Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 19/10/2009, à 22:37

vandman

acces via ssh depuis internet

bonjour a tous,

Je voudrais savoir comment faire pour activer un acces securise depuis internet via ssh.
si j'ai bien compris, ssh est une maniere de faire une connexion securise.
je l'ai donc installe mais ca ne fonctionne pas a partir d'internet. Par contre, au sein de mon reseau local, l'acces ssh fonctionne tres bien.

il doit y avoir un probleme d'autorisation pour des acces depuis internet. ou aller voir?

Merci

Dernière modification par vandman (Le 19/10/2009, à 22:37)

Hors ligne

#2 Le 19/10/2009, à 22:45

lsam

Re : acces via ssh depuis internet

Je suppose que tu connais l'adresse IP publique du serveur.
Déjà, si tu es derrière un routeur côté serveur, il faut faire du "port forwarding". Tu l'as déjà fait ?

Hors ligne

#3 Le 19/10/2009, à 22:47

droopy191

Re : acces via ssh depuis internet

salut,

Il faut faire une redirection de port au niveau de la passerelle ( une box sans doute )
Pour cela, donnez une ip fixe à votre machine.
Puis faite la redirection de port sur la box ( google ma_marque_de_boite_box redirection de port )

Si vous ouvrez ssh sur internet, meme si ssh est sur, il peut etre utile de prendre qq précautions:
- au niveau externe, choisir un port non standard pour ssh ( ex redirection 29022 -> 22 )
- authentification par clés
- ajout de fail2ban

Hors ligne

#4 Le 20/10/2009, à 16:33

vandman

Re : acces via ssh depuis internet

Salut,

Effectivement, j'ai oublie de preciser que mon ordinateur a une ip fix en intranet, que je connais mon ip publique et que la redirection de port est normallement faite:

port = xxxxx ; protocole = tcp; destination = 192.168.x.xxx et port = 22

voici ce que j'ai mis dans les parametres de ma box.

pour ce qui est de la cle, je l'ai deja car j'utilise celle que j'ai utilise pour verifier ssh au sein de mon intranet.

je dois preciser que lorsque je tente un 

 sftp://username@IPpubique -p xxxxx /

cela fonctionne de chez moi.

Je precise aussi que la ou j'esaye, tous les ports sont ouverts.

Merci pour votre aide.

Pierre

Dernière modification par vandman (Le 20/10/2009, à 16:39)

Hors ligne

#5 Le 20/10/2009, à 16:45

droopy191

Re : acces via ssh depuis internet

depuis un accès distant, lancer ssh en mode bavard pour voir ou ca coince

ssh -v user@ipdistante -p xxxx

Au niveau du serveur ssh, pas de directives restrictives au niveau réseau local telles que :

Listen a.b.c.d

Hors ligne

#6 Le 21/10/2009, à 14:47

vandman

Re : acces via ssh depuis internet

Salut,

Bon en fait, ca fonctionne. il devait y avoir un probleme sur le reseau.

Par contre, j'ai remarque des petits trucs "droles".

En faisant 

ssh -v user@ipdistante -p xxxx

j'ai vu qu'a la base, je n'utilisais pas de cle mais uniquement une connection par mot de passe. En fait, j'avais genere la cle sous root et non sous ****.

j'ai donc genere ma cle sous **** et maintenant la cle est utilisee cf 

ssh -v user@ipdistante -p xxxx

.

La question est la suivante:

A quoi bon generer une cle si la connextion a mon serveur est possible sans?
Ou plus presisement, comment rendre obligatoire le faite d'avoir la cle pour se connecter? (plus de securite)

Pierre

Dernière modification par vandman (Le 21/10/2009, à 14:48)

Hors ligne

#7 Le 21/10/2009, à 16:35

droopy191

Re : acces via ssh depuis internet

dans sshd_config

PasswordAuthentication no

Hors ligne

#8 Le 22/10/2009, à 23:40

vandman

Re : acces via ssh depuis internet

Re,

Je suis un peu perdu. En jouant avec ssh , fail2ban et ssh_config j'ai du faire des betises.
Je precise que j'ai jouer avec ssh , fail2ban et ssh_config car j'ai essaye de me connecter de l'exterieur de mon reseau avec la commande 

PasswordAuthentication no

a chaque fois, il me rejetait. pourtant je rentrais bien la bonne paraphrase. Dans le doute, en revenant chez moi, j'ai efface les fichiers dans le repertoire SSH et j'ai genere une nouvelle cle etc. Depuis, c'est la m...

je veux pouvoir me connecter avec la cle sans mot de passe, ou si cela est possible, pour plus de securite, faire les deux (connection avec cle+paraphrase et puis mot de passe). je veux aussi pouvoir verifier que les deux fonctionnent en meme temps.

Voici les differents logs:

****@********:~$ ssh -v ****@ip
OpenSSH_5.1p1 Debian-5ubuntu1, OpenSSL 0.9.8g 19 Oct 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to ip [ip] port 22.
debug1: Connection established.
debug1: identity file /home/****/.ssh/identity type -1
debug1: identity file /home/****/.ssh/id_rsa type -1
debug1: identity file /home/****/.ssh/id_dsa type 2
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.1p1 Debian-5ubuntu1
debug1: match: OpenSSH_5.1p1 Debian-5ubuntu1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.1p1 Debian-5ubuntu1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'ip' is known and matches the RSA host key.
debug1: Found key in /home/****/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/****/.ssh/id_dsa
debug1: Authentications that can continue: publickey
debug1: Trying private key: /home/****/.ssh/identity
debug1: Trying private key: /home/****/.ssh/id_rsa
debug1: No more authentication methods to try.
Permission denied (publickey).

et ca pour

****@********:~$ tail -f /var/log/auth.log
Oct 22 23:30:01 ******* CRON[32353]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct 22 23:30:01 ********* dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.163" (uid=1001 pid=26398 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.206" (uid=0 pid=32353 comm="/USR/SBIN/CRON "))
Oct 22 23:30:01 ******** dbus-daemon: Rejected send message, 1 matched rules; type="method_call", sender=":1.33" (uid=1000 pid=4079 comm="/usr/lib/indicator-applet/indicator-applet --oaf-a") interface="org.freedesktop.DBus.Properties" member="Get" error name="(unset)" requested_reply=0 destination=":1.206" (uid=0 pid=32353 comm="/USR/SBIN/CRON "))
Oct 22 23:30:01 ******** CRON[32353]: pam_unix(cron:session): session closed for user root

merci

Dernière modification par vandman (Le 22/10/2009, à 23:49)

Hors ligne

Pages : 1