Différences

Ci-dessous, les différences entre deux révisions de la page.

--- abuledu:administrateur:connexion_par_tunnel_ssh [2008/04/04 18:15]
jean
+++ abuledu:administrateur:connexion_par_tunnel_ssh [2016/01/21 12:22] (Version actuelle)
erics
@@ Ligne 1: / Ligne 1: @@
+{{tag>version-8-08}}
 ====== Tunnel SSH ======
-Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les informations sont chiffrées. Il devient donc impossible de voir ce que fait l'utilisateur. La connexion est sécurisée entre le poste de l'utilisateur et le serveur. Sur tout serveur AbulÉdu (Pro ou PLM) un serveur SSH est installé. Les utilisateurs autorisés à l'utiliser sont différents et paramétrables.
+<note>
+Si votre ordinateur est sous windows, veuillez lire la documentation suivante: [[Connexion par tunnel SSH avec Windows]].
+</note>
+Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite toutes les informations sont chiffrées. Il devient donc impossible de voir ce que fait l'utilisateur. La connexion est sécurisée entre le poste de l'utilisateur et le serveur. Sur tout serveur AbulÉdu un serveur SSH est installé. Les utilisateurs autorisés à l'utiliser sont différents et paramétrables.
 ===== Mise en place =====
-Pour vous connecter sur l'interface d'administration de votre serveur abuledu:
+Pour vous connecter sur l'interface d'administration de votre serveur AbulÉdu:
-  * **Version PRO 1.6**
 Pensez avant tout à ajouter votre utilisateur dans le groupe "remotessh", tant que l'utilisateur XXX n'est pas dans le groupe remotessh il ne pourra pas se connecter en SSH sur le serveur !
 <code>
-) ssh identifiant@ip_du_serveur -f -N -L 8082:servecole:8082
+) ssh identifiant@ip_du_serveur -f -N -L 8082:localhost:8082
 ou
-) ssh identifiant@ip_du_serveur -f -N -L 8083:servecole:8082
+) ssh identifiant@ip_du_serveur -f -N -L 8083:localhost:8082
-ex: ssh paul.billou@serveur.dyn.abuledu.net -f -N -L 8083:servecole:8082
+ex: ssh paul.billou@serveur.dyn.abuledu.net -f -N -L 8083:localhost:8082
 </code>
 L'utilisateur "identifiant" doit être membre du groupe remotessh.
-Une fois cette commande lancée vous pourrez accéder à l'administration web abuledu par http://localhost:8082/ (ligne 1) ou http://localhost:8083/ (ligne 2).
+Une fois cette commande lancée vous pourrez accéder à l'administration web AbulÉdu par http://localhost:8082/ (ligne 1) ou http://localhost:8083/ (ligne 2).
-  * **Version PRO 1.4 et PLM 5.11**
-<code>
-ssh ip_du_serveur -f -N -L 8082:webadmin:80
-</code>
-Ensuite il faut ajouter webadmin sur la liste localhost 127.0.0.1 de votre fichier /etc/hosts. Relancez votre navigateur web et pointez le sur http://localhost:8082/
-ATTENTION, si vous modifiez votre fichier /etc/hosts pensez à le remettre en situation "normale" après avoir administré le serveur abuledu !
 ===== Libérer les ports ouverts =====
-Pour clôturer le port 8082 ouvert à l'aide de la commande ssh ci-dessus vous pouvez tout simplement "tuer" le processus en question. Pour celà il faut travailler en deux étapes:
+Pour clôturer le port 8082 ouvert à l'aide de la commande ssh ci-dessus vous pouvez tout simplement "tuer" le processus en question. Pour cela il faut travailler en deux étapes:
 . Trouver le numéro de processus qui a ouvert le port en question à l'aide de la commande "ps x"
@@ Ligne 59: / Ligne 55: @@
 ===== Lancer des applications à distance=====
-Pour lancer depuis chez soi des applications installées sur le serveur AbulEdu, il est nécessaire de vérifier trois conditions :
+Pour lancer depuis chez soi des applications installées sur le serveur AbulÉdu, il est nécessaire de vérifier trois conditions :
   * utiliser une distribution Linux (un [[frwp>LiveCD|Live CD]] Linux comme [[http://kaella.linux-azur.org/|Kaella]] ou [[http://www.ubuntu-fr.org/|Ubuntu]] peut faire aussi l'affaire).
   * être autorisé à utiliser l'accès ssh sur le serveur.
-  * avoir une connexion internet opérationnelle sur votre poste et sur votre serveur AbulEdu.
+  * avoir une connexion internet opérationnelle sur votre poste et sur votre serveur AbulÉdu.
 <note importante>
-Les utilisateurs d'AbulEdu PLM sont tous par défaut autorisés à utiliser l'accès par ssh (voir la section suivante pour modifier cette option).
-Les utilisateurs d'AbulEdu PRO ne sont autorisés à utiliser cet accès que s'ils appartiennent au groupe "''remotessh''".
+Les utilisateurs d'AbulÉdu ne sont autorisés à utiliser cet accès que s'ils appartiennent au groupe "''remotessh''".
 </note>
@@ Ligne 80: / Ligne 75: @@
   * Votre adresse ''ip_du_serveur'' peut être fixe selon votre fournisseur d'accès, modifiée toutes les 24 heures ou bien ressembler à xxx.dyn.abuledu.net si vous êtes sur un serveur PRO.
-Ensuite il ne vous reste plus qu'à lancer les [[abuledu:utilisateur:applications_courantes_sous_linux|commandes propres à chaque application]] (comme ''oowriter'', ''abiword''...) pour les voir apparaitre sur votre écran après une bonne dizaine de secondes, selon la taille de l'application. Toutefois, évitez les applications trop lourdes (vidéo...) qui tourneraient trop lentement sur votre poste.
+Ensuite il ne vous reste plus qu'à lancer les [[abuledu:utilisateur:applications_courantes_sous_linux|commandes propres à chaque application]] (comme ''oowriter'', ''abiword''...) pour les voir apparaître sur votre écran après une bonne dizaine de secondes, selon la taille de l'application. Toutefois, évitez les applications trop lourdes (vidéo...) qui tourneraient trop lentement sur votre poste.
 <note tuyau>
 Si vous souhaitez lancer plusieurs applications simultanément, faites suivre votre commande du signe " &" (avec une espace entre les deux) pour retrouver la main dans la console. Par exemple :
@@ Ligne 92: / Ligne 87: @@
 Une fois vos applications utilisées et fermées, tapez "exit" (ou faire Ctrl + D) dans la console pour quitter votre session SSH.
-===== Sécuriser son serveur PLM =====
-Par défaut, sur un serveur PLM, tous les utilisateurs sont autorisés à utiliser ce protocole, y compris root. Ceci opeut être une faille de sécurité importante surtout si les mots de passe sont simples. Certains programmes (scraper) cherchent par tous les moyens à entrer sur des serveurs et tentent de forcer l'entrée en recherchant des mots de passe simples. Il est donc important de s'assurer que les mots de passe soient suffisamment complexes pour viter ce type d'intrusion qui pourraient utiliser votre serveur.
-Pour cela, il faut restreindre l'accès à votre serveur aux personnes qui en ont effectivement besoin. Leur nombre est en général limité et il convient surtout de pas autoriser root à utiliser ce protocole.
-=== Comment faire ? ===
-Il existe un fichier de configuration propre au serveur SSH sur votre serveur PLM qui contient certains paramètres, dont la liste des utilisateurs autorisés à se connecter au serveur.
-En tant que root, éditez le fichier /etc/ssh/sshd_config (avec ''gedit /etc/ssh/sshd_config'' par exemple).
-Modifiez la ligne contenant :
-<code>
-PermitRootLogin yes
-</code>
-en
-<code>
-PermitRootLogin no
-</code>
-Puis ajoutez à la fin, à la fin du fichier la ligne suivante :
-<code>
-AllowUsers nom_du_user1 nom_du_user2
-</code>
-où ''nom_du_user1'', ''nom_du_user2'' sont les utilisateurs autorisés à utiliser les connexions par protocole ssh.
-Ensuite toujours sous le compte root, il faut relancer le service SSH en lui faisant relire le fichier de configuration :
-<code>
-/etc/init.d/ssh reload
-</code>
-A l'avenir,  y compris au prochain redémarrage, seuls les utilisateurs mentionnés pourront se connecter en ssh à ce serveur.