SSH Configuration

SSH
Configuration
Le service SSH vous permet de disposer d’un accès en ligne de commande de l’extérieur
de l’établissement sur une machine publique de l’Ecole. A partir de celle-ci, l’accès vers
des serveurs internes - protégés des attaques extérieures - est autorisé.
Depuis un poste client, n’importe où dans le monde, vous vous connectez en ssh sur
frontal-ssh.ens.fr, en utilisant le port par défaut (22).
Pour des questions de sécurité (éviter les attaques par force brute d’un mot de passe
notamment), seule l’authentification par clés est autorisée. Une fois connecté, vous
pouvez vous servir de cette machine comme rebond vers des serveurs internes.
Cette documentation vous indique la procédure pour la création de telles clés, ainsi que
leur activation sur le serveur.
Pour toute demande d’accès SSH, vous devez au préalable disposer d’une carte
multifonctions ENS à jour.
Ce service vous est fourni par le Centre de Ressources Informatiques de l’ENS.
Préparation de votre clé publique
2
Sous Unix/Linux et OS X!
2
Sous Windows!
2
Demande de création du compte
3
Utilisation sous Windows de putty
4
Créer un tunnel
5
Auteur : Nicolas Fontaine!
Version : 1.0
Ecole Normale Supérieure !
Page 1/6
1. Préparation de votre clé publique
Sous Unix/Linux et OS X
La création d’une clé se fait en ligne de commande en utilisant un terminal, voici la
commande à taper :
ssh-keygen -d
Une invite de commande vous demande de rentrer un mot de passe, il est très
important de le renseigner afin d’éviter toute utilisation de votre clé par une tierce
personne.
A partir de là, votre clé publique est stockée dans le fichier ~/.ssh/id_dsa.pub. C’est ce
fichier qu’il faudra envoyer sur le serveur (Et uniquement celui-ci).
Votre clé privée (~/.ssh/id_dsa) doit impérativement rester en votre possession ! Vous
ne devez pas la transmettre, ni sur le serveur, ni à autrui.
Sous Windows
La création d’une clé passe par l’utilitaire putty. Vous devez récupérer le logiciel nommé
puttygen sur :
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Une fois l’application lancée, il faut :
- cliquez sur la case «SSH2 DSA» (Etape 1).
- cliquez sur le bouton «Generate». Vous devez bouger la souris à ce moment là afin de
générer des clés au hasard.
- entrez un commentaire pour identifier votre machine (username@machine) à l’Etape 2.
- entrez un mot de passe. Ce mot de passe est associé à la clé et permet de protéger
cette dernière (Etape 3).
- cliquez sur «Save private key» et faites l’enregistrement au nom de id_dsa.ppk.
- faites un copier du texte de l’encadré «Public key to paste into OpenSSH» (Etape 4).
- collez ce texte dans Notepad.
- enregistrez le fichier au format ANSI dans le même dossier au nom de id_dsa_win.pub
(pas d’extension .txt).
- fermez puttygen et Notepad.
Votre clé privée (id_dsa.ppk) doit impérativement rester en votre possession ! Vous ne
devez pas la transmettre, ni sur le serveur, ni à autrui.
Auteur : Nicolas Fontaine!
Version : 1.0
Ecole Normale Supérieure !
Page 2/6
Etape 4
Etape 2
Etape 3
Etape 1
2. Demande de création du compte
Cette partie doit se faire obligatoirement depuis le réseau de l’Ecole Normale Supérieure.
Aucun accès depuis l’extérieur n’est possible, pour des raisons de sécurité.
Si vous ne pouvez pas vous connecter sur l’interface, contactez le Centre de Ressources
Informatiques, par messagerie électronique, afin de pouvoir envoyer votre clé publique.
Vous devez vous connecter sur le service Mon SSH, en indiquant le lien suivant dans
votre navigateur internet :
http://mon-ssh.ens.fr
Une page d’authentification vous demandera vos identifiants de connexion.
Vous devez utiliser les mêmes identifiants qui vous ont été fournis pour accéder aux
services Intranet, ENT, Wifi...
Vous devez alors déposer la clé publique (soit id_dsa_win.pub, soit id_dsa.pub) et
soumettre la création du compte.
Auteur : Nicolas Fontaine!
Version : 1.0
Ecole Normale Supérieure !
Page 3/6
Vous avez la possibilité de déposer un maximum de 6 clés publiques si vous en avez
l’utilité.
L’activation de votre compte sera effective moins de 15 minutes après avoir validé votre
demande. Vous pouvez alors vous connecter depuis l’extérieur sur :
frontal-ssh.ens.fr
3. Utilisation sous Windows de putty
Afin de pouvoir vous connecter sur frontal-ssh.ens.fr en utilisant vos clés, il faut indiquer
au logiciel putty lesquelles utiliser.
Pour ce faire, une fois l’application putty ouverte :
- dérouler, dans l’arborescence à gauche, le menu Connection
- dérouler ensuite le menu SSH, puis Auth.
- indiquer la clé privée à utiliser que nous avons nommé id_dsa.ppk (Etape 5)
Etape 5
Vous pouvez désormais revenir sur le menu Session.
Auteur : Nicolas Fontaine!
Version : 1.0
Ecole Normale Supérieure !
Page 4/6
Il est enfin temps de se connecter en indiquant à l’Etape 6 l’adresse du serveur.
Etape 6
4. Création d’un tunnel
Si vous avez besoin de copier des données sur l’un des serveurs internes, il vous faudra
créer un tunnel entre votre machine et le serveur interne (en passant par frontalssh.ens.fr).
Sous Unix/Linux et OS X
Vous devez lancer un premier terminal, qui servira de tunnel (à laisser ouvert tant que
vous avez besoin de ce dernier), et lancer la commande suivante :
ssh -L 2012:host_serv_int:22 [email protected]
Le nom «host_serv_int» est le nom du serveur que vous voulez utiliser (ou sur lequel vous
voulez copier les données), et «login» est votre nom d’utilisateur.
Ensuite vous pouvez lancer une copie de vos données (par exemple «monrep») vers le
serveur interne avec cette commande :
scp -r -P 2012 monrep login@localhost:
Il faudra remplacer «login» par votre nom d’utilisateur sur le serveur interne.
Auteur : Nicolas Fontaine!
Version : 1.0
Ecole Normale Supérieure !
Page 5/6
Sous Windows
Afin de pouvoir créer un tunnel, il faut également utiliser le logiciel putty. Pour ce faire,
une fois l’application ouverte :
- déroulez, dans l’arborescence à gauche, le menu Connection
- déroulez ensuite le menu SSH, puis Tunnels
- indiquez les informations suivantes : port 2012, host_serv_int sur le port 22 (Etape 1).
- cliquez sur Add
Etape 1
Etape 2
Vous pouvez désormais revenir sur le menu Session afin de vous connecter.
Pour copier des données il faut utiliser un logiciel de type winscp, avec les informations
suivantes : localhost, sur le port 2012.
Auteur : Nicolas Fontaine!
Version : 1.0
Ecole Normale Supérieure !
Page 6/6