de contrôle:

Désormais, toutes les sessions établies avec le même ordinateur tenteront d’utiliser le socket et la connexion TCP existants. Lorsque la dernière session existe, la connexion sera interrompue après une seconde.

Si, pour une raison quelconque, vous devez ignorer temporairement la configuration de multiplexage, vous pouvez le faire en passant l’indicateur + -S + avec «none»:

Les connexions SSH peuvent être utilisées pour canaliser le trafic des ports de l’hôte local vers les ports d’un hôte distant.

Une connexion locale est un moyen d’accéder à un emplacement réseau à partir de votre ordinateur local via votre hôte distant. Tout d’abord, une connexion SSH est établie avec votre hôte distant. Sur le serveur distant, une connexion est établie avec une adresse réseau externe (ou interne) fournie par l’utilisateur et le trafic à destination de cet emplacement est tunnelé vers votre ordinateur local sur un port spécifié.

Ceci est souvent utilisé pour créer un tunnel vers un environnement réseau moins restreint en contournant un pare-feu. Une autre utilisation courante consiste à accéder à une interface Web «localhost-only» à partir d’un emplacement distant.

Pour établir un tunnel local vers votre serveur distant, vous devez utiliser le paramètre + -L + lors de la connexion et vous devez fournir trois informations supplémentaires:

Ceux-ci sont donnés, dans l’ordre ci-dessus (séparés par des deux points), comme arguments de l’indicateur + -L +. Nous utiliserons également l’indicateur + -f +, qui oblige SSH à passer en arrière-plan avant l’exécution, et l’indicateur + -N +, qui n’ouvre pas de shell ni n’exécute un programme du côté distant.

Par exemple, pour vous connecter à + ​​example.com + sur le port 80 de votre hôte distant, en rendant la connexion disponible sur votre ordinateur local sur le port 8888, vous pouvez taper:

Maintenant, si vous pointez votre navigateur Web local sur «127.0.0.1: 8888 +», vous devriez voir le contenu, quel qu'il soit, situé sur « example.com +» sur le port 80.

Un guide plus général sur la syntaxe est:

Comme la connexion est en arrière-plan, vous devrez trouver son PID pour la tuer. Vous pouvez le faire en recherchant le port que vous avez transféré:

Vous pouvez ensuite arrêter le processus en ciblant le PID, qui correspond au numéro de la deuxième colonne de la ligne correspondant à votre commande SSH:

Une autre option consiste à démarrer la connexion, sans l’indicateur + -f +. Cela gardera la connexion au premier plan, vous empêchant d’utiliser la fenêtre du terminal pendant la durée du transfert. L’avantage de ceci est que vous pouvez facilement tuer le tunnel en tapant "CTRL-C".

Les connexions SSH peuvent être utilisées pour canaliser le trafic des ports de l’hôte local vers les ports d’un hôte distant.

Dans un tunnel distant, une connexion est établie avec un hôte distant. Lors de la création du tunnel, un port remote est spécifié. Ce port, sur l’hôte distant, sera ensuite tunnelisé vers une combinaison hôte / port connectée à partir de l’ordinateur local. Cela permettra à l’ordinateur distant d’accéder à un hôte via votre ordinateur local.

Cela peut être utile si vous devez autoriser l’accès à un réseau interne verrouillé par des connexions externes. Si le pare-feu autorise les connexions out du réseau, cela vous permettra de vous connecter à une machine distante et de canaliser le trafic de cette machine vers un emplacement du réseau interne.

Pour établir un tunnel distant vers votre serveur distant, vous devez utiliser le paramètre + -R + lors de la connexion et vous devez fournir trois informations supplémentaires:

Ceux-ci sont donnés, dans l’ordre ci-dessus (séparés par des deux points), comme arguments de l’indicateur + -R +. Nous utiliserons également l’indicateur + -f +, qui oblige SSH à passer en arrière-plan avant l’exécution, et l’indicateur + -N +, qui n’ouvre pas de shell ni n’exécute un programme du côté distant.

Par exemple, pour vous connecter à + ​​example.com + sur le port 80 de notre ordinateur local, en rendant la connexion disponible sur notre hôte distant sur le port 8888, vous pouvez taper:

Maintenant, sur l’hôte distant, ouvrir un navigateur Web sur «127.0.0.1: 8888 +» vous permettrait de voir le contenu situé à « example.com +» sur le port 80.

Un guide plus général sur la syntaxe est:

Comme la connexion est en arrière-plan, vous devrez trouver son PID pour la tuer. Vous pouvez le faire en recherchant le port que vous avez transféré:

Vous pouvez ensuite arrêter le processus en ciblant le PID, qui correspond au numéro dans la deuxième colonne, de la ligne correspondant à votre commande SSH:

Une autre option consiste à démarrer la connexion, sans l’indicateur + -f +. Cela gardera la connexion au premier plan, vous empêchant d’utiliser la fenêtre du terminal pendant la durée du transfert. L’avantage de ceci est que vous pouvez facilement tuer le tunnel en tapant "CTRL-C".

Les connexions SSH peuvent être utilisées pour canaliser le trafic des ports de l’hôte local vers les ports d’un hôte distant.

Un tunnel dynamique est similaire à un tunnel local en ce sens qu’il permet à l’ordinateur local de se connecter à d’autres ressources, via un hôte distant. Pour ce faire, un tunnel dynamique consiste simplement à spécifier un seul port local. Les applications souhaitant tirer parti de ce port pour la tunnellisation doivent pouvoir communiquer à l’aide du protocole SOCKS, afin que les paquets puissent être correctement redirigés de l’autre côté du tunnel.

Le trafic transmis à ce port local sera envoyé à l’hôte distant. À partir de là, le protocole SOCKS sera interprété pour établir une connexion avec l’emplacement final souhaité. Cette configuration permet à une application compatible SOCKS de se connecter à un nombre illimité d’emplacements via le serveur distant, sans plusieurs tunnels statiques.

Pour établir la connexion, nous allons passer le drapeau + -D + avec le port local où nous souhaitons accéder au tunnel. Nous utiliserons également l’indicateur + -f +, qui oblige SSH à passer en arrière-plan avant l’exécution, et l’indicateur + -N +, qui n’ouvre pas de shell ni n’exécute un programme du côté distant.

Par exemple, pour établir un tunnel sur le port «7777», vous pouvez taper:

À partir de là, vous pouvez commencer à pointer votre application compatible SOCKS (comme un navigateur Web) vers le port que vous avez sélectionné. L’application enverra ses informations dans un socket associé au port.

La méthode pour diriger le trafic vers le port SOCKS diffère en fonction de l’application. Par exemple, dans Firefox, l’emplacement général est Préférences> Avancé> Paramètres> Configurations manuelles du proxy. Dans Chrome, vous pouvez démarrer l’application avec l’indicateur + - proxy-server = +. Vous voudrez utiliser l’interface localhost et le port que vous avez transféré.

Comme la connexion est en arrière-plan, vous devrez trouver son PID pour la tuer. Vous pouvez le faire en recherchant le port que vous avez transféré:

Vous pouvez ensuite arrêter le processus en ciblant le PID, qui correspond au numéro dans la deuxième colonne, de la ligne correspondant à votre commande SSH:

Une autre option consiste à démarrer la connexion, sans l’indicateur + -f +. Cela gardera la connexion au premier plan, vous empêchant d’utiliser la fenêtre du terminal pendant la durée du transfert. L’avantage de ceci est que vous pouvez facilement tuer le tunnel en tapant "CTRL-C".

L’une des fonctionnalités les plus utiles d’OpenSSH qui passe largement inaperçue est la possibilité de contrôler certains aspects de la session de l’intérieur.

Ces commandes peuvent être exécutées en commençant par le caractère de contrôle + ~ + au sein d’une session SSH. Les commandes de contrôle ne seront interprétées que s’il s’agit de la première chose tapée après une nouvelle ligne. Par conséquent, appuyez toujours sur Entrée une ou deux fois avant d’en utiliser une.

L’un des contrôles les plus utiles est la possibilité d’initier une déconnexion du client. Les connexions SSH sont généralement fermées par le serveur, mais cela peut poser problème si le serveur souffre de problèmes ou si la connexion a été interrompue. En utilisant une déconnexion côté client, la connexion peut être correctement fermée à partir du client.

Pour fermer une connexion du client, utilisez le caractère de contrôle (+ ~ +), avec un point. Si votre connexion rencontre des problèmes, vous serez probablement dans une session qui semble être bloquée. Tapez les commandes malgré l’absence de retour d’information pour effectuer une déconnexion côté client:

La connexion doit immédiatement se fermer et vous ramener à votre session shell locale.

L’une des fonctionnalités les plus utiles d’OpenSSH qui passe largement inaperçue est la possibilité de contrôler certains aspects de la session depuis la connexion.

Ces commandes peuvent être exécutées à partir du caractère de contrôle + ~ + depuis une connexion SSH. Les commandes de contrôle ne seront interprétées que s’il s’agit de la première chose tapée après une nouvelle ligne. Par conséquent, appuyez toujours sur Entrée une ou deux fois avant d’en utiliser une.

Cela permet notamment de mettre en arrière-plan une session SSH. Pour ce faire, nous devons fournir le caractère de contrôle (~), puis exécuter le raccourci clavier classique pour mettre en arrière-plan une tâche (CTRL-z):

Cela placera la connexion en arrière-plan et vous ramènera à votre session shell locale. Pour revenir à votre session SSH, vous pouvez utiliser les mécanismes de contrôle de tâches classiques.

Vous pouvez réactiver immédiatement votre tâche en arrière-plan la plus récente en tapant:

Si vous avez plusieurs tâches en arrière-plan, vous pouvez voir les tâches disponibles en tapant:

Vous pouvez ensuite placer l’une des tâches au premier plan en utilisant l’index de la première colonne avec un signe de pourcentage:

L’une des fonctionnalités les plus utiles d’OpenSSH qui passe largement inaperçue est la possibilité de contrôler certains aspects de la session depuis la connexion.

Ces commandes peuvent être exécutées à partir du caractère de contrôle + ~ + depuis une connexion SSH. Les commandes de contrôle ne seront interprétées que s’il s’agit de la première chose tapée après une nouvelle ligne. Par conséquent, appuyez toujours sur Entrée une ou deux fois avant d’en utiliser une.

Cela permet notamment à un utilisateur de modifier la configuration de la redirection de port une fois la connexion établie. Cela vous permet de créer ou de supprimer à la volée des règles de transfert de port.

Ces fonctionnalités font partie de l’interface de ligne de commande SSH, à laquelle vous pouvez accéder au cours d’une session à l’aide du caractère de contrôle (+ ~ +) et de «C»:

Vous recevrez une invite de commande SSH contenant un ensemble très limité de commandes valides. Pour voir les options disponibles, vous pouvez taper + -h + à partir de cette invite. Si rien n’est retourné, vous devrez peut-être augmenter la verbosité de votre sortie SSH en utilisant + ~ v + plusieurs fois:

Comme vous pouvez le constater, vous pouvez facilement implémenter n’importe laquelle des options de transfert à l’aide des options appropriées (voir la section relative au transfert pour plus d’informations). Vous pouvez également détruire un tunnel avec la commande «kill» associée spécifiée par un «K» avant la lettre de type de transfert. Par exemple, pour tuer un transfert local (+ -L +), vous pouvez utiliser la commande + -KL +. Vous aurez seulement besoin de fournir le port pour cela.

Donc, pour configurer un transfert de port local, vous pouvez taper:

Le port 8888 de votre ordinateur local pourra désormais communiquer avec le serveur Web de l’hôte auquel vous vous connectez. Lorsque vous avez terminé, vous pouvez le supprimer en tapant: