SSH/fr

SSH (Secure SHell) est un programme de terminal chiffré qui remplace telnet, l'outil classique des systèmes d'exploitation du type Unix.

En plus de l'accès par terminal distant procuré par le binaire principal ssh, la suite de programmes SSH s'est développée pour inclure d'autres outils tels que scp (très largement utilisé) et sft (moins courant).

À l'origine, SSH n'était pas libre. Cependant, de nos jours, la version la plus populaire de SSH, qui constitue un standard de fait, est l'OpenSSH de OpenBSD. Cette version est pré-installée sur Gentoo.

Serveur
Le serveur OpenSSH peut être contrôlé comme n'importe quel autre service géré par OpenRC, avec /etc/init.d/sshd start, /etc/init.d/sshd stop, et /etc/init.d/sshd restart.

Notez que les connexions actives aux serveur ne sont pas affectées lorsque vous exécutez la commande /etc/init.d/ssh restart, tandis qu'exécuter /etc/init.d/ssh stop suivi de  /etc/init.d/ssh start peut provoquer des déconnexions.

Configuration du serveur
Le serveur SSH est ordinairement configuré dans le fichier, bien qu'il soit aussi possible d'effectuer des configurations ultérieures dans le fichier  d'OpenRC, y compris en changeant l'emplacement du précédent. Pour des informations détaillées sur la manière de configurer le serveur, reportez-vous à  page de manuel sshd_config.

Vous devriez également étudier ce guide pour une configuration centrée sur la sécurité.

Configuration du client
Le client ssh et les programmes en relation (scp, sftp, etc.) sont configurés dans le fichier. Pour plus d'informations sur la manière de configurer ces programmes, reportez-vous à la page de manuel de ssh_config.

Authentification sans mot de passe
très commode pour la gestion du serveur  git

Client
Sur votre client, exécutez

puis faites Entrée 5 fois pour générer votre clé. Déplacer votre clé client publique ~/.ssh/id_rsa.pub vers le  serveur auquel vous allez vous connecter  en tant que clé autorisée en la plaçant dans ~/.ssh/authorized_keys.

Serveur
Ajouter un utilisateur avec la commande useradd.

puis placez le fichier id_rsa.pub du client dans le dossier ~/.ssh/authorized_keys du nouvel utilisateur.

Test sur une machine unique
Faites 5 fois Entrée

Dépannage
Il y a trois niveaux de débogage. -v fait que ssh imprime des messages de débogage sur sa progression. Ceci est utile pour déboguer une connexion, l'authentification, et les problèmes de configuration. De multiples options -v augmentent la loquacité. Le maximum est 3.

Mode de débogage 1:

Mode de débogage 2:

Mode de débogage 3:

Extinction des connexions à longue durée de vie
Beaucoup de périphériques d'accès à Internet effectuent de la translation d'adresses (NAT), un processus qui autorise des matériels sur un réseau privé, tels que ceux rencontrés à la maison ou au bureau, à accéder à des réseaux externes, comme l'Internet, tout en n'ayant qu'une adresse IP unique sur ces réseaux. Malheureusement, tous les périphériques NAT ne se valent pas, et quelques uns d'entre-eux ferment inadéquatement des connexions à longue durée de vie qui utilisent occasionnellement TCP  comme celles qui utilisent SSH. Ceci est généralement observable comme une soudaine incapacité à interagir avec le serveur distant, alors que le programme client ssh n'a pas été interrompu.

Pour résoudre ce problème, les clients OpenSSH et les serveurs peuvent être configurés pour envoyer un message invisible, ou 'keep alive (maintenir en vie)', qui vise à maintenir et à confirmer l'état vivant du lien.
 * Pour activer keep alive pour tous les clients se connectant à votre serveur local , définissez ClientAliveInterval 30 (ou une autre valeur en secondes) dans le fichier.
 * Pour activer keep alive pour tous les serveurs auxquels se connecte votre client local, définissez ServerAliveInterval 30 (ou une autre valeur en secondes) dans le fichier.

Voir aussi

 * Securing OpenSSH - Gentoo developer documentation.
 * OpenSSH Key Management Part1 - Gentoo documentation, have a look at all 3 parts.
 * Gentoo Linux Keychain Guide
 * autossh - Detects when SSH connections drop and auto-reconnects.