UFR Informatique

Outils pour utilisateurs

Outils du site

Vous êtes ici : Accueil » support » ssh
support:ssh

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
support:ssh [2025/09/03 08:46] – [Authentification par clef] : ne plus parler du serveur lucy letouzeysupport:ssh [2025/09/05 08:59] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. 91.242.162.7
Ligne 1: Ligne 1:
 ====== Connexion distante aux machines ====== ====== Connexion distante aux machines ======
  
-:!: Page obsolète, à mettre à jour :!: +Pour vous connecter aux machines de l'UFR d'informatique, vous avez besoin d'[[playground:support:faq|un login et d'un mot de passe]] qui vous sont distribués par l'administrateur en début d'année.
- +
-Pour vous connecter aux machines de l'UFR d'informatique, vous avez besoin d'[[support:faq|un login et d'un mot de passe]] qui vous sont distribués par l'administrateur en début d'année.+
 Vous pouvez aussi vous connecter à certains serveurs, depuis les salles TD de l'UFR, ou depuis chez vous. Vous pouvez aussi vous connecter à certains serveurs, depuis les salles TD de l'UFR, ou depuis chez vous.
  
Ligne 31: Ligne 29:
 <code>$ ssh machine_distante -l login</code> <code>$ ssh machine_distante -l login</code>
  
-L'option -X est très pratique. Elle permet d'activer le transfert X11 et donc de lancer des applications X11 à travers le tunnel SSH.+L'option -X (ou sa variante moderne -Y) est très pratique. Elle permet d'activer le transfert X11 et donc de lancer des applications X11 à travers le tunnel SSH.
  
 <code>$ ssh -X login@machine_distante</code> <code>$ ssh -X login@machine_distante</code>
Ligne 85: Ligne 83:
 Attention aux permissions de votre homedir. Si "group" ou "other" ont les droits d'écriture (ce que vous ne devriez pas faire, pour des raisons évidentes de sécurité), alors sshd refusera toute connexion par clé publique. En effet, n'importe qui pourrait modifier .ssh/authorized_keys (voir ci-dessous), et se connecter sur votre compte en usurpant votre identité.. Attention aux permissions de votre homedir. Si "group" ou "other" ont les droits d'écriture (ce que vous ne devriez pas faire, pour des raisons évidentes de sécurité), alors sshd refusera toute connexion par clé publique. En effet, n'importe qui pourrait modifier .ssh/authorized_keys (voir ci-dessous), et se connecter sur votre compte en usurpant votre identité..
 </WRAP> </WRAP>
 +
 ==== Génération des clés ==== ==== Génération des clés ====
  
 Sur votre machine, pour générer votre couple de clés, il suffit de taper dans un shell : Sur votre machine, pour générer votre couple de clés, il suffit de taper dans un shell :
 <code>$ ssh-keygen</code> <code>$ ssh-keygen</code>
-ou 
-<code>$ ssh-keygen -t rsa</code> 
  
-SSH vous demande de rentrer une pass-phrase qui est le mot de passe qui va protéger la clef privée. Mémorisez bien cette pass-phrase car elle vous sera demandée à chaque fois que vous vous connecterez en utilisant cette méthode d'authentification. +Lors de la génération de clés, SSH vous demande de rentrer une pass-phrase qui est le mot de passe qui va protéger la clef privée. Mémorisez bien cette pass-phrase car elle vous sera demandée à chaque fois que vous vous connecterez en utilisant cette méthode d'authentification.  
 + 
 +Selon les machines, différents protocoles peuvent être utilisés pour générer ces clés. 
 +Il est recommandé d'utiliser le protocole "ed25519" qui est maintenant le standard sur 
 +les machines modernes, à la place du protocole historique "rsa". Au besoin, on peut choisir 
 +son protocole via l'option **-t** de ssh-keygen, par exemple **ssh-keygen -t ed25519**. 
 +Attention aux noms des fichiers de clés obtenus : **~/.ssh/id_ed25519.pub** pour la clé publique 
 +et **~/.ssh/id_ed25519** pour la clé privée, au lieu des anciens **id_rsa.pub** et **id_rsa**. 
 +La clef privée est stockée par défaut avec les permissions 600 (lisible uniquement par le propriétaire, c'est à dire vous) et la clef publique est stockée avec les permissions 644 (lisible par tout le monde... normal, elle est "publique").
  
-<code>$ ssh-keygen -t rsa +<code>$ ssh-keygen -t ed25519 
-Generating public/private rsa key pair. +Generating public/private ed25519 key pair. 
-Enter file in which to save the key (/Users/pietroni/.ssh/id_rsa):+Enter file in which to save the key (/Users/pietroni/.ssh/id_ed25519):
 [...] [...]
 Enter passphrase (empty for no passphrase): Enter passphrase (empty for no passphrase):
 Enter same passphrase again: Enter same passphrase again:
 [...] [...]
-Your identification has been saved in /Users/pietroni/.ssh/id_rsa+Your identification has been saved in /Users/pietroni/.ssh/id_ed25519
-Your public key has been saved in /Users/pietroni/.ssh/id_rsa.pub.+Your public key has been saved in /Users/pietroni/.ssh/id_ed25519.pub.
 The key fingerprint is: The key fingerprint is:
-cd:b8:da:a3:95:dd:29:f8:b0:38:c1:e4:7e:6d:77:82 pietroni@local_machine.informatique.univ-paris-diderot.fr+SHA256:2NA22BwYOlFO4G15jaQ3lX1mBH0wiGVWKcBzAt1nBn8 pietroni@local_machine.informatique.univ-paris-diderot.fr
 [...] [...]
 </code> </code>
-(L'affichage peut différer d'un système à l'autre. Ici, la capture provient d'un MacOS 10.6.8)+(L'affichage peut différer d'un système à l'autre)
  
-La clef privée est stockée par défaut dans le fichier ~/.ssh/id_rsa avec les permissions 600 (lisible uniquement par le propriétaire, c'est à dire vous) et la clef publique est stockée dans le fichier ~/.ssh/id_rsa.pub avec les permissions 644 (lisible par tout le monde... normal, elle est "publique"). 
  
  
-__Note__ : Vous pouvez modifier votre pass-phrase avec l'option -p de ssh-keygen.+__Note__ : Si besoin, vous pouvez modifier votre pass-phrase avec l'option -p de ssh-keygen.
 <code>$ ssh-keygen -p <code>$ ssh-keygen -p
-Enter file in which the key is (/Users/pietroni/.ssh/id_rsa):+Enter file in which the key is (/Users/pietroni/.ssh/id_ed25519):
 [...] [...]
 Enter old passphrase:  Enter old passphrase: 
-Key has comment '/Users/pietroni/.ssh/id_rsa'+Key has comment '/Users/pietroni/.ssh/id_ed25519'
 Enter new passphrase (empty for no passphrase):  Enter new passphrase (empty for no passphrase): 
 Enter same passphrase again:  Enter same passphrase again: 
Ligne 125: Ligne 129:
 ==== Déploiement et autorisation de votre clef publique ==== ==== Déploiement et autorisation de votre clef publique ====
  
-1. Afin d'autoriser votre clé publique nouvellement générée, vous devez la copier sur votre compte de l'UFR. Pour accéder à votre compte de l'UFR, il va falloir vous connecter sur une autre machine que "lucy(bein oui, puisqu'il vous faut une clé pour lucy...). Le serveur "nivose" fera parfaitement l'affaire.+Afin d'autoriser votre clé publique nouvellement générée, vous devez la copier sur votre compte de l'UFR. Pour accéder à votre compte de l'UFR, seul le serveur "nivoseest à la fois visible de partout et accepte une première connexion sans clé ssh. 
 +Si vous disposez de l'utilitaire **ssh-copy-id**, la commande suivante suffit pour tout mettre en place:
  
-<code>scp ~/.ssh/id_rsa.pub login@nivose.informatique.univ-paris-diderot.fr:~/</code>+<code>$ ssh-copy-id -i login@nivose.informatique.univ-paris-diderot.fr</code>
  
-Cette commande va copier votre clé publique à la racine de votre compte de l'UFR(Voir les détails de scp plus bas)+Sinon, faire manuellement les deux étapes suivantes: 
 + 
 +1. Copier votre clé publique dans votre compte de l'UFR, par exemple à la racine (Voir les détails de scp plus bas) 
 + 
 +<code>$ scp ~/.ssh/id_ed25519.pub login@nivose.informatique.univ-paris-diderot.fr:~/</code>
  
 2. Connectez vous sur nivose en ssh  2. Connectez vous sur nivose en ssh 
 <code>$ ssh login@nivose.informatique.univ-paris-diderot.fr</code> <code>$ ssh login@nivose.informatique.univ-paris-diderot.fr</code>
 et ajoutez votre clé publique à votre fichier ~/.ssh/authorized_keys: et ajoutez votre clé publique à votre fichier ~/.ssh/authorized_keys:
-<code>$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys</code>+<code>$ cat ~/id_ed25519.pub >> ~/.ssh/authorized_keys</code>
  
 (cette commande concatène votre clé à la fin du fichier authorized_keys). (cette commande concatène votre clé à la fin du fichier authorized_keys).
  
-Vous pouvez désormais vous connecter à lucy.+Vous pouvez désormais vous connecter à "lulu" en suivant les instructions de la page [[support:linux]].
  
 ==== Génération de clé sous Windows : puttygen ==== ==== Génération de clé sous Windows : puttygen ====
Ligne 200: Ligne 209:
  
 Un mécanisme appelé ssh-agent permet de ne pas rentrer la pass-phrase à chaque fois. Un mécanisme appelé ssh-agent permet de ne pas rentrer la pass-phrase à chaque fois.
 +Sur les systèmes proposant ce ssh-agent, commencer par taper dans un shell la commande
 +**ssh-add** et saisir sa pass-phrase, qui est alors mémorisé jusqu'à la fin de la session. 
  
-:!: A faire+:!: A finir
  
 ==== Utilisation des alias ==== ==== Utilisation des alias ====
support/ssh.1756889176.txt.gz · Dernière modification : de letouzey

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki