Vous êtes ici : Accueil / Documentations / Connexion aux serveurs de l'IUEM / Utilisation avisée de SSH pour se connecter aux machines de l'IUEM

Utilisation avisée de SSH pour se connecter aux machines de l'IUEM

Comment configurer mon client SSH pour utiliser les machines de l'IUEM de façon sécurisée, même depuis l'extérieur.

Généralités

Pour se connecter à des serveurs de l'IUEM, vous utilisez le protocole SSH qui garanti la sécurité des données que vous échangez avec le serveur grâce au chiffrement des informations que transitent sur le réseau. Le protocole SSH permet aussi d'authentifier les utilisateurs de façon sécurisée et sûre. Il existe plusieurs modes d'authentification.

L'authentification par mot de passe

À chaque connexion au serveur SSH, l'utilisateur fournit un mot de passe qui transite de façon sécurisée sur le réseau. Si le serveur reconnait le mot de passe de l'utilisateur, il autorise la connexion.

Ce système est simple et efficace mais comporte des faiblesses, notamment dans la façon dont les mots de passes sont stockés à l'université.

Pour plus de sécurité, on recommande l'authentification par paire de clés

L'authentification par clés

L'authentification SSH par paire de clés (publique/privée) se déroule ainsi :

  • vous avez généré une paire de clé (publique et privée) sur votre machine
  • la clé publique est un fichier avec l'extension ".pub"
  • la clé privée est strictement confidentielle, elle doit être protégée par un mot de passe et elle ne doit pas circuler le moins possible. Elle  est à vous, c'est comme une brosse à dents, ça ne se prête pas.
  • pour se connecter à un serveur de l'IUEM avec l'authentification par clés, il faut déposer la partie *publique* de la clé (et la partie publique uniquement) sur le serveur. Pour cela vous pouvez attacher votre clé publiqe (surtout pas la clé privée) à un mail que vous envoyez à "assistance-iuem@univ-brest.fr" en demandant à ce que la clé publique en PJ soit acceptée sur le serveur où vous souhaitez vous connecter.
  • lorsque la clé publique est installée sur le serveur, votre client SSH va se servir de la clé privée pour s'authentifier auprès du serveur qui saura la faire correspondre avec sa partie publique.


Pour mieux comprendre, vous pouvez voir la partie publique comme une serrure qu'on pose sur sa porte d'entrée, et la partie privée comme la clé qui ouvre la serrure.

Générer une paire de clés

Sous Windows

Putty Pageant

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Sous Linux

La commande ssh-keygen est le couteau suisse pour gérer ses paires de clés. Mais les distributions linux modernes sont équipées de programmes plus conviviaux pour générer et gérer vos paires de clés.

On peut configurer le client SSH très finement via le fichier de configuration "~/.ssh/config"

Par exemple :

Host styx*
    IdentityFile ~/.ssh/iuem_servers
    PubkeyAuthentication yes
    ForwardX11 yes
    ForwardX11Trusted yes
    ForwardAgent yes

Sous MacOS

Connexion SSH depuis l'IUEM

Depuis l'intérieur de l'IUEM, aucune instruction particulière. Les connexions se font de manière classique.

Connexion SSH depuis l'extérieur

Avant tout, il faut savoir que pour se connecter aux serveurs de l'IUEM par SSH depuis l'extérieur, nous recommandons l'utilisation du VPN. Cela vous permet de travailler hors les murs de l'IUEM mais comme si vous y étiez (du point de vue du réseau en tout cas).

Mais dans certains cas, le VPN peut ne pas être la bonne solution (vous n'êtes pas sur votre propre poste de travail par exemple).

Afin de se prémunir des attaques extérieures, un nombre limité de serveurs de l'IUEM ont un accès extérieur. Le serveur styx fait partie des machines accessibles depuis l'extérieur de l'institut.

De plus, si votre authentification échoue 5 fois en 5 minutes, votre compte sera bloqué pendant 1h. Pour le débloquer plus rapidement, envoyez un mail à assistance-iuem@univ-brest.fr

Une fois connecté sur Styx, on peut "rebondir" par SSH vers d'autres serveurs. Si ces serveurs acceptent votre clé, vous pouvez configurer le client SSH pour qu'il transmette l'authentification, ainsi vous n'aurez pas besoin de réentrer votre mot de passe. L'option s'appelle "ForwardAgent"

FreeNX

FreeNX est un service disponible sur Styx. Il permet de déporter un bureau graphique via le protocole SSH.

Pour utiliser FreeNX, il faut installer le client sur votre poste de travail et installer la clé du serveur Styx.

Pour l'obtenir, contactez assistance-iuem@univ-brest.fr

La documentation complète pour la connexion FreeNX est sur cette page.

Mots-clés associés : ,