Skip to topic | Skip to bottom
Home
Main
Main.InformatiqueGeneraleTPSecur1.4 - 26 Nov 2008 - 13:41 - OlivierDalletopic end

Start of topic | Skip to actions

Info Gene - TD Securite du 25/11/2008

SSH

La connexion simple, sans agent

  1. Connectez-vous, et ouvrez un terminal
  2. Utilisez la commande ssh-keygen pour generer une paire de clefs
  3. Regardez le résultat dans le répertoire ~/.ssh/
    ls -al ~/.ssh/
  4. Copier la clef publique dans le fichier authorized_keys
    cd ~/.ssh
    cp id_rsa.pub authorized_keys
  5. essayez de vous connecter au serveur sesame-mips.unice.fr avec ssh
  6. Utilisez la commande w pour savoir qui est connecté en même temps que vous
  7. Depuis sesame-mips, connectez-vous sur la machine de votre voisin

Utilisation de l'agent

  1. Deconnectez-vous de sesame-mips avec la commande exit
  2. Utilisez la commande ssh-add
  3. Connectez-vous sur sesame-mips, puis la machine de votre voisin.
    Que remarquez-vous ?
  4. Connectez-vous à nouveau sur sesame-mips, mais en utilisant l'option -A
    ssh -A sesame-mips.unice.fr
  5. Connectez-vous par rebond sur la machine de votre voisin.
    Quelle différence par rapport \`a la connexion simple ?

Copie distante de fichiers

Expérimenter la copie distante n'est pas simple car vous utilisez un espace disque partagé identique sur toutes les machines de la fac: si vous créez un fichier toto localement sur la machine ou vous ravaillez, vous retrouverez automatiquement ce fichier sur sesame-mips ou sur la machine de votre voisin. Nous allons donc expérimenter la copie distante en nous arrangeant pour que les fichiers changent de nom lors de la copie. L'idée étant simplement de s'entraîner pour arriver à refaire la même chose depuis la maison...
  1. Ouvrez un nouveau terminal
  2. Créez un fichier toto contenant la chaîne "coucou c'est moi":
    echo "coucou c'est moi" > toto
  3. Copiez ce fichier "à distance" sur la machine sesame-mips, sous le nom =titi=
    scp toto sesame-mips:titi
    (Remarquez que l'on n'est pas obligé de préciser systématiquement la partie .unice.fr ...)
  4. Dans l'autre sens, copiez le fichier titi sur la machine locale, sous le nom tutu
    scp sesame-mips:titi tutu

Utilisation de ssh avec changement de login

Sur votre machine à la maison, vous avez peut-être un nom d'utilisateur différent de celui de la fac. Moi, par exemple, à la maison mon login est olivier, et la fac c'est dalle. Et encore autre chose au labo... Il faut donc pouvoir changer d'identité. Pour cela, il suffit de préciser l'autre identité sur la machine distante juste avant le nom de la machine, en la "collant" avec le caractère @ . Par exemple, essayez cette commande (en remplaçant login par votre nom d'utilisateur à la fac):
  • scp tutu login@sesame-mips.unice.fr:truc

PGP

Initialisation

Vous trouverez une documentation très claire (en français s'il vous plaît) sur cette page:
http://www.gnupg.org/gph/fr/manual.html

Vous trouverez aussi plein de ressources documentaires en ligne, comme sur cette page (en particulier pour son résumé des commandes à la fin):
http://www.linux-nantes.org/GnuPG-Signez-Cryptez.html

1. Commencez par créer votre paire de clefs à l'aide de la commande gpg
2. Générez aussi le certificat de révocation. Normalement il faut conserver ce certificat dans un endroit sûr où personne ne pourra le voler (par exemple un CD à la maison). Au cas où votre paire de clefs privées/publiques serait compromis (sait-on jamais), ce certificat vous permettra de révoquer (annuler) la clef publique, et donc invalider votre signature. Pourquoi est-ce si important ?
3. Mettez votre clef en ligne sur un serveur public, par exemple celui du MIT. Pour cela il faut d'abord récupérer l'identifiant (id) de sa clef publique, avec la commande suivante:

   dalle@polymnie ~> gpg --list-keys
   /u/profs/dalle/.gnupg/pubring.gpg
   ---------------------------------
   pub   1024D/C5C16732 2008-11-25
               ^^^^^^^^^--------------------ID de la clef
   ...
   
4. Une fois que vous avez l'identifiant, vous pouvez envoyer la clef vers le serveur:
   dalle@polymnie ~> gpg --keyserver pgp.mit.edu --send-key C5C16732     
   gpg: sending key C5C16732 to hkp server pgp.mit.edu
   
5. Puis vous pouvez vérifier que votre clef a bien été sauvée sur le serveur en essayant de la récupérer:
   dalle@polymnie ~> gpg --keyserver pgp.mit.edu --recv-key C5C16732     
   gpg: requesting key C5C16732 from hkp server pgp.mit.edu
   gpg: key C5C16732: "Test User (bla bla test) " not changed
   gpg: Total number processed: 1
   gpg:              unchanged: 1
   
6. Demandez à votre voisin de vous donner (ou envoyer) l'identifiant de sa clef et importez dans votre liste de clef connues.

Cryptage et signature automatique

Le plugin Enigmail permet d'installer le cryptage et la signature automatique et/ou à la demande de vos messages par PGP. Son installation est très simple mais elle implique d'utiliser l'application Thunderbird...

-- OlivierDalle - 25 Nov 2008
to top


You are here: Main > InformatiqueGeneraleTPSecu

to top

Copyright © 1999-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding WIKIDeptinfo? Send feedback