Differences

This shows you the differences between two versions of the page.

--- informatique:logiciels:ssh [2019/07/23 10:23] – [Saisir un mot de passe via SSH] pteu
+++ informatique:logiciels:ssh [2020/12/10 07:30] – [Connexion SSH par rebond] pteu
@@ Line 335: / Line 335: @@
 </code>
+src : https://stackoverflow.com/questions/10310299/proper-way-to-sudo-over-ssh
-src : https://stackoverflow.com/questions/10310299/proper-way-to-sudo-over-ssh
+=====Timeout d'établissement de connexion SSH=====
+Lorsqu'on lance une connexion SSH, si le serveur cible ne répond pas instantanément, le client SSH va attendre un certain délais (le timeout TCP du système) avant de rendre la main et d'afficher le triste constat d'échec suivant : ''ssh: connect to host serveur-down port 22: Connection timed out''.
+On peut limiter ce timeout pour ne pas avoir à attendre 3 plombes qu'il nous rende la main, en utilisant l'option ''ConnectTimeout'' :
+<code bash>
+# réglage du temps maximal d'attente à 5 secondes, si serveur-down ne répond pas
+ssh -o ConnectTimeout=5 serveur-down
+</code>
+Si "serveur-down" possède plusieurs adresses IP, le client SSH les essayera les unes après les autres jusqu'à ce qu'une réponde. Pour éviter ce comportement, on peut limiter le nombre d'IP essayé avec l'option ''ConnectionAttempts'' :
+<code bash>
+host serveur-down
+ serveur-down has address 10.0.0.1
+ serveur-down has address 10.0.1.1
+# limiter les essais à une seule IP
+ssh -o ConnectionAttempts=1 serveur-down
+</code>
+=====Connexion SSH par rebond=====
+Pour se connecter à un serveur SSH cible par rebond, via un autre serveur SSH "bastion" ou proxy, de cette façon :
+<code bash>
+client ---> serveur_bastion ---> serveur_cible
+</code>
+Il suffit de saisir l'option ''-J'' :
+<code bash>
+ssh -J bastion cible
+</code>
+Sur de plus ancienne version de SSH on doit remplacer le -J par :
+<code bash>
+ssh -o ProxyCommand="ssh -W %h:%p bastion" cible
+</code>
+Et sur les plus anciennes versions de SSH on peut utiliser le trick (''-tt'' force l'allocation d'un terminal) :
+<code bash>
+ssh -tt bastion "ssh -tt cible"
+<code>
+Pour automatiser cela il faut éditer, sur le poste client, le fichier de config perso (''~/.ssh/config'') :
+<code bash ~/.ssh/config>
+Host cible
+   Hostname cible.domain.com
+# nouvelle méthode
+   ProxyJump bastion
+# ou:   ProxyCommand ssh bastion -W %h:%p
+   User login_sur_bastion
+   #alternative : ProxyCommand ssh bastion nc %h 22
+   # on peut préciser le certificat à utiliser pour éviter le double prompt
+   #IdentityFile ~/.ssh/id_rsa.pub    # préciser la clé à utiliser, si pas celle par défaut
+   ForwardAgent yes                   # utiliser les credentials locaux sur les systèmes distants
+</code>
+Pour éviter de saisir plusieurs fois son mot de passe, penser à copier sa clé dans les ''authorized_keys'' du serveur bastion avec la commande :
+<code bash>
+# si pas encore fait, générer une paire de clé sur le poste client
+client $ ssh-keygen
+[blabla OK OK]
+# copier la clé sur le bastion
+client $ ssh-copy-id user@bastion
+</code>
+On peut enchainer plusieurs serveurs en enfilade pour se connecter sur le serveur cible :
+<code bash ~/.ssh/config>
+Host cible
+# on sépare les serveurs intermédiaires par une virgule
+   ProxyJump bastion,bastion2
+#
+# ou avec l'option -W :
+   ProxyCommand ssh bastion2 -W %h:%p
+Host bastion2
+   ProxyCommand ssh bastion -W %h:%p
+</code>
 ====== Liens ======
 [[http://people.via.ecp.fr/~alexis/formation-linux/export-display.html|formation Linux]]