R4B10 - TP 3

Vous devrez exécuter tout le TP sur la machine dattier. Pour cela connectez sur cette machine via la commande ssh -X dattier dans votre terminal de travail.

1. Créez un dossier pour le TP dans votre dossier personnel (par exemple ~/r4b10/ssh).

   L'intégralité du TP devrait être fait dans ce dossier !

2. Copiez l'intégralité du dossier /home/public/r4b10/ssh dans le dossier de votre TP.

1. Sur votre machine physique créez une machine virtuelle nommée r4b10-ssh puis démarrez là.

   Les commandes à utiliser doivent être :

   vmiut creer r4b10-ssh
   vmiut run r4b10-ssh
   

   Votre machine virtuelle possède 1 Mo de mémoire, un disque dur virtuel de 10 Go sur lequel une version de Debian Bookworm (12.2) et est préinstallée avec 2 utilisateurs :

   • root avec comme mot de passe root
   • user avec comme mot de passe user

   Par ailleurs la configuration réseau de cette machine est obtenue par un appel à DHCP et l'empreinte de sa clé SSH pour l'algorithme ECDSA est SHA256:pIQ72AO/u2dJwwmpjteTC//uKPPnx9ywJ80+4F5jBJg.

   Vous pouvez accéder à la console de votre machine virtuelle via vmiut show r4b10-ssh et voir les détails de la de machine avec vmiut info r4b10-ssh.

2. Après vous être connecté en tant que root sur votre machine virtuelle et en appliquant ce que vous avez appris lors du module R306 de M. Peter, modifiez la configuration de l'interface réseau principale (enp0s3) pour que son adresse IP soit 10.42.N.1 avec N remplacé par le numéro d'ordre de votre machine physique dans la salle.

   Si votre mémoire est défaillante reportez-vous aux pages interfaces(5) et ifup(8).

3. Après avoir lu la page hostnamectl(1), modifiez le nom de votre machine pour qu'elle ait comme nom ssh.

4. Mettez à jour les logiciels installés sur votre machine virtuelle, puis installez un serveur apache2 et le navigateur web firefox-esr.

   Si votre mémoire est défaillante reportez-vous aux pages apt(8) ou apt-get(8).

Dans votre dossier de TP, générez deux paires de clés identifiées par ./ssh/premiere et ./ssh/seconde. Toutes les deux doivent avoir avec comme passphrase ssh. La première doit être de type RSA et la seconde de type ECDSA. Chacune doit avoir comme commentaire leur nom respectif (i.e. premiere et seconde).

Ajoutez vos deux clés dans la liste des clés contrôlées par votre agent SSH.

En utilisant ssh-copy-id ajouter la clé identifiée par ./ssh/premiere, comme clé publique autorisée pour l'utilisateur user sur la machine virtuelle.

Sans utiliser ssh-copy-id ajouter la clé identifiée par ./ssh/seconde, comme clé autorisée pour l'utilisateur user sur la machine virtuelle.

Vérifiez que vous êtes capable de vous connecter à la machine machine virtuelle en tant que user avec chacune des deux identités.

Sans modifier la configuration du serveur ssh distant (i.e. le fichier /etc/ssh/sshd_config de la machine virtuelle), ajoutez la clé identifiée par ./ssh/premiere, comme clé autorisée pour l'utilisateur root sur la machine virtuelle.

Vérifiez que vous êtes capable de vous connecter à la machine machine virtuelle en tant que root avec cette identité.

Comment avez-vous fait ?

Pourquoi ne peut-on pas directement copier la clé dans le fichier /root/.ssh/authorized_keys de la machine virtuelle ?

Changez les droits de la clé privée ./ssh/premiere pour que tout le monde puisse la lire (644 par exemple).

Essayez de vous connecter avec cette identité (./ssh/premiere) sur la machine virtuelle en tant que user.

Cela est-il encore possible ? Pourquoi ?

Supprimez la clé de la mémoire de l'agent et ré-essayez de vous connecter avec cette identité (./ssh/premiere) sur la machine virtuelle en tant que user.

Cela est-il encore possible ? Pourquoi ?

La présence dans votre dossier de travail des clés identifiées par prout et tourp simule le vol de paires de clés d'un tiers : vous avez récupéré 2 paires de clés ne vous appartenant pas (celle de M. PROUT et celle de Mme TOURP).

L'identité prout de votre dossier de travail est une clé RSA sans passphrase. L'identité tourp de votre dossier de travail est une clé RSA avec passphrase.

Essayez, pour chacune de ces 2 identités, de les ajouter comme clé publique autorisée pour l'utilisateur user de la machine virtuelle puis soit de vous connecter avec ces identités (c'est-à-dire de vous faire passer pour le propriétaire de la clés, i.e usurper son identité) soit d'ajouter les clés dans la mémoire de votre agent

Pensez à ce que vous avez compris de la question précédente avant vos essais de connexion.

Pour laquelle la connexion (ou l'ajout dans la liste de la'agent) a fonctionné ? Pourquoi ?

Sur la machine virtuelle, remplacer le fichier /var/www/html/index.html par celui que vous avez récupéré en début de TP en utilisant la commande scp.

En étudiant ssh(1), déterminez puis exécutez une ligne de commande permettant d'exécuter firefox sur la machine virtuelle en tant que user mais de déporter son affichage (considéré comme géré par le système X11) sur l'écran de votre machine physique.

Faites en sorte que cette commande soit exécutée en arrière plan sur votre machine physique.

Vérifiez que la copie de la question précédente a bien fonctionnée en naviguant avez cette instance de firefox vers l'adresse http://localhost.

Exécutez une ligne de commande permettant uniquement de rediriger toutes les connexions arrivant sur le port 8888 de la machine locale vers le port 80 de la machine virtuelle. Aucune commande ne doit être exécuté par ssh sur la machine virtuelle.

Dans une instance de Firefox sur votre machine physique vérifiez que votre transfert de connexion fonctionne en naviguant vers l'adresse http://localhost:8888. Si le transfert fonctionne vous devez voir la même page que celle observée lors de la question précédente