Cet article est le deuxième d'une série de quatre :

1. SSH, pour se connecter en ligne de commande à un ordinateur distant
2. SSH, se connecter sans mot de passe à l'aide de la cryptographie
3. Reverse SSH, pour se connecter à un ordinateur distant protégé par un pare-feu (à venir)
4. SSH, des tunnels pour tous les services (à venir)

---

Dans le précédent épisode, nous avons montré comment se connecter en ligne de commande à un serveur distant, parfois par l'intermédiaire d'un — ou potentiellement plusieurs — serveur relais. Pour chaque serveur et à chaque connexion, un mot de passe différent est requis. Outre la nécessité rébarbative d'avoir à taper des mots de passe, il ne s'agit peut-être pas de la méthode la plus sécurisée. Une seule compromission suffit ; toute personne ayant connaissance du mot de passe peut se connecter.

L'authentification par clefs cryptographiques limite la possibilité de se connecter au seul propriétaire d'une clef. Souvent, cette clef est utilisée par un unique poste client. Ainsi, seule la connexion depuis ce poste client est possible. Néanmoins, le vol du poste client ou une copie malintentionnée de la clef cryptographique sont de l'ordre du possible. Si la clef est protégée par un mot de passe, le serveur distant ne peut être compromis — ou plus difficilement, tout du moins.

Grâce à l'authentification cryptographique, il n'est ainsi plus nécessaire de connaître ni d'avoir à taper les mots de passe des différents serveurs distants ; seul celui qui protège la clef importe. Pour ne pas avoir à taper systématiquement ce dernier, plusieurs mécanismes sont envisageables ; comme celui permettant de ne le taper qu'une seule fois par session, par exemple.

Le principe de la cryptographie asymétrique à clef publique a été énoncé dans un précédent article. Dans le cas qui nous concerne, la clef protégée par mot de passe est la clef privée de l'utilisateur. Cette clef est la seule à même de déchiffrer les messages envoyés par les serveurs distants, sur lesquels la clef publique correspondante a préalablement été enregistrée. C'est par ce mécanisme que les serveurs s'assurent de l'authenticité de leur correspondant.

Générer les clefs de chiffrement

Afin de pouvoir utiliser cette authentification cryptographique, il est d'abord nécessaire de générer une clef privée sur l'ordinateur CLIENT, puis d'enregistrer la clef publique correspondante sur les serveurs distants auxquels ont souhaite se connecter — ici, SERVEUR_B. On pourra alors potentiellement désactiver l'authentification par mot de passe, pour plus de sécurité. Cette dernière étape n'est pas forcément indispensable. En effet, si le mot de passe n'est que très rarement tapé sur un clavier — car remplacé par une authentification cryptographique — le risque de compromission est moindre.

On commence par générer un couple de clefs sur le poste client :

ssh-keygen -b 4096

Puis on copie la clef publique sur le serveur distant :

ssh-copy-id -i .ssh/id_rsa.pub USER_B@IP_SERVEUR_B

On peut alors se connecter au serveur, comme nous l'avons déjà vu :

ssh USER_B@IP_SERVEUR_B

Si un mot de passe a été donné lors de la création de la clef privé — ce qui n'est pas une obligation — il est ici demandé afin de pouvoir la déverrouiller. Sinon, nous voilà d'ores-et-déjà connectés, sans besoin de taper le mot de passe de USER_B.

Désactiver l'authentification par mot de passe

Une fois sur le serveur distant, il est possible de désactiver l'authentification par mot de passe. Pour cela, il faut d'abord se connecter en tant que super-utilisateur :

su -

Puis changer l'option de configuration correspondante :

sed -i "s/#PasswordAuthentication yes/PasswordAuthentication no/" /etc/ssh/sshd_config

Enfin, recharger la configuration du serveur SSH :

systemctl reload ssh

Sans oublier de se déconnecter :

exit

Article sous licence Creative Commons BY-SA 3.0 France.

Original post of Cyprien Pouzenc.Votez pour ce billet sur Planet Libre.

Bonjour !

Avec un peu de retard, l'équipe française du FCM est heureuse de vous présenter le numéro 136 en français. Vous pouvez le lire ou le télécharger sur notre page Numéros, ou bien le récupérer directement en cliquant sur la photo ci-dessous.

Ce mois-ci, vous y trouverez, notamment :

• les tutoriels habituels : Python, Freeplane, Great Cow Basic et Inkscape ;
• le point sur les mises à jour estivales de programmes dont Lucas a déjà parlé dans sa rubrique Command&Conquer ;
• la fin de la présentation d'Unity dans Ubuntu au quotidien par Richard ;
• une critique de Cudatext qui semble pouvoir tout faire, sauf la cuisine et la vaisselle ; et
• la finale de sa création d'un programme de tri en interface graphique pour Rhythmbox, de Paolo Pelloni.

Tout en vous rappelant que, sans articles, il n'y aura pas de revue......, nous vous en souhaitons bonne lecture.

Bab, scribeur et relecteur, et les traducteurs-relecteurs AE, christo.2so, d52fr

Original post of Full Circle Magazine FR.Votez pour ce billet sur Planet Libre.

Aujourd'hui, ce lundi 8 octobre, est une journée dédiée à un test précis : sur la mise à niveau de Fedora. En effet, durant le cycle de développement, l'équipe d'assurance qualité dédie quelques journées autours de certains composants ou nouveautés afin de remonter un maximum de problèmes sur le sujet.

Elle fournit en plus une liste de tests précis à effectuer. Il vous suffit de les suivre, comparer votre résultat au résultat attendu et le notifier.

En quoi consiste ce test ?

Nous sommes proches de la diffusion de Fedora 29 édition finale. Et pour que ce lancement soit un succès, il est nécessaire de s'assurer que le mécanisme de mise à niveau fonctionne correctement. C'est-à-dire que votre Fedora 27 ou 28 devienne une Fedora 29 sans réinstallation, en conservant vos documents, vos paramètres et vos programmes. Une très grosse mise à jour en somme.

Les tests du jour couvrent :

• Mise à niveau depuis Fedora 27 ou 28, avec un système chiffré ou non ;
• Même que précédemment mais avec KDE comme environnement ou une version Spin quelconque ;
• De même avec la version Server au lieu de Workstation ;
• En utilisant GNOME Logiciels plutôt que dnf.

En effet, Fedora propose depuis quelques temps déjà la possibilité de faire la mise à niveau graphiquement avec GNOME Logiciels et en ligne de commande avec dnf. Dans les deux cas le téléchargement se fait en utilisation normale de votre ordinateur, une fois que ce sera prêt l'installation se déroulera lors du redémarrage.

Pour ceux qui veulent bénéficier de F29 avant sa sortie officielle, profitez-en pour réaliser ce test, que cette expérience bénéficie à tout le monde.

Comment y participer ?

Vous pouvez vous rendre sur la page des tests pour lister les tests disponibles et rapporter vos résultats. La page wiki récapitule les modalités de la journée.

Si vous avez besoin d'aide lors du déroulement des tests, n'hésitez pas de faire un tour sur IRC pour recevoir un coup de main sur les canaux #fedora-test-days et #fedora-fr (respectivement en anglais et en français) sur le serveur Freenode.

En cas de bogue, il est nécessaire de le rapporter sur le BugZilla. Si vous ne savez pas faire, n'hésitez pas à consulter la documentation correspondante.

De plus, si une journée est dédiée à ces tests, il reste possible de les effectuer quelques jours plus tard sans problème ! Les résultats seront globalement d'actualité.

Original post of Renault.Votez pour ce billet sur Planet Libre.

Pour la 40ème semaine de l'année 2018, voici 12 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Tempête de boulettes géantes
• Jérémie Zimmermann quitte la Quadrature du Net
• Les Quadratures de nos Vies
• {WhatsApp} – Petit « Hack » qui permet d’exploiter les fonctions de l’application
• VLC dévoile dav1d pour améliorer les performances d'AV1
• Les SJW ont ils obtenu la peau de Linux ?
• [Infographie] Pourquoi votre smartphone sait tout de vous et comment elle s’en sert
• Médias versus plateformes numériques, le débat crucial des « droits voisins »
• Échange sur Docker et le DevOps avec Jérôme Petazzoni
• Ligne de commande : les 20 mémos d'un « autodidacte »
• Est-il utile d’apprendre React ?
• Quelques bonnes sources pour comprendre les bases du DNS

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Un hébergement VPS d'une VM sous OpenBSD, en France, ça vous tente ?!

C'est-ce que l'association FAI - Fournisseur d'Accès à Internet - nommée ARN nous propose !

Les services

Dans une VM, basée sur un CPU virtuel avec 1 Go de RAM, et un espace disque minimal de 50 Go, en SSD, voilà ce que propose l'association. Au détail près que pour utiliser OpenBSD, il vous faudra en faire la demande express, rien ne sera pris en charge pour l'installation, seulement vos compétences pourra mener à bien votre (futur ?) hébergement, ce qui vous permettra de chiffrer votre disque dur !

Vous aurez une adresse IPv4 fixe, et un accès réseau IPv6 avec un préfixe /56.

Cet hébergement peut servir pour un service web (httpd, nginx, ...), de serveurs mails, ou tout autre service que vous vous sentez capable de gérer, voire tout simplement de lieu de stockage ou de sauvegarde de données.

Le coût

Il vous faudra, dans un premier temps, adhérer à l'association pour 15 € / an. Ensuite, vous devrez vous acquitter d'une somme de 10 € / mois d'exploitation, que vous pouvez reconduire à votre bon plaisir. 

Avant cela, il vous faudra prendre connaissance du contrat, le remplir et le retourner complet à l'association par tout moyen précisé sur la page VPS. 

---

 

PS : Voilà une bonne occasion de supporter une initiative "Libre" !

 

 

 

Original post of Thuban.Votez pour ce billet sur Planet Libre.