SSH

From Alliance Doc
Jump to navigation Jump to search
This page is a translated version of the page SSH and the translation is 100% complete.
Other languages:

Le protocole SSH (Secure Shell) est fréquemment utilisé pour obtenir une connexion sécurisée à une machine à distance. Une connexion SSH est entièrement chiffrée, ce qui comprend les informations d'identification entrées pour se connecter (nom d'utilisateur et mot de passe). Le protocole SSH est employé pour vous connecter à nos grappes afin d'exécuter des commandes, vérifier la progression des tâches ou, dans certains cas, transférer des fichiers.

Il existe des implémentations logicielles du protocole SSH pour la majorité des systèmes d'exploitation importants.

  • Sous macOS et Linux, le plus utilisé est OpenSSH, une application en ligne de commande installée par défaut.
  • Avec les récentes versions de Windows, SSH est disponible via le terminal PowerShell, dans l'invite cmd ou par WSL (Windows Subsystem for Linux). D'autres clients SSH sont aussi offerts par des tiers comme PuTTY, MobaXTerm, WinSCP et Bitvise.

Pour utiliser SSH correctement vous devez connaître le nom de la machine à laquelle vous voulez vous connecter ainsi que votre nom d'utilisateur (username) et votre mot de passe.

  • Le nom de la machine sera semblable à cedar.alliancecan.ca ou niagara.alliancecan.ca.
  • Le terme username est l'identifiant pour votre compte par défaut, dont le format est généralement semblable à jsmith. N'utilisez pas votre CCI (par exemple abc-123), votre CCRI (par exemple abc-123-01) ou votre adresse de courriel.
  • Le mot de passe sera celui que vous utilisez pour vous connecter à CCDB.

Sous Linux ou macOS, vous devez ouvrir un terminal, par exemple /Applications/Utilities/Terminal.app pour macOS, puis utiliser la commande

Question.png
[name@server ~]$ ssh -Y username@machine_name

À votre première connexion à une machine distante, on vous demandera d'enregistrer localement une copie de sa clé hôte (host key); cette clé est un identifiant unique avec lequel le client SSH vérifie s'il s'agit de la même machine quand vous vous connectez par la suite.

L'option -Y redirige le trafic X11, vous permettant d'utiliser des applications graphiques sur une machine à distance, dont certains éditeurs de texte. Notez que pour pouvoir utiliser des applications graphiques, un serveur X11 doit être installé sur votre poste de travail. Sous Linux, le serveur X11 est déjà installé; sous macOS cependant, vous devez habituellement installer un paquet externe comme XQuartz. Sous Windows, MobaXterm a un serveur X11, alors que PuTTY utilise VcXsrv.

Prenez note que lorsque vous vous connectez à une grappe via SSH, un nœud de connexion vous est assigné de façon aléatoire afin d'équilibrer la charge; il est donc possible que votre nœud de connexion soit différent d'une fois à l'autre, c'est-à-dire cedar1, cedar5, gra-login4 ou gra-login2. Si vos sessions sont gérées avec une application comme screen et que vous voulez ouvrir une session précédente, vous devrez vous assurer que vous avez le même nœud de connexion et le modifier au besoin. Par exemple, si le nœud gra-login4 vous est assigné en entrant ssh username@graham.alliancecan.ca, mais que vous voulez vous connecter à gra-login2, remplacez gra-login4 par ssh gra-login2.

Pour plus d'information sur l'utilisation de clients SSH sous Windows, consultez

Pour plus d'information sur comment générer des paires de clés, consultez

Pour plus d'information sur comment SSH communique avec les nœuds de calcul et l'internet, consultez

Pour plus d'information sur comment simplifier la procédure de connexion avec un fichier de configuration SSH, consultez

Erreurs de connexion

Il est possible que vous receviez un message d'erreur lors de votre connexion à une grappe  :

  • no matching cipher found
  • no matching MAC found
  • unable to negotiate a key exchange method
  • couldn't agree a key exchange algorithm
  • remote host identification has changed

Ce dernier message peut indiquer une attaque de l'homme du milieu (man-in-the-middle attack) ou une mise à jour de la sécurité pour la grappe à laquelle vous voulez vous connecter. Si ce message est affiché, vérifiez si l'empreinte (fingerprint) de la clé hôte mentionnée correspond à une des clés hôtes valides; si c'est le cas, vous pouvez poursuivre la connexion. Si la clé hôte n'est pas dans la liste, fermez la connexion et contactez le soutien technique.

Les utilisateurs de Niagara ont eu des mesures à prendre suite à la mise à jour de sécurité du 31 mai 2019. Des mises à jour semblables ont été effectuées sur les autres grappes vers la fin de septembre 2019; pour plus d'information, consultez la page wiki sur l'amélioration de la sécurité.

Dans le cas des autres messages d'erreur, vous devrez effectuer la mise à jour de votre système d'exploitation et/ou de votre client SSH pour permettre un chiffrement plus robuste, des protocoles d'échange de clés et des algorithmes MAC (message authentication code).

Ces erreurs sont connues pour les versions suivantes qui devront être mises à jour :

  • OpenSSH sous CentOS/RHEL 5
  • PuTTY v0.64 et moins, sous Windows