Configurer et utiliser SSH

Nous allons faire nos premières expérences avec ssh. Il vous faut un client et un serveur. C'est mieux.

Premiers pas

L'idée est de mettre en place une procédure entre un client et un serveur qui garantit des transactions sécurisées. A la fin, vous pourrez utiliser les ressources du serveur distant dans un tunnel, sans avoir à vous authentifier à chaque fois.

Pour ceux qui ont déjà utilisé les commandes rlogin, rsh, rcp... et les fichiers .rhosts, le principe est identique. La différence fondamentale est que, avec ssh, tout est crypté.

Pour cela vous devez mettre en place les clés qui serviront à ssh pour vous authentifier. Concrètement cela consiste à définir une paire de clés, une publique que vous mettrez sur le serveur distant, une privée que vous conserverez sur votre machine.

La première chose à faire est de vous créer une clé. Voyons comment réaliser cela.

Tout d'abord allez dans votre répertoire personnel.

$ cd
$ ssh-keygen -t dsa
$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/mlx/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/mlx/.ssh/id_dsa.
Your public key has been saved in /home/mlx/.ssh/id_dsa.pub.
The key fingerprint is:
5c:d9:d8:c5:3d:8d:0b:10:33:42:9c:83:45:a1:d0:61 mlx@neptune.foo.org

Vérification de .ssh. Attention il y a un "." devant ssh

[mlx@neptune mlx]$ ls -alR .ssh
.ssh:
total 20
drwx------    2 mlx      mlx          4096 nov 11 18:19 ./
drwx--x--x   37 mlx      mlx          4096 nov 11 18:09 ../
-rw-------    1 mlx      mlx           736 nov 11 18:19 id_dsa
-rw-r--r--    1 mlx      mlx           616 nov 11 18:19 id_dsa.pub
-rw-r--r--    1 mlx      mlx          1956 nov 10 19:38 known_hosts

Cette commande a généré une clé DSA par défaut de 1024 bits. La clé privée sera stockée dans ~/.ssh/id_dsa et la clé publique dans ~/.ssh/id_dsa.pub.

Si vous voulez générer une clé RSA2, utilisez l'option "-t rsa" et pour du RSA1 "-t rsa1". Vous devrez entrer une "passphrase". Entre 10 et 30 caractères. Mélangez majuscules, minuscules et chiffres. La clé privée doit ensuite être mise en lecture seule pour le propriétaire et aucun accès pour les autres.

Pour modifier votre "passphrase" sur une clé privée DSA, utilisez la commande :

M0:$ ssh-keygen -p -f ~/.ssh/id_dsa
Enter old passphrase:
Key has comment '/home/mlx/.ssh/id_dsa'
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.

Attention, il ne faut pas oublier la "passphrase", elle vous sera redemandée. Il va falloir maintenant copier la clé publique vers le ou les serveurs distants. Il est préférable que vous ayez un compte, sinon vous devrez demander à l'administrateur distant de réaliser la procédure.

La clé publique, doit être copiée sur le serveur distant dans ~/.ssh/authorized_keys. La clé privée reste sur votre poste client. Vous pouvez mettre plusieurs clés publiques sur le serveur, si vous le souhaitez ou si vous accédez au serveur avec plusieurs comptes d'accès différents.

Copiez la clé avec scp sur le compte que vous avez sur le serveur :

MO:$ cat .ssh/id_dsa.pub | ssh mlx@M1.foo.org \
                   "cat - >>.ssh/authorized_keys[2]"
# Attention, sur certaines machines, le fichier se nomme
# authorized_keys, sur d'autres authorized_keys2
# Dasn l'exemple qui est donné, le répertoire .ssh doit exister.

Warning: Permanently added 'M1.foo.org' (RSA) to the list of known hosts.
mlx@M1.foo.org's password:

Le système demande votre mot de passe.

Elle est transférée. On doit pouvoir maintenant réaliser des opérations (commandes) comme scp sur le serveur distant, sans avoir à saisir de mot de passe. Ici on va faire un "ls", sans ouvrir de session sur la machine distante.

M0:$ ssh mlx@M1.foo.org ls
Enter passphrase for key '/home/mlx/.ssh/id_dsa':
d1
d2
d3
d4

Le système distant ne demande plus le mot de passe, par contre il demande la "passphrase". Il va falloir aussi essayer de se passer de ça, car s'il est fastidieux de saisir son mot de passe, il est encore plus embêtant de saisir une "passphrase". Nous verrons comment se passer de ça avec un agent.

Remarque : Envoyer une clé par mail n'est pas un système sûr, et même chiffré et signé cela ne garantit pas au destinataire que vous en êtes l'émetteur s'il ne vous a jamais vu. L'administrateur distant peut demander à ce que l'envoyeur justifie qu'il est bien celui qui a envoyé la clé. Il suffit pour cela de téléphoner à l'administrateur et de communiquer "la signature ou empreinte" (finger print) de la clé (ou par sms). On utilise le même procédé pour identifier et vérifier la validité des clés gpg.

Pour obtenir le "finger print" d'une clé utiliser la commande :

M0:$ ssh-keygen -l
Enter file in which the key is (/home/mlx/.ssh/id_rsa): .ssh/id_dsa
1024 5c:d9:d8:c5:3d:8d:0b:10:33:42:9c:83:45:a1:d0:61 .ssh/id_dsa.pub
M0:$ ssh-keygen -l
Enter file in which the key is (/home/mlx/.ssh/id_rsa): .ssh/id_dsa.pub
1024 5c:d9:d8:c5:3d:8d:0b:10:33:42:9c:83:45:a1:d0:61 .ssh/id_dsa.pub

Utiliser un agent ssh

L'utilisation d'un agent, évite d'avoir à retaper la "passphrase" à chaque fois que l'on sollicite l'utilisation de la clé privée. Un agent stocke en mémoire les clés privées. Voici comment activer un agent :

M0:$ ssh-agent

La commande met sur la sortie standard des variables environnement à déclarer et à exporter. Faites le.

M0:$ SSH_AUTH_SOCK=/tmp/ssh-XXXB76f4/agent.2888; export SSH_AUTH_SOCK;
M0:$ SSH_AGENT_PID=2889; export SSH_AGENT_PID;
M0:$ echo Agent pid 2889;

On va maintenant exporter les clés. Cela consiste à les mettre dans le cache de l'agent avec la commande ssh-add. La commande demandera la "passphrase"..

M0:$ ssh-add
Enter passphrase for /home/mlx/.ssh/id_dsa:
Identity added: /home/mlx/.ssh/id_dsa (/home/mlx/.ssh/id_dsa)

On vérifie maintenant la connexion.

M0:$ ssh mlx@M1.foo.org ls
d1
d2
d3
d4

Nous n'avons plus besoin de taper le mot de passe, ni la "passphrase". Pour supprimer une clé (ici RSA) de l'agent, utilisez l'option "-d"

M0:$ ssh-add -d ~/.ssh/id_rsa

Utilisez l'option -D pour supprimer toutes les clés de l'agent.
Utilisez l'option -l pour savoir quelles clés sont chargées par l'agent.

Automatisation dans X

Cela peut être automatisé dans un script.

"ssh-agent" est un daemon dont le but est d'intercepter la clé publique lorsque le programme "ssh-add" la lit après avoir demandé la passphrase. "ssh-agent" doit ensuite transmettre la clé aux processus dont il est le "père" du point de vue du système. "ssh-agent" fait bénéficier les processus fils (fork) de ses propriétés.

Pour étendre cela aux sessions X, si vous lancez l'interface graphique manuellement, cela deviendra par exemple :

M0:$ ssh-agent xinit
ou 
M0:$ ssh-agent startx

Dans tous les cas, il est nécessaire que les variables d'environnement soient définies avant le lancement du serveur X, qui les exportera par défaut à l'ensemble de vos applications graphiques (lancées sous X).

Cela peut aussi être fait dans le fichier startx ou bien ~/.xinitrc ou bien ~/.xsession, en résumé avant le lancement de votre gestionnaire de fenêtres. Par exemple, si c'est le fichier ~/.xinitrc qui lance le gestionnaire de fenêtres, il ressemblera à ceci:

#!/bin/sh

ssh-agent -s > /tmp/ssh.keys    # pour y mettre les variables environnement
.  /tmp/ssh.keys                # Exporter les variables
rm  /tmp/ssh.keys               # Faire le ménage après
startx

Ainsi, au prochain lancement d'un serveur X, vous n'aurez plus qu'à ouvrir une fenêtre xterm et taper la commande: ssh-add

Une autre solution consiste à mettre dans son .xinit ou .xsession :

/usr/local/bin/ssh-add $HOME/.ssh/id_dsa < /dev/null

La commande ssh-add demande la passphrase

Pour les sessions xdm par exemple, modifier les fichiers de démarrage :

#Au début de /etc/X11/Xsession: 
AGENT=$(type -p ssh-agent)
if [ -x "$AGENT" -a -z "$SSH_AUTH_SOCK" ]; then
    if [ -r $HOME/.ssh/identity -o -r $HOME/.ssh2/identification \
            -o -r $HOME/.ssh/id_dsa -o -r $HOME/.ssh/id_rsa ]; then
        SSH_AGENT="$AGENT --"
    fi
fi