SSH security improvements/fr: Difference between revisions

Updating to match new version of source page
No edit summary
(Updating to match new version of source page)
Line 4: Line 4:
[[File:FINAL FRN Flowchart SSHD changes - Summer 2019 - v1.4.jpg|thumb|right|Organigramme SSH : amélioration de la sécurité (cliquez pour agrandir)]]
[[File:FINAL FRN Flowchart SSHD changes - Summer 2019 - v1.4.jpg|thumb|right|Organigramme SSH : amélioration de la sécurité (cliquez pour agrandir)]]


<div class="mw-translate-fuzzy">
[[SSH/fr|SSH]] est le protocole de connexion aux grappes de Calcul Canada. Il vérifie l'identité du serveur et de l'utilisateur en les comparant aux identités connues, et il effectue le chiffrement de la connexion. La sécurité étant périodiquement menacée par de nouveaux risques, Calcul Canada abandonne à l'été 2019 certaines options de SSH qui ne sont plus jugées sécuritaires. Les utilisateurs devront effectuer les modifications décrites dans l'organigramme.
[[SSH/fr|SSH]] est le protocole de connexion aux grappes de Calcul Canada. Il vérifie l'identité du serveur et de l'utilisateur en les comparant aux identités connues, et il effectue le chiffrement de la connexion. La sécurité étant périodiquement menacée par de nouveaux risques, Calcul Canada abandonne à l'été 2019 certaines options de SSH qui ne sont plus jugées sécuritaires. Les utilisateurs devront effectuer les modifications décrites dans l'organigramme.
</div>


=Modifications apportées à l'été 2019=
=Modifications apportées à l'été 2019=


<div class="mw-translate-fuzzy">
<!--T:2
<!--T:2
With constant increase in computing power over time, some encryption algorithms  
With constant increase in computing power over time, some encryption algorithms  
and protocols which were reasonably secure ten or fifteen years ago now pose an unacceptable risk of the connection being compromised by a third party. For this reason, Compute Canada is modifying its policies and practices regarding [[SSH]], the principal tool used to provide secure access to its clusters. Some users may have to update their SSH client software, some may have to generate a new public/private key-pair, and everyone will have to update the local copy of the "host key" which is used to identify each Compute Canada cluster.  -->  
and protocols which were reasonably secure ten or fifteen years ago now pose an unacceptable risk of the connection being compromised by a third party. For this reason, Compute Canada is modifying its policies and practices regarding [[SSH]], the principal tool used to provide secure access to its clusters. Some users may have to update their SSH client software, some may have to generate a new public/private key-pair, and everyone will have to update the local copy of the "host key" which is used to identify each Compute Canada cluster.  -->
</div>  


== Quelles sont les modifications? ==
== Quelles sont les modifications? ==
Line 23: Line 27:


Les utilisateurs d'Arbutus ne sont pas touchés puisque la connexion se fait par interface web et non via SSH.
Les utilisateurs d'Arbutus ne sont pas touchés puisque la connexion se fait par interface web et non via SSH.
There were earlier, less comprehensive updates made to both Niagara (on May 31, 2019; see [https://docs.scinet.utoronto.ca/index.php/SSH_Changes_in_May_2019 here]) and Graham (early August) which would have triggered some of the same messages and errors.


== Mise à jour de la liste des hôtes de votre client ==
== Mise à jour de la liste des hôtes de votre client ==


<div class="mw-translate-fuzzy">
Quand les modifications seront complétées, l'avertissement suivant sera probablement affiché la première fois que vous vous connecterez à une grappe.
Quand les modifications seront complétées, l'avertissement suivant sera probablement affiché la première fois que vous vous connecterez à une grappe.
</div>


<pre>
<pre>
Line 45: Line 53:
</pre>
</pre>


<div class="mw-translate-fuzzy">
Cet avertissement indique que les clés hôte de la grappe (ici la grappe Graham) ont été modifiées et que le logiciel de votre client SSH se souvient des clés antérieures. Ceci se produit pour contrer les [https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu attaques de l'homme du milieu]. L'avertissement sera affiché sur chaque ordinateur à partir duquel vous vous connectez.
Cet avertissement indique que les clés hôte de la grappe (ici la grappe Graham) ont été modifiées et que le logiciel de votre client SSH se souvient des clés antérieures. Ceci se produit pour contrer les [https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu attaques de l'homme du milieu]. L'avertissement sera affiché sur chaque ordinateur à partir duquel vous vous connectez.
</div>


Vous pourriez aussi recevoir un avertissement de mystification (''DNS spoofing'') dû également à une telle modification.
Vous pourriez aussi recevoir un avertissement de mystification (''DNS spoofing'') dû également à une telle modification.
Line 51: Line 61:
=== MobaXterm, PuTTY, WinSCP ===
=== MobaXterm, PuTTY, WinSCP ===


<div class="mw-translate-fuzzy">
Sous Windows, l'avertissement sera affiché dans une fenêtre et vous serez invité à accepter la nouvelle clé en cliquant sur ''Yes''. Avant de cliquer, assurez-vous que l'empreinte se trouve dans la liste des [[SSH security improvements/fr#Empreintes_de_clés_hôte|empreintes de clés hôte ci-dessous]]. Si elle ne s'y trouve pas, contactez le [[Technical support/fr|soutien technique]].
Sous Windows, l'avertissement sera affiché dans une fenêtre et vous serez invité à accepter la nouvelle clé en cliquant sur ''Yes''. Avant de cliquer, assurez-vous que l'empreinte se trouve dans la liste des [[SSH security improvements/fr#Empreintes_de_clés_hôte|empreintes de clés hôte ci-dessous]]. Si elle ne s'y trouve pas, contactez le [[Technical support/fr|soutien technique]].
</div>


=== macOS, Linux, GitBash, Cygwin ===
=== macOS, Linux, GitBash, Cygwin ===
Line 57: Line 69:
Si vous utilisez <tt>ssh</tt> en ligne de commande, une de ces commandes fera en sorte que votre système ''oublie'' l'ancienne clé hôte :
Si vous utilisez <tt>ssh</tt> en ligne de commande, une de ces commandes fera en sorte que votre système ''oublie'' l'ancienne clé hôte :


  ssh-keygen -R graham.computecanada.ca
ssh-keygen -R graham.computecanada.ca
  ssh-keygen -R cedar.computecanada.ca
  ssh-keygen -R cedar.computecanada.ca
  ssh-keygen -R beluga.computecanada.ca
  ssh-keygen -R beluga.computecanada.ca
Line 63: Line 75:
La prochaine fois que vous vous connecterez par SSH, vous devrez confirmer les nouvelles clés, par exemple
La prochaine fois que vous vous connecterez par SSH, vous devrez confirmer les nouvelles clés, par exemple


$ ssh graham.computecanada.ca
<div class="mw-translate-fuzzy">
$ ssh graham.computecanada.ca
  The authenticity of host 'graham.computecanada.ca (142.150.188.70)' can't be established.
  The authenticity of host 'graham.computecanada.ca (142.150.188.70)' can't be established.
  ED25519 key fingerprint is SHA256:mf1jJ3ndpXhpo0k38xVxjH8Kjtq3o1+ZtTVbeM0xeCk.
  ED25519 key fingerprint is SHA256:mf1jJ3ndpXhpo0k38xVxjH8Kjtq3o1+ZtTVbeM0xeCk.
  ED25519 key fingerprint is MD5:bc:93:0c:64:f7:e7:cf:d9:db:81:40:be:4d:cd:12:5c.
  ED25519 key fingerprint is MD5:bc:93:0c:64:f7:e7:cf:d9:db:81:40:be:4d:cd:12:5c.
  Are you sure you want to continue connecting (yes/no)?  
  Are you sure you want to continue connecting (yes/no)?
</div>


Avant d'entrer ''yes'', assurez-vous que l'empreinte se trouve dans la liste des [[SSH security improvements/fr#Empreintes_de_clés_hôte|empreintes de clés hôte ci-dessous]]. Si elle ne s'y trouve pas, contactez le [[Technical support/fr|soutien technique]].
Avant d'entrer ''yes'', assurez-vous que l'empreinte se trouve dans la liste des [[SSH security improvements/fr#Empreintes_de_clés_hôte|empreintes de clés hôte ci-dessous]]. Si elle ne s'y trouve pas, contactez le [[Technical support/fr|soutien technique]].
Line 88: Line 102:
=== Impossibilité de se connecter ===
=== Impossibilité de se connecter ===


<div class="mw-translate-fuzzy">
Les messages d'erreur suivants
Les messages d'erreur suivants
</div>


Unable to negotiate with 142.150.188.70 port 22: no matching cipher found.
<div class="mw-translate-fuzzy">
Unable to negotiate with 142.150.188.70 port 22: no matching cipher found.
  Unable to negotiate with 142.150.188.70 port 22: no matching key exchange method found.
  Unable to negotiate with 142.150.188.70 port 22: no matching key exchange method found.
  Unable to negotiate with 142.150.188.70 port 22: no matching mac found.
  Unable to negotiate with 142.150.188.70 port 22: no matching mac found.
</div>


indiquent que vous devez effectuer la mise à jour de votre client SSH et utiliser une version compatible parmi celles listées ci-dessous.
indiquent que vous devez effectuer la mise à jour de votre client SSH et utiliser une version compatible parmi celles listées ci-dessous.


<div class="mw-translate-fuzzy">
=== Clients compatibles ===
=== Clients compatibles ===
Nous avons testé la configuration avec certains clients; il est possible que les versions antérieures de ces clients ne soient pas compatibles. Nous vous recommandons de mettre à jour  votre système d'exploitation et votre client SSH.
Nous avons testé la configuration avec certains clients; il est possible que les versions antérieures de ces clients ne soient pas compatibles. Nous vous recommandons de mettre à jour  votre système d'exploitation et votre client SSH.
</div>


==== Linux ====
==== Linux ====
Line 108: Line 128:
* OpenSSH 7.9p1, LibreSSL 2.7.3 (OS X 10.14.5)
* OpenSSH 7.9p1, LibreSSL 2.7.3 (OS X 10.14.5)


<div class="mw-translate-fuzzy">
==== Windows ====
==== Windows ====
* MobaXterm Personal Edition v11.1
* MobaXterm Personal Edition v11.1
</div>


==== iOS ====
==== iOS ====
* Termius, 4.3.12
* Termius, 4.3.12


= Empreintes de clés hôte =
= Empreintes de clés hôte =
{{:SSH_host_keys}}
{{:SSH_host_keys}}
38,760

edits