#acl +All:read Cette page a pour but de rassembler toutes les astuces qui peuvent [[https://www.youtube.com/watch?v=vxmYOZCnB5w|changer la vie]] avec SSH. <> = .ssh = Dans votre home, il y a potentiellement un dossier {{{.ssh}}}. Si il n'y est pas, vous pouvez le créer. Attention il doit avoir les droits {{{rwx------}}} (700). {{{ $ cd $ mkdir .ssh $ chmod 700 .ssh }}} On peut placer dans ce dossier tout un tas de choses intéressantes, notamment des [[../ConnexionSsh#Les_clefs_SSH|clés SSH]] ou un [[#A.ssh.2Fconfig|fichier de configuration]], dont vous allez rapidement vous demander comment vous faisiez pour vous en passer avant. = .ssh/config = Ce fichier permet d'appliquer automatiquement des paramètres de configuration quand on ouvre une connexion SSH. En gros, on tape moins de chose pour en faire plus. == Fichier tout fait == Les cranseux mettent à votre disposition un fichier de config déjà tout fait avec plein de trucs dedans, allez voir [[VieCrans/FichiersConfiguration#config|ici]]. Si vous voulez en comprendre le contenu, il est bourré de commentaires, mais on va expliquer des bases dans les paragraphes suivant. == Syntaxe == Vous pouvez placer des paramètres de configuration sans indentation, et faire des blocs Host. Exemple : {{{ HashKnownHosts no Host machin ForwardAgent yes Host bidule HashKnownHosts yes }}} Alors, pour toute connexion SSH que vous ouvrez, vous aurez le paramètre {{{HashKnownHosts}}} à no, sauf pour bidule, où il sera à yes. Si vous vous connectez à la machine "machin", vous aurez bien {{{HashKnownHosts}}} à no et en plus {{{ForwardAgent}}} à yes. == Alias de machine == Parce que taper {{{ssh zamok}}}, c'est nettement mieux que {{{ssh zamok.crans.org}}}. {{{ Host zamok adherents HostName zamok.crans.org }}} Alors taper {{{ssh zamok}}} ou {{{ssh adherents}}} reviendra à taper {{{ssh zamok.crans.org}}}. Vous pouvez mettre autant d'alias que vous voulez sur la ligne {{{Host}}} en les séparant par des espaces. Il est conseillé d'inclure aussi le nom complet dans lesdits alias, comme ça les autres options que vous allez ajouter dans ce bloc s'appliqueront aussi les fois où vous taperez le nom complet de la machine. == Spécifier un login == Par défaut, si vous ne précisez rien, SSH utilise votre login actuel, mais comme vous ne vous appelez pas forcément pareil sur toutes vos machines, il faut pouvoir spécifier un login. Vous pouvez utiliser {{{ssh login@machine}}} ou {{{ssh machin -l login}}}, mais le mieux, c'est encore de le mettre une fois pour toutes dans le {{{.ssh/config}}} et de ne plus avoir besoin de le préciser à chaque fois. {{{ Host zamok HostName zamok.crans.org User monlogin }}} Bien entendu, si vous spécifiez quelque chose en commandline (avec {{{@}}} ou {{{-l}}}), c'est prioritaire. == Spécification de clé SSH == Par défaut, SSH regarde les clés dans {{{/home/username/.ssh/}}} et les essaye toutes. Mais vous n'avez le droit qu'à un nombre d'essais limité, donc si vous avez beaucoup de clés, ça peut poser problème. Et puis vous avez le droit de ranger vos clés à un endroit bizarre que SSH n'aura pas forcément l'idée de tester. {{{ Host zamok HostName zamok.crans.org User monlogin IdentityFile /path/vers/cle/privee/id_rsa }}} == Connexions enchaînées == Si vous avez un [[../ConnexionSsh#Utiliser_la_cl.2BAOk-|agent SSH]] qui retient vos clés, sachez que, par défaut, ça ne marche que depuis votre machine vers une autre. Je développe : si vous faites {{{ssh zamok}}} depuis votre machine, votre agent est sur votre machine et permet donc l'accès à votre clé et vous pouvez entrer sur zamok. Si vous faites {{{ssh tahines}}} depuis votre machine, pareil. Mais si vous faites {{{ssh zamok}}}, puis une fois sur zamok, {{{ssh tahines}}}, cette fois-ci, on va vous demander un mot de passe. C'est parce que zamok ne sait pas que vous avez votre agent chez vous et n'a aucun moyen de le joindre. Vous pouvez explicitement demander à votre agent de "venir avec vous" sur zamok : {{{ Host zamok HostName zamok.crans.org User monlogin ForwardAgent yes }}} Alors, quand vous arriver sur zamok, vous allez automatiquement ouvrir une socket (stockée dans le {{{/tmp}}} de zamok) vers votre agent SSH sur votre machine. Ainsi, quand vous ferez ensuite "ssh tahines", SSH pourra utiliser cette socket pour comuniquer avec votre agent chez vous, et vous aller rentrer sur tahines sans fournir de mot de passe. Donc il faut bien retenir que l'agent reste toujours sur votre machine, le {{{ForwardAgent}}} permet la création de socket pour remonter vos connexions. (Par exemple, si vous avez correctement spécifié le paramètre de conf aussi pour tahines, en arrivant dessus, vous ouvrirez une socket pour comuniquer avec celle de zamok, elle-même toujours en relation avec votre agent chez vous, et ainsi de suite…). '''Attention danger''' : cette socket est protégée en lecture/écriture pour que seul vous y ayez accès. Cependant, root n'est pas limité par ce genre de restrictions, donc, '''toute personne root sur la machine où vous forwardez votre agent peut accéder à cette socket'''. Cela lui donne la possibilité de se loguer en votre nom sur toute machine où vous avez placé une clé publique dont la clé privée est déverrouillée dans la mémoire de votre agent. Détail intéressant : il ne peut faire ça que tant que vous ne fermez pas votre connexion à votre agent. En effet, cette socket ne lui donne pas accès directement à votre clé, mais lui permet de demander à votre agent de résoudre un challenge SSH (en pratique, la clé privée ne quitte jamais la mémoire de votre machine, c'est la machine sur laquelle vous voulez vous connecter qui chiffre un truc avec votre clé publique, vous l'envoie, et si vous arrivez à le déchiffrer (et c'est ce que fait l'agent), c'est que vous possédez bien la clé privée, donc vous pouvez entrer). == Proxy == Il arrive qu'une machine ne soit pas accessible directement, pour des raisons de firewalling ou de [[CransTechnique/AdminRéseau/VLAN|VLANs]], par exemple. Dans ce cas, il faut passer par une autre machine pour accéder à votre cible, mais plutôt que d'établir manuellement cette connexion à la première puis d'aller sur la deuxième, autant le faire automatiquement : {{{ Host tselin HostName tselin.clietu.ens-cachan.fr User loginENS ProxyJump loginENS@tahines.ens-cachan.fr }}} Ainsi, lorsque vous chercherez à accéder à tselin, SSH passera automatiquement par tahines. {i} Cela est plus sécurisé que passer l'agent SSH quand on doit sauter de serveurs en serveurs car seulement une connexion TCP est passée, et non pas un agent de clés. {i} L'option {{{ProxyJump}}} (ou directement {{{-J}}} en commandline) existe depuis la version 7.3 d'OpenSSH. Si vous en utilisez une plus ancienne, il faudra vous contenter de la syntaxe précédente : {{{ ProxyCommand ssh loginENS@tahines.ens-cachan.fr -W %h:%p }}} Vous pourrez aussi croiser dans la configuration de certaines personnes une version encore plus ancienne, habitudes prises avant que l'option {{{-W}}} n'existe, mais qui a le défaut de nécessiter la présence de {{{netcat}}} sur la machine intermédiaire : {{{ ProxyCommand ssh loginENS@tahines.ens-cachan.fr nc %h %p }}} == Connexions master == Le principe des connexion master est d'ouvrir une connexion une seule fois vers un serveur, et toutes les connexions suivantes que vous ouvrirez vers le même hôte passeront par la même connexion TCP. Cela permet d'ouvrir plus rapidement les connexion suivantes, et de ne pas emplafonner des limites telles que le nombre de connexions SSH par minute que vous avez le droit d'établir à travers un firewall comme celui de komaz. {{{ Host zamok Hostname zamok.crans.org ControlMaster auto ControlPath ~/.ssh/master-%r-%h:%p }}} {{{ControlPath}}} est l'endroit où sera stockée la socket dans votre arborescence de fichiers. %r sera remplacé par le login distant, %h par le nom de l'hôte distant et %p par le port de connexion. Cela permet que les sockets soient stockées dans des noms distincts, sinon ça risque de créer des problèmes. {i} Ansible utilise cette technique pour pouvoir déployer sur un grand nombre de serveurs sans être bloqué par le nombre de connexion SSH qu'il initie. == Blocs sioux == === Serveur du crans === Il y a moyen de définir un seul bloc de config pour se connecter sur tous les serveurs du crans. {{{ Host *,c ProxyCommand nc -q 30 $(echo %h | sed -r 's/..$//').crans.org %p User loginCrans }}} Avec ça vous pouvez faire `ssh zamok,c` `ssh rouge,c` ou encore `ssh vo,c`. === Tunnel en passant par un serveur truc === En imaginant que vous faisiez régulièrement des connexions en passant par l'hote truc vers des cibles variés {{{ Host *,t ProxyCommand ssh truc nc -q 30 $(echo %h | sed -r 's/..$//') %p }}} En hop, pour se conecter à une cible nommée cible en passant par truc, quelque soit la cible, il suffit de faire `ssh cible,t` === Tunnel généraux === Dans le cas où vous faites des tunnels en passant par divers serveurs, une version plus détaillée {{{ Host *,T ProxyCommand ssh $(echo %h | cut -d , -f 2) nc -q 30 $(echo %h | cut -d , -f 1) %p }}} Ainsi pour se connecter sur une cible nommée cible en passant par un relai nommé relai, il suffit de faire `ssh cible,relai,T` = Contourner les ports bloqués = Parfois, vous êtes dans un environnement réseau que vous ne contrôlez pas, et qui est méchant avec vous (stage, labo, résidence étudiante pas couverte par le Cr@ns, box bizarre…). Il arrive donc que les ports que vous aimeriez contacter vous soient interdits. Par exemple, si votre "Internet" décide que vous n'avez pas le droit de parler à un port 22, vous ne pouvez pas contacter des serveurs en SSH ''a priori''. Là où on commence à voir une solution, c'est qu'en général, les ports 80 et 443 ne sont pas bloqués (parce que, quand même, on vous laisse faire du HTTP(S) pour aller sur facebook). Donc vous avez le droit de parler au monde sur le port 443. Seulement voilà, en général sur ce port, il n'y a pas un serveur SSH mais un serveur web, justement. Mais la bonne nouvelle, c'est que les cranseux y ont pensé ! On peut donc contacter {{{ssh2.crans.org}}} sur le port 443 et tomber sur un serveur SSH. (En fait, le serveur SSH de {{{zamok}}} écoute sur le port 22 de l'IP {{{185.230.19.1}}} ({{{zamok.crans.org}}}) '''et''' les ports 22, 80 et 443 (tant qu'à faire) de l'IP {{{185.230.78.1}}} ({{{ssh2.crans.org}}}).) Tous les adhérents disposant d'un compte Cr@ns peuvent utiliser ce service. = Via proxy HTTP = {{{#!wiki tip Astuce précédemment nommée '''SSH à travers un proxy''', mais je dois avouer que je comprends pas trop ce dont il est question… -- [[Wiki20-100]] <> }}} Dans certains cas, les serveurs proxy autorisent le transfert des connexions vers le port 22. Mais, dans la plupart des cas, les serveurs proxy n'autorisent de transférer (méthode connect du proxy) que les ports 443 (utilisé par défaut pour l'https). On peut donc passer à travers un proxy dans l'un des deux cas suivants : * le serveur ssh distant tourne sur le port 443 * le proxy autorise la méthode connect sur le port 22 == Avec OpenSsh sous Linux == Sous linux il faut : * installer '''corkscrew''' * modifier son fichier ''~/.ssh/config'' {{{ Host zamok-via-proxy ProxyCommand corkscrew ip.du.serveur.proxy portduproxy ssh2.crans.org 443 User monlogin }}} Ensuite pour se connecter, il suffit de tapper {{{ssh zamok-via-proxy}}} dans une console et de s'authentifier. == Avec Putty sous Windows == Il suffit d'aller dans le menu '''Connection/Proxy''' et de renseigner les paramètres : * Proxy type : HTTP * Proxy hostname : ip.du.serveur.proxy * Port : port du serveur proxy (3128 ou 8080 par exemple) Pour éviter de voir sa connexion fermée par timeout, on peut demander à Putty d'envoyer régulièrement des paquets (via le paramètre '''Connection/Seconds between keep alive'''). = Faire un tunnel SSH = Le protocole SSH permet de créer un tunnel, permettant de faire transiter des connexions par ce tunnel et de demander à la machine distante d'effectuer ces connexions à votre place. Par exemple, en lançant un tunnel SSH vers une machine B et un utilisant le tunnel, les connexions que vous ferez à travers le tunnel apparaîtront pour le site distant comme venant de la machine B, et non de votre machine. Ça peut servir : * Pour se connecter à des sites accessibles seulement depuis un réseau interne * Pour contourner des limitations (par exemple, sur le réseau ouvert de l'ENS Cachan) * Et plein d'autres choses… == Rediriger un seul port == Parfois, vous n'avez besoin de rediriger qu'un seul port (accéder à une seule machine sur un seul port). Exemple : vous voulez accéder au site {{{mon.site.interne}}} sur le port 80, et vous ne pouvez le faire que depuis une machine machine_accessible. Ici, on va rediriger le port local 3128 vers le port 80 de {{{mon.site.interne}}}. * Avec OpenSSH : {{{ ssh -L 3128:mon.site.interne:80 -N login@machine_accessible}}} ''L'option {{{-N}}} n'est pas nécessaire; elle spécifie que l'on n'a pas besoin d'ouvrir un terminal sur la machine distante. (On n'a donc pas de ligne de commande en même temps que la redirection.)'' * Avec PuTTY : Lors de la configuration de la connexion, * Aller dans {{{Connexion > SSH > Tunnels}}} * Mettre 3128 dans {{{Source port}}} * Mettre {{{mon.site.interne:80}}} dans {{{Destination}}} * Ne pas oublier de cliquer sur le bouton {{{Ajouter}}}. Ainsi, toute connexion au port local 3128 sera redirigée vers le port 80 de {{{mon.site.interne}}} : par exemple, taper {{{http://localhost:3128}}} dans un navigateur affichera la page {{{http://mon.site.interne}}}. == Créer un tunnel Socks == Si vous voulez rediriger plusieurs connexions par le même tunnel, c'est mieux de lancer un tunnel Socks, car cela permet d'utiliser le même tunnel avec des hôtes de destination différents. Pour plus d'informations sur comment utiliser un serveur Socks, regardez ../ConfigurationSocks . Ici, on va lancer un serveur Socks sur le port local 12345, et les connexions passant par ce serveur seront émises depuis {{{machine_distante}}}. * Avec OpenSSH (sous Linux) : {{{ ssh -D 12345 -N login@machine_distante}}} * Avec [[http://www.putty.org/|PuTTY]] (sous Windows) : * Dans {{{Session}}}, dans le champs {{{Nom d'hôte}}} entrer ''login@machine_distante'' * Aller dans {{{Connexion > SSH > Tunnels}}} * Mettre 12345 dans {{{Source port}}} * Cocher {{{Dynamique}}} * Ne pas oublier de cliquer sur le bouton {{{Ajouter}}} * Vous pouvez retourner dans {{{Session}}}, ajouter un nom dans {{{Session enregistrées}}} et {{{enregistrer}}} cette configuration pour pouvoir la réutiliser plus tard * Et enfin {{{Ouvrir}}}. Voir ensuite [[../ConfigurationSocks#Utilisation_d.27un_serveur_Socks|ConfigurationSocks:Utilisation d'un serveur Socks]] pour faire passer vos connexions via ce tunnel socks. = autossh = S'utilise comme {{{ssh}}}, mais se relance tout seul si la connexion est perdue ou si le trafic ne passe plus. (Bien sûr, sans clé, l'authentification restera bloquante…) = sshfs = == Présentation == Comme son nom le suggère, {{{sshfs}}} est un système de fichier basé sur le protocole SSH. {{{sshfs}}} est basé sur [[http://fuse.sourceforge.net/|fuse]] (système de fichier en userspace pour Linux, la même chose que ce qui est utilisé par encfs pour chiffrer des répertoires), donc n'importe quel utilisateur pourra ensuite monter ce système de fichier sans être root (il faudra tout de même qu'il fasse parti du groupe fuse) et sans aucune modification du fichier {{{/etc/fstab}}}. La page du site officiel : http://fuse.sourceforge.net/sshfs.html Il existe aussi shfs basé sur lufs, mais ces projets ont l'air un peu morts, rendus obsolètes par fuse. || /!\ '''Mise en garde''' ||<#FFFFA0> Si vous utilisez sshfs sur zamok au sein du réseau crans, il n'y aura pas de problème puisque les transferts de données seront limités à zamok et votre machine et par conséquent ne quitteront pas le réseau. En revanche, soyez prudents si vous montez un répertoire de votre home sur zamok à partir de l'extérieur du réseau crans. En effet, toute manipulation sur ce répertoire et les fichiers qu'il contient générera une quantité non nulle d'upload à partir de zamok et en direction de l'extérieur, ce qui peut être lourdement sanctionné si cette dernière devient significative.|| == Installation == === Côté serveur === Si le serveur possède déja un serveur SSH, alors il n'y a rien à faire. === Côté client === Il est nécessaire d'avoir le module de noyau fuse. Sous debian, un simple {{{ aptitude install sshfs }}} suffit pour l'installation, la dépendance envers fuse étant automatiquement résolue. Il faut ajouter les utilisateurs autorisés à monter des volumes ''via'' sshfs au groupe {{{fuse}}}. Pour cela (en root) : {{{ adduser utilisateur fuse }}} == Usage == === Montage === L'utilisateur côté client n'a juste qu'à taper : {{{ sshfs logindistant@machinedistante:/chemin/cible /point/de/montage/local }}} et entrer un mot de passe si nécessaire. Si le nom d'utilisateur distant est différent, alors on remplacera {{{machinedistante}}} par {{{utilisateur@machinedistante}}}. Si on ne précise pas {{{/chemin/cible}}}, cela monte le home de l'utilisateur {{{logindistant}}}. === Démontage === Lorsque l'on a fini, pour démonter :{{{ fusermount -u /point/de/montage/local }}} === Options intéressantes === Pour un descriptif complet des options : {{{ man sshfs }}} À mon humble avis, l'option la plus intéressante est {{{-C}}} qui active la compression (permet de limiter le volume d'upload). Sinon, on peut également changer le port de connexion distant avec {{{-P}}} et tout plein d'autres choses que je n'ai pas envie de décrire. Par défaut, le '''''caching''''' est utilisé, ce qui est plutôt bien. == Intérêt == Pour l'instant, si vous êtes habitué de {{{ssh}}} et {{{scp}}}, vous ne voyez peut être pas encore ce que cela apporte de plus. Voici quelques intérêts que je lui trouve (à compléter si vous avez d'autres idées). * Cela correspond bien à la philosophie d'UNIX où tout est fichier. * On a un serveur de fichiers distant bien moins chiant à configurer que NFS, CIFS/Samba, CODA et en plus sécurisé par défaut (par contre, à la base SSH n'est pas fait pour ça donc il doit y avoir des inconvénients par rapport aux vrais systèmes de fichiers réseau). * Par exemple, le système de locks utilisés par [[CransTechnique/ServicesMineurs/CransDarcs|Darcs]] ne fonctionne pas. C'est possible d'utiliser Darcs quand même en mettant la variable d'environnement {{{DARCS_SLOPPY_LOCKS=1}}}. * Une fois le système monté, on peut utiliser les commandes classiques directement dans son arborescence locale de manière transparente (par exemple cp, mv, rm, plutôt que de s'embêter à coup de scp). * On peut utiliser des programmes que l'on dispose sur la machine locale (et qui ne sont pas sur la machine distante) pour travailler sur des fichiers distants. Exemple : vous disposez de fichiers photos sur zamok. Vous faites {{{ sshfs login@ssh.crans.org: zamok/ gqview zamok/ & }}} Et vous pouvez visualiser directement ces photos. De même, vous pouvez aussi éditer les fichiers html de votre site web avec votre éditeur préféré qui n'est pas forcement installé sur zamok (bon les utilisateurs d'Emacs avaient déjà tramp). * On a l'impression d'avoir un gros disque dur :{{{ ~; df -h zamok Sys. de fich. Tail. Occ. Disp. %Occ. Monté sur sshfs#rozel@ssh.crans.org: 7,5T 0 7,5T 0% /home/benoit/zamok }}} Il faut cependant faire attention, il y a un quota qui limite la taille de ce répertoire. * À compléter (je suis sur qu'il y a encore plein d'autres petites astuces pratiques)… = Problèmes d'encodage = Pour se connecter à une machine en ISO depuis un terminal en utf-8, une des solutions pour éviter des problèmes d'accents est d'utiliser Luit qui effectue une traduction simultanée entre les deux encodages: {{{ luit -encoding ISO8859-15 ssh login@zamok }}} = Séquences d'échappement = Le caractère d'échappement par défaut est '~' (on peut le changer avec l'option {{{-e}}} de {{{ssh}}}). Voici les différentes actions possibles (plus de détails dans {{{man ssh}}}, section '''ESCAPE CHARACTERS''') : * ~. : déconnexion de la session * ~^Z (~``+Ctrl+Z) : suspend la connexion ssh * ~# : liste les connexions forwardées * ~& : passe la connexion en background et attends la fermeture des sessions X11 ou des forwards pour finir * ~? : affiche la liste des caractères d'échappement * ~B : envoie un BREAK à l'hôte distant * ~C : ouvre la ligne de commande ssh (utile pour créer des forwards, ..., voir l'option -h pour plus de détails) * ~R : demande le renouvellement de la clé ---- CatégoriePagePublique