CransWiki:

Cette page a pour but de rassembler toutes les astuces qui peuvent changer la vie avec SSH.

.ssh

Dans votre home, il y a potentiellement un dossier .ssh. Si il n'y est pas, vous pouvez le créer. Attention il doit avoir les droits rwx------ (700).

$ cd
$ mkdir .ssh
$ chmod 700 .ssh

On peut placer dans ce dossier tout un tas de choses intéressantes, notamment des clés SSH ou un fichier de configuration, dont vous allez rapidement vous demander comment vous faisiez pour vous en passer avant.

.ssh/config

Ce fichier permet d'appliquer automatiquement des paramètres de configuration quand on ouvre une connexion SSH. En gros, on tape moins de chose pour en faire plus.

Fichier tout fait

Les cranseux mettent à votre disposition un fichier de config déjà tout fait avec plein de trucs dedans, allez voir ici.

Si vous voulez en comprendre le contenu, il est bourré de commentaires, mais on va expliquer des bases dans les paragraphes suivant.

Syntaxe

Vous pouvez placer des paramètres de configuration sans indentation, et faire des blocs Host.

Exemple :

HashKnownHosts no

Host machin
    ForwardAgent yes

Host bidule
    HashKnownHosts yes

Alors, pour toute connexion SSH que vous ouvrez, vous aurez le paramètre HashKnownHosts à no, sauf pour bidule, où il sera à yes. Si vous vous connectez à la machine "machin", vous aurez bien HashKnownHosts à no et en plus ForwardAgent à yes.

Alias de machine

Parce que taper ssh zamok, c'est nettement mieux que ssh zamok.crans.org.

Host zamok adherents
    HostName zamok.crans.org

Alors taper ssh zamok ou ssh adherents reviendra à taper ssh zamok.crans.org.

Vous pouvez mettre autant d'alias que vous voulez sur la ligne Host en les séparant par des espaces.

Il est conseillé d'inclure aussi le nom complet dans lesdits alias, comme ça les autres options que vous allez ajouter dans ce bloc s'appliqueront aussi les fois où vous taperez le nom complet de la machine.

Spécifier un login

Par défaut, si vous ne précisez rien, SSH utilise votre login actuel, mais comme vous ne vous appelez pas forcément pareil sur toutes vos machines, il faut pouvoir spécifier un login. Vous pouvez utiliser ssh login@machine ou ssh machin -l login, mais le mieux, c'est encore de le mettre une fois pour toutes dans le .ssh/config et de ne plus avoir besoin de le préciser à chaque fois.

Host zamok
    HostName zamok.crans.org
    User monlogin

Bien entendu, si vous spécifiez quelque chose en commandline (avec @ ou -l), c'est prioritaire.

Spécification de clé SSH

Par défaut, SSH regarde les clés dans /home/username/.ssh/ et les essaye toutes. Mais vous n'avez le droit qu'à un nombre d'essais limité, donc si vous avez beaucoup de clés, ça peut poser problème. Et puis vous avez le droit de ranger vos clés à un endroit bizarre que SSH n'aura pas forcément l'idée de tester.

Host zamok
    HostName zamok.crans.org
    User monlogin
    IdentityFile /path/vers/cle/privee/id_rsa

Connexions enchaînées

Si vous avez un agent SSH qui retient vos clés, sachez que, par défaut, ça ne marche que depuis votre machine vers une autre. Je développe : si vous faites ssh zamok depuis votre machine, votre agent est sur votre machine et permet donc l'accès à votre clé et vous pouvez entrer sur zamok. Si vous faites ssh tahines depuis votre machine, pareil. Mais si vous faites ssh zamok, puis une fois sur zamok, ssh tahines, cette fois-ci, on va vous demander un mot de passe. C'est parce que zamok ne sait pas que vous avez votre agent chez vous et n'a aucun moyen de le joindre.

Vous pouvez explicitement demander à votre agent de "venir avec vous" sur zamok :

Host zamok
    HostName zamok.crans.org
    User monlogin
    ForwardAgent yes

Alors, quand vous arriver sur zamok, vous allez automatiquement ouvrir une socket (stockée dans le /tmp de zamok) vers votre agent SSH sur votre machine. Ainsi, quand vous ferez ensuite "ssh tahines", SSH pourra utiliser cette socket pour comuniquer avec votre agent chez vous, et vous aller rentrer sur tahines sans fournir de mot de passe.

Donc il faut bien retenir que l'agent reste toujours sur votre machine, le ForwardAgent permet la création de socket pour remonter vos connexions. (Par exemple, si vous avez correctement spécifié le paramètre de conf aussi pour tahines, en arrivant dessus, vous ouvrirez une socket pour comuniquer avec celle de zamok, elle-même toujours en relation avec votre agent chez vous, et ainsi de suite…).

Attention danger : cette socket est protégée en lecture/écriture pour que seul vous y ayez accès. Cependant, root n'est pas limité par ce genre de restrictions, donc, toute personne root sur la machine où vous forwardez votre agent peut accéder à cette socket. Cela lui donne la possibilité de se loguer en votre nom sur toute machine où vous avez placé une clé publique dont la clé privée est déverrouillée dans la mémoire de votre agent. Détail intéressant : il ne peut faire ça que tant que vous ne fermez pas votre connexion à votre agent. En effet, cette socket ne lui donne pas accès directement à votre clé, mais lui permet de demander à votre agent de résoudre un challenge SSH (en pratique, la clé privée ne quitte jamais la mémoire de votre machine, c'est la machine sur laquelle vous voulez vous connecter qui chiffre un truc avec votre clé publique, vous l'envoie, et si vous arrivez à le déchiffrer (et c'est ce que fait l'agent), c'est que vous possédez bien la clé privée, donc vous pouvez entrer).

Proxy

Il arrive qu'une machine ne soit pas accessible directement, pour des raisons de firewalling ou de VLANs, par exemple.

Dans ce cas, il faut passer par une autre machine pour accéder à votre cible, mais plutôt que d'établir manuellement cette connexion à la première puis d'aller sur la deuxième, autant le faire automatiquement :

Host tselin
    HostName tselin.clietu.ens-cachan.fr
    User loginENS
    ProxyJump loginENS@tahines.ens-cachan.fr

Ainsi, lorsque vous chercherez à accéder à tselin, SSH passera automatiquement par tahines.

{i} Cela est plus sécurisé que passer l'agent SSH quand on doit sauter de serveurs en serveurs car seulement une connexion TCP est passée, et non pas un agent de clés.

{i} L'option ProxyJump (ou directement -J en commandline) existe depuis la version 7.3 d'OpenSSH. Si vous en utilisez une plus ancienne, il faudra vous contenter de la syntaxe précédente :

    ProxyCommand ssh loginENS@tahines.ens-cachan.fr -W %h:%p

Vous pourrez aussi croiser dans la configuration de certaines personnes une version encore plus ancienne, habitudes prises avant que l'option -W n'existe, mais qui a le défaut de nécessiter la présence de netcat sur la machine intermédiaire :

    ProxyCommand ssh loginENS@tahines.ens-cachan.fr nc %h %p

Connexions master

Le principe des connexion master est d'ouvrir une connexion une seule fois vers un serveur, et toutes les connexions suivantes que vous ouvrirez vers le même hôte passeront par la même connexion TCP.

Cela permet d'ouvrir plus rapidement les connexion suivantes, et de ne pas emplafonner des limites telles que le nombre de connexions SSH par minute que vous avez le droit d'établir à travers un firewall comme celui de komaz.

Host zamok
    Hostname zamok.crans.org
    ControlMaster auto
    ControlPath ~/.ssh/master-%r-%h:%p

ControlPath est l'endroit où sera stockée la socket dans votre arborescence de fichiers. %r sera remplacé par le login distant, %h par le nom de l'hôte distant et %p par le port de connexion. Cela permet que les sockets soient stockées dans des noms distincts, sinon ça risque de créer des problèmes.

{i} Ansible utilise cette technique pour pouvoir déployer sur un grand nombre de serveurs sans être bloqué par le nombre de connexion SSH qu'il initie.

Blocs sioux

Serveur du crans

Il y a moyen de définir un seul bloc de config pour se connecter sur tous les serveurs du crans.

Host *,c
    ProxyCommand nc -q 30 $(echo %h | sed -r 's/..$//').crans.org %p
    User loginCrans

Avec ça vous pouvez faire ssh zamok,c ssh rouge,c ou encore ssh vo,c.

Tunnel en passant par un serveur truc

En imaginant que vous faisiez régulièrement des connexions en passant par l'hote truc vers des cibles variés

Host *,t
    ProxyCommand ssh truc nc -q 30 $(echo %h | sed -r 's/..$//') %p

En hop, pour se conecter à une cible nommée cible en passant par truc, quelque soit la cible, il suffit de faire ssh cible,t

Tunnel généraux

Dans le cas où vous faites des tunnels en passant par divers serveurs, une version plus détaillée

Host *,T
    ProxyCommand ssh $(echo %h | cut -d , -f 2) nc -q 30 $(echo %h | cut -d , -f 1) %p

Ainsi pour se connecter sur une cible nommée cible en passant par un relai nommé relai, il suffit de faire ssh cible,relai,T

Contourner les ports bloqués

Parfois, vous êtes dans un environnement réseau que vous ne contrôlez pas, et qui est méchant avec vous (stage, labo, résidence étudiante pas couverte par le Cr@ns, box bizarre…). Il arrive donc que les ports que vous aimeriez contacter vous soient interdits. Par exemple, si votre "Internet" décide que vous n'avez pas le droit de parler à un port 22, vous ne pouvez pas contacter des serveurs en SSH a priori.

Là où on commence à voir une solution, c'est qu'en général, les ports 80 et 443 ne sont pas bloqués (parce que, quand même, on vous laisse faire du HTTP(S) pour aller sur facebook). Donc vous avez le droit de parler au monde sur le port 443. Seulement voilà, en général sur ce port, il n'y a pas un serveur SSH mais un serveur web, justement.

Mais la bonne nouvelle, c'est que les cranseux y ont pensé ! On peut donc contacter ssh2.crans.org sur le port 443 et tomber sur un serveur SSH. (En fait, le serveur SSH de zamok écoute sur le port 22 de l'IP 185.230.19.1 (zamok.crans.org) et les ports 22, 80 et 443 (tant qu'à faire) de l'IP 185.230.78.1 (ssh2.crans.org).)

Tous les adhérents disposant d'un compte Cr@ns peuvent utiliser ce service.

Via proxy HTTP

Astuce précédemment nommée SSH à travers un proxy, mais je dois avouer que je comprends pas trop ce dont il est question… -- Wiki20-100 2014-07-24 17:08:37

Dans certains cas, les serveurs proxy autorisent le transfert des connexions vers le port 22. Mais, dans la plupart des cas, les serveurs proxy n'autorisent de transférer (méthode connect du proxy) que les ports 443 (utilisé par défaut pour l'https). On peut donc passer à travers un proxy dans l'un des deux cas suivants :

Avec OpenSsh sous Linux

Sous linux il faut :

Host zamok-via-proxy
    ProxyCommand corkscrew ip.du.serveur.proxy portduproxy ssh2.crans.org 443
    User monlogin

Ensuite pour se connecter, il suffit de tapper ssh zamok-via-proxy dans une console et de s'authentifier.

Avec Putty sous Windows

Il suffit d'aller dans le menu Connection/Proxy et de renseigner les paramètres :

Pour éviter de voir sa connexion fermée par timeout, on peut demander à Putty d'envoyer régulièrement des paquets (via le paramètre Connection/Seconds between keep alive).

Faire un tunnel SSH

Le protocole SSH permet de créer un tunnel, permettant de faire transiter des connexions par ce tunnel et de demander à la machine distante d'effectuer ces connexions à votre place. Par exemple, en lançant un tunnel SSH vers une machine B et un utilisant le tunnel, les connexions que vous ferez à travers le tunnel apparaîtront pour le site distant comme venant de la machine B, et non de votre machine. Ça peut servir :

Rediriger un seul port

Parfois, vous n'avez besoin de rediriger qu'un seul port (accéder à une seule machine sur un seul port). Exemple : vous voulez accéder au site mon.site.interne sur le port 80, et vous ne pouvez le faire que depuis une machine machine_accessible.

Ici, on va rediriger le port local 3128 vers le port 80 de mon.site.interne.

L'option -N n'est pas nécessaire; elle spécifie que l'on n'a pas besoin d'ouvrir un terminal sur la machine distante. (On n'a donc pas de ligne de commande en même temps que la redirection.)

Ainsi, toute connexion au port local 3128 sera redirigée vers le port 80 de mon.site.interne : par exemple, taper http://localhost:3128 dans un navigateur affichera la page http://mon.site.interne.

Créer un tunnel Socks

Si vous voulez rediriger plusieurs connexions par le même tunnel, c'est mieux de lancer un tunnel Socks, car cela permet d'utiliser le même tunnel avec des hôtes de destination différents. Pour plus d'informations sur comment utiliser un serveur Socks, regardez ../ConfigurationSocks .

Ici, on va lancer un serveur Socks sur le port local 12345, et les connexions passant par ce serveur seront émises depuis machine_distante.

Voir ensuite ConfigurationSocks:Utilisation d'un serveur Socks pour faire passer vos connexions via ce tunnel socks.

autossh

S'utilise comme ssh, mais se relance tout seul si la connexion est perdue ou si le trafic ne passe plus. (Bien sûr, sans clé, l'authentification restera bloquante…)

sshfs

Présentation

Comme son nom le suggère, sshfs est un système de fichier basé sur le protocole SSH.

sshfs est basé sur fuse (système de fichier en userspace pour Linux, la même chose que ce qui est utilisé par encfs pour chiffrer des répertoires), donc n'importe quel utilisateur pourra ensuite monter ce système de fichier sans être root (il faudra tout de même qu'il fasse parti du groupe fuse) et sans aucune modification du fichier /etc/fstab.

La page du site officiel : http://fuse.sourceforge.net/sshfs.html

Il existe aussi shfs basé sur lufs, mais ces projets ont l'air un peu morts, rendus obsolètes par fuse.

/!\ Mise en garde

Si vous utilisez sshfs sur zamok au sein du réseau crans, il n'y aura pas de problème puisque les transferts de données seront limités à zamok et votre machine et par conséquent ne quitteront pas le réseau. En revanche, soyez prudents si vous montez un répertoire de votre home sur zamok à partir de l'extérieur du réseau crans. En effet, toute manipulation sur ce répertoire et les fichiers qu'il contient générera une quantité non nulle d'upload à partir de zamok et en direction de l'extérieur, ce qui peut être lourdement sanctionné si cette dernière devient significative.

Installation

Côté serveur

Si le serveur possède déja un serveur SSH, alors il n'y a rien à faire.

Côté client

Il est nécessaire d'avoir le module de noyau fuse. Sous debian, un simple

aptitude install sshfs

suffit pour l'installation, la dépendance envers fuse étant automatiquement résolue.

Il faut ajouter les utilisateurs autorisés à monter des volumes via sshfs au groupe fuse. Pour cela (en root) :

adduser utilisateur fuse

Usage

Montage

L'utilisateur côté client n'a juste qu'à taper :

sshfs logindistant@machinedistante:/chemin/cible /point/de/montage/local

et entrer un mot de passe si nécessaire.

Si le nom d'utilisateur distant est différent, alors on remplacera machinedistante par utilisateur@machinedistante.

Si on ne précise pas /chemin/cible, cela monte le home de l'utilisateur logindistant.

Démontage

Lorsque l'on a fini, pour démonter :

fusermount -u /point/de/montage/local

Options intéressantes

Pour un descriptif complet des options :

man sshfs

À mon humble avis, l'option la plus intéressante est -C qui active la compression (permet de limiter le volume d'upload).

Sinon, on peut également changer le port de connexion distant avec -P et tout plein d'autres choses que je n'ai pas envie de décrire.

Par défaut, le caching est utilisé, ce qui est plutôt bien.

Intérêt

Pour l'instant, si vous êtes habitué de ssh et scp, vous ne voyez peut être pas encore ce que cela apporte de plus.

Voici quelques intérêts que je lui trouve (à compléter si vous avez d'autres idées).

Problèmes d'encodage

Pour se connecter à une machine en ISO depuis un terminal en utf-8, une des solutions pour éviter des problèmes d'accents est d'utiliser Luit qui effectue une traduction simultanée entre les deux encodages:

luit -encoding ISO8859-15 ssh login@zamok

Séquences d'échappement

Le caractère d'échappement par défaut est '~' (on peut le changer avec l'option -e de ssh).

Voici les différentes actions possibles (plus de détails dans man ssh, section ESCAPE CHARACTERS) :


CatégoriePagePublique

CransWiki: WikiInformatique/AstucesSsh (dernière édition le 2021-06-28 12:45:42 par Wiki20-100)