Discussion :

[Syl91]

Bonjour,

Je suis en train de realiser un petit script shell afin de facilité la gestion de plusieurs routeurs sur lesquel je dois fréquement faire des modifications.

Pour cela , je souhaite realiser un script qui me connecte en ssh à tous les routeurs et d'executer les modifications

Je rencontre un problème au niveau de l'authentification sur les routeur car lors de la connexion ssh :

ssh -l admin 192.168.0.1
password

le script ne prend pas en compte la validation de la première ligne.

Je n'ai pas trouver la commande ssh qui me permet de passer directement le mot de passe (je suis surement passé à coté ).

Pourriez-vous m'eclairer a ce sujet?

[chaval]

salut
utilises un mécanisme de clés partagées, afin de pouvoir instancier une connexion sans avoir besoin de mot de passe

[gorgonite]

salut
utilises un mécanisme de clés partagées, afin de pouvoir instancier une connexion sans avoir besoin de mot de passe

+1 avec un lien http://forums.gentoo.org/viewtopic.php?t=281671

[Freed0]

Sinon, la commande qu'il recherche, ce serait pas :

ssh admin@192.168.0.1

?

[temar]

Sinon, la commande qu'il recherche, ce serait pas :

ssh admin@192.168.0.1

?

Nan, puisqu'en tapant ça, il te demandera ton mot de passe que tu devras rentrer ensuite.
Lui, il veut tout mettre sur une ligne d'après ce que j'ai compris. Un truc du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ssh admin@192.168.0.1 -p monpass

sauf que c'est pas ça

[gorgonite]

Nan, puisqu'en tapant ça, il te demandera ton mot de passe que tu devras rentrer ensuite.
Lui, il veut tout mettre sur une ligne d'après ce que j'ai compris.

pas si tu as le système de clés publique/privée

[temar]

pas si tu as le système de clés publique/privée

Au temps pour moi

[gnto]

pas si tu as le système de clés publique/privée

Ca sous entend que ssh peut fonctionner sans le systeme de clés publiques/privées. Il me semble que le protocole ssh utilise tout le temp des clés.

[Rhineauféros]

Ca sous entend que ssh peut fonctionner sans le systeme de clés publiques/privées. Il me semble que le protocole ssh utilise tout le temp des clés.

Oui et non. Il ne faut pas confondre l'authentification du serveur et l'authentification du client.

A chaque connexion, le serveur envoie sa clé publique au client, qui l'utilise pour crypter la clé de session et pour authentifier le serveur.

Mais par défaut, l'authentification du client se fait par simple login/mot de passe. S'il veut s'authentifier sans mot de passe, le client doit créer une paire de clés et transmettre sa clé publique au serveur. L'authentification du client se fera alors par clé publique elle aussi.

[Rhineauféros]

salut
utilises un mécanisme de clés partagées, afin de pouvoir instancier une connexion sans avoir besoin de mot de passe

+1

[ripat]

Un client A veut se connecter sur un serveur distant B

ssh travaille toujours avec un système de clés publiques/privées. Pour un login normal, avec mot de passe (pas pratique pour un script!) le serveur ssh auquel on veut se connecter (B) va envoyer vers le client une clé publique générale du serveur (ssh_host_dsa_key.pub ou ssh_host_rsa_key.pub). Cette clé sera stockée dans le known_hosts de client ssh (poste A). Mais le mot de passe sera toujours demandé.

Si on veut se connecter sans mot de passe, on part du client cette fois (A). On y crée son propre couple clé privée/publique avec:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ssh-keygen -t rsa

Mettre une passphrase vide. Ceci va stocker les deux cles dans le répertoire /home/user/.ssh/ de l'utilisateur.

Il suffit de copier cette clé vers le répertoire .ssh/ de cet utilisateur sur le serveur cible B et de la rajouter dans un fichier authorized_keys.

Lors d'une connection, cela fonctionne à l'envers, le serveur B voit venir une demande de connection. Il va voir dans le fichier authorized_keys pour l'utilisateur qui demande la connection. S'il y trouve une clé (la clé publique de A). Echange de clé. Si B est satisfait de l'identification (clé privée A <-> clé publique A), la connection s'établit sans mdp (si, du moins la passphrase est vide. Sinon il faudra travailler avec ssh-agent)

Voilà, en gros comment j'imagine que les choses se passent. Pour la réalisation pratique, on a donné les liens plus haut. En voici encore deux:
http://arnofear.free.fr/linux/ssh-1.php
http://rcfile.org/ssh/

[vosaray]

Dites, une solution simple s'appelle perl, module Net:SSH .

On peut se connecter en ssh avec user/pass dans un script et lancer des commandes sur le systeme distant, ce qui me semble etre le besoin Syl91.

Pas besoin d'etre expert perl pour l'utiliser, il y a plein d'examples sur le net.

[chaval]

Salut
Ca a l'air interressant ; mais ca me gene énormément d'avoir un mot de passe (surement root d'ailleurs) en clair dans un script
L'avantage d'une paire de clés partagées est que ce mot de passe apparait nulle part

[Syl91]

Bonjour

Le script que je souhaite realiser n'utilise pas de clé partagée puisque si j'ai bien compris, il faut parametrer le client et le serveur afin d'utiliser ce system or je ne peut pas acceder au coté serveur.

Sinon du coté du script, je voudrais savoir (avant de passer sur un script PERL) si quelq'un aurait eventuellement reussi à utiliser le parametre -o de ssh puisque j'y ai apercu le parametre PasswordAuthentication.

Comment utilise t on ce parametre qui pourrait eventuelement resoudre mon problème?

[vosaray]

Sinon du coté du script, je voudrais savoir (avant de passer sur un script PERL) si quelq'un aurait eventuellement reussi à utiliser le parametre -o de ssh puisque j'y ai apercu le parametre PasswordAuthentication.

Le parametre en question authorise l'authentification pas mot de passe ( par defaut c'est une authentification par clé qui est utlisée. Il ne te permet pas, malheureusement (pour toi) / heureusement (pour les contraintes de securité) de fournir un mot de passe

[vosaray]

Ca a l'air interressant ; mais ca me gene énormément d'avoir un mot de passe (surement root d'ailleurs) en clair dans un script
L'avantage d'une paire de clés partagées est que ce mot de passe apparait nulle part

Le souci c'est qu'il travaille sur des routers, et ca m'etonnerai qu'il y ait un placeholder (/home/root/.ssh ou autre ) pour stocker les clés et les autorisation associées, comme on le trouve sur on OS unix classique.

Personellement ca fait un bail que je n'ai pas joué avec des routers, mais de mon temps au mieux c'etait ssh sans clé. Je ne pense pas que cela a beaucoup changé.

Par contre si l'utilisation des clés est possible, il est certain que c'est largement plus securisé comme systeme !

[chaval]

je ne peut pas acceder au coté serveur.

Bien sur que tu peux acceder au coté serveur...

En faisant un ssh (mais en ligne de commande et avec ton mot de passe
Tu l'utilise pour "uploader" ta clé partagée

P.S : SSH propose un outil de transfert de fichiers : scp . Tu peu aussi avoir une interface à la ftp : sftp
voila, tu as tout ce qu'il faut

[Syl91]

Bonjour,

Apres quelques mois passer au developpement d'un autre logiciel me voici de retour avec mon script ssh.

J'ai installer/configurer cygwin sur ma machine car je doit executer les script ssh via windows et commencé a ecrire mon scritp shell.

Pour rappel:ce script doit me permettre de me connecter automatiquement a des firewall et non des routeurs (excusez mon erreur au debut) et d'y modifier en ligne de text les configurations (ex: ajout de regle,...).

Le gros probleme que je rencontre est comme je l'avais dit précedement le retour a la ligne lors de la connexion sur le firewall:

ssh -l admin @ip
password

Le password n'est pas pris en compte et le script reste bloqué dans l'attente de la saisi d'un mot de passe.

Comme vous me l'avez conseillé, j'ai commencé a regarder le systeme de clé publique,clé privé.

Mais a présent,le probleme est d'uploader la clé public sur le firewall car il s'agit d'un boitier et non d'un serveur qui ne comporte pas de repertoire .ssh et le fichier authorized_keys.

Je n'arrive pas a trouver de reponse aux questions suivantes:

- Comment faire pour deposer la clé publique sur le firewall??
- Peut on eventuellement executer du code ASCII dans un script sh (par exemple le code 13 correspond au retour chariot)

[laurentschneider]

Dites, une solution simple s'appelle perl, module Net:SSH .

c'est bien dommage que perl puisse faire ça, c'est tellement mieux de forcer l'utilisateur à employer une clé privée

[Syl91]

J'avais commencé a regarder un peu masi je voulais reussir en shell
Je pense que je vais me resigner et me mettre au PERL