| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| doc:formations:hebergement:serveur:ssh [2022/07/27 10:25] – [Tunnels SSH inverse] jeremie | doc:formations:hebergement:serveur:ssh [2024/01/29 15:56] (Version actuelle) – [Tunnels SSH inverse] jeremie |
|---|
| RequestTTY no | RequestTTY no |
| </code> | </code> |
| | |
| | Autoriser un "forward X11" permet d'exporter un affichage graphique vers un client SSH, à la condition que le serveur source dispose d'un serveur X. Faites un ''export DISPLAY=$(echo $SSH_CLIENT|cut -f1 -d\ ):0.0'' côté serveur, après avoir fait un ''xhost +'' coté client. Il est cependant probablement plus facile et efficace d'utiliser [[doc:formations:hebergement:serveur:vnc|TigerVNC]]. |
| |
| ==== Restreindre les commandes appelables ==== | ==== Restreindre les commandes appelables ==== |
| autossh -fN -M 3986 -R 65432:localhost:22 usertssh@myserver.com | autossh -fN -M 3986 -R 65432:localhost:22 usertssh@myserver.com |
| |
| Cela ouvrira sur le serveur un accès "local" SSH sur le port 65432. Quand on est loggué sur le serveur on peut l'utiliser pour redescendre vers la machine qui a ouvert ce tunnel, tout simplement. Si l'on est loggué sur le serveur et qu'on a sa clé publique dans le ''.ssh/authorized_hosts'' de l'utilisateur sur le poste qui a ouvert le tunnel sur le serveur: | Cela ouvrira sur le serveur un accès "local" SSH sur le port 65432. Quand on est loggué sur le serveur on peut l'utiliser pour redescendre vers la machine qui a ouvert ce tunnel, tout simplement (et on ressortira ici sur le port 22). |
| | |
| | Loggué sur le serveur et avec sa clé publique dans le ''.ssh/authorized_hosts'' de l'utilisateur sur le poste qui a ouvert le tunnel sur le serveur: |
| |
| # depuis le serveur | # depuis le serveur |
| * mais rien n'empeche de faire ''ssh toto@service.valorhiz.com''. Puisque l'on spécifie explicitement l'utilisateur, il se sera pas écrasé avec ''User jeremie'', et n'utilisera que les autres définitions par défaut. | * mais rien n'empeche de faire ''ssh toto@service.valorhiz.com''. Puisque l'on spécifie explicitement l'utilisateur, il se sera pas écrasé avec ''User jeremie'', et n'utilisera que les autres définitions par défaut. |
| |
| | ====== Partage de session SSH ====== |
| | |
| | [[https://github.com/elisescu/tty-share|tty-share]] est un outil sympa qui permet de partager un shell avec d'autres (au sens de co-rédacteur!), y compris via un navigateur web. |
| | |
| | La version la moins invasive tourne dans un docker ainsi: |
| | |
| | docker run -it elisescu/tty-share --public |
| |
| | :!: Attention aux problèmes évidents de sécurité, mais c'est un bel outil pour demander de l'aide ! |
| |
| ====== Restriction d'usage d'un compte SSH ====== | ====== Restriction d'usage d'un compte SSH ====== |
