SSH

From CC Doc
Jump to: navigation, search
This page is a translated version of the page SSH and the translation is 100% complete.

Other languages:
English • ‎français

Le protocole SSH (Secure Shell) est fréquemment utilisé pour obtenir une connexion sécurisée avec un serveur à distance. Une connexion SSH est entièrement chiffrée, particulièrement les coordonnées entrées par l'utilisateur pour se connecter (identifiant et mot de passe). Le protocole SSH est employé lorsqu'un utilisateur se connecte aux serveurs de Calcul Canada pour exécuter des commandes, soumettre des tâches et en faire le suivi ou, dans certains cas, transférer des fichiers.

Il existe des réalisations logicielles du protocole SSH pour la majorité des systèmes d'exploitation importants.

  • Sous OS X (Apple) et Linux, le plus utilisé est OpenSSH, une application en ligne de commande (command line application) installée par défaut sur ces plateformes.
  • Sous Windows, les utilisateurs doivent installer un client SSH : les options sont PuTTY, MobaXTerm, WinSCP et Bitvise.

Pour utiliser SSH correctement vous devez connaître 1. le nom du serveur auquel vous voulez vous connecter, 2. votre identifiant d'utilisateur (userid) et 3. votre mot de passe.

  • Le nom de la machine sera semblable à cedar.calculcanada.ca ou niagara.calculcanada.ca.
  • Le userid sera votre compte par défaut avec Calcul Canada, dont le format est généralement semblable à jsmith. N'utilisez pas votre CCI (par exemple abc-123), votre CCRI (par exemple abc-123-01) ou votre adresse de courriel.
  • Le mot de passe sera celui que vous utilisez pour vous connecter à la base de données CCDB de Calcul Canada.

Sous Linux ou MacOS, vous devez ouvrir un terminal, par exemple /Applications/Utilities/Terminal.app avec du matériel Apple, puis utiliser la commande

Question.png
[name@server ~]$ ssh -Y nom_de_usager@nom_de_machine

L'option -Y redirige le trafic X11, vous permettant d'utiliser des applications graphiques sur un serveur à distance, dont certains éditeurs de texte. Notez que pour pouvoir utiliser des applications graphiques, un serveur X11 doit être installé sur votre poste de travail. Sous Linux, le serveur X11 est déjà installé; sous OS X cependant, vous devez habituellement installer un paquet externe comme XQuartz. Sous Windows, MobaXterm a un serveur X11, alors que pour les utilisateurs PuTTY, il y a VcXsrv. À votre première connexion à un serveur distant, on vous demandera d'enregistrer localement une copie de sa clé hôte (host key); cette clé est un identifiant unique avec lequel le client SSH vérifie s'il s'agit du même serveur lorsque vous vous connectez par la suite.

Prenez note que lorsque vous vous connectez à une grappe via SSH, un nœud de connexion vous est assigné de façon aléatoire afin d'équilibrer la charge; il est donc possible que votre nœud de connexion soit différent d'une fois à l'autre, c'est-à-dire cedar1, cedar5, gra-login4 ou gra-login2. Si vos sessions sont gérées avec une application comme screen et que vous voulez ouvrir une session précédente, vous devrez vous assurer que vous avez le même nœud de connexion et le modifier au besoin. Par exemple, si le nœud gra-login4 vous est assigné en entrant ssh userid@graham.calculcanada.ca, mais que vous voulez être connecté à gra-login2, remplacez simplement gra-login4 par ssh gra-login2.

Pour plus d'information sur l'utilisation de clients SSH sous Windows, consultez

Pour plus d'information sur comment générer des paires de clés, consultez

Pour plus d'information sur comment SSH communique avec les nœuds de calcul et l'internet, consultez

Erreurs de connexion

Il est possible que vous receviez un message d'erreur lors de votre connexion à une grappe :

  • no matching cipher found
  • no matching MAC found
  • unable to negotiate a key exchange method
  • couldn't agree a key exchange algorithm
  • remote host identification has changed

Ce dernier message peut indiquer une attaque de l'homme du milieu (man-in-the-middle attack) ou une mise à jour de la sécurité pour la grappe à laquelle vous voulez vous connecter. Si ce message est affiché, vérifiez si la clé hôte mentionnée correspond à une des clés hôtes valides; si c'est le cas, vous pouvez poursuivre la connexion. Si la clé hône n'est pas dans la liste de clés valides, fermez la connexion et contactez le soutien technique.

Les utilisateurs de Niagara ont eu des mesures à prendre suite à la mise à jour de sécurité du 31 mai 2019. Des mises à jour semblables auront lieu avec les autres grappes vers la fin de septembre 2019; pour plus d'information, consultez la page wiki sur l'amélioration de la sécurité.

Dans le cas des autres messages d'erreur, vous devrez effectuer la mise à jour de votre système d'exploitation et/ou de votre client SSH pour permettre un chiffrement plus robuste, des protocoles d'échange de clés et des algorithmes MAC (message authentication code).

Ces erreurs sont connues pour les versions suivantes qui devront être mises à jour :

  • OpenSSH sous CentOS/RHEL 5
  • PuTTY v0.64 et moins, sous Windows

Compute Canada Role Identifier