Comment contourner la censure sur Internet ?

OpenSSH est disponible sur http://www.openssh.com, mais est généralement préinstallé sur les ordinateurs Linux/Unix et MacOS.

La commande ssh que vous allez lancer contient un numéro de port local (typiquement, 1080), un nom de serveur, et un nom d'utilisateur. Elle ressemble à ça :

ssh -D numerodeportlocal nomdutilisateur@nomduserveur

Exemple :

On va vous demander votre mot de passe, puis vous serez connecté au serveur. En utilisant l'option -D, un proxy SOCKS local sera créé et existera tant que vous serez connecté. Important : vous devriez maintenant vérifier la clef de l'hôte et configurer vos applications, sinon vous n'utiliserez pas le tunnel que vous avez créé?!

PuTTY est disponible sur : http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Vous pouvez sauvegarder le programme putty.exe sur votre disque dur pour une utilisation postérieure, ou le lancer directement depuis le site web, ce qui est souvent possible sur un ordinateur en accès libre, comme dans une bibliothèque ou un cybercafé.

Quand vous lancez PuTTY, un dialogue de configuration de la session apparaît. Commencez par entrer le nom de l'hôte (l'adresse) du serveur SSH auquel vous allez vous connecter (ici, example.com). Si vous connaissez uniquement l'adresse IP ou si un blocage DNS vous empêche d'utiliser le nom de l'hôte, vous pouvez utiliser l'adresse IP à la place. Si vous allez souvent utiliser cette configuration, vous pouvez créer un profil PuTTY qui sauvegardera ces options tout comme les options décrites ci-dessous afin qu'elles soient utilisées à chaque fois.

Dans la liste des catégories, choisissez « Connexion > SSH > Tunnels ».

Entrez 1080 comme port source, et cochez les cases Dynamique et IPv4.

Cliquez maintenant sur « Ajouter », puis sur « Ouvrir ». Une connexion s'établit avec le serveur, et une nouvelle fenêtre apparait, vous demandant votre nom d'utilisateur et mot de passe.

Entrez ces informations et vous serez connecté sur le serveur, et recevrez une ligne de commande. Le proxy SOCKS est alors établi. Important : vérifiez la clé de l'hôte et configurez vos applications, sinon vous n'utiliserez pas le tunnel que vous avez créé ?!

La première fois que vous vous connectez à un serveur, on devrait vous demander de confirmer l'empreinte de la clé pour ce serveur. L'empreinte de la clef est une longue séquence de lettres et de chiffres (de l'hexadécimal) comme 57:ff:c9:60:10:17:67:bc:5c:00:85:37:20:95:36:dd qui identifie de manière sécurisée un serveur particulier. La vérification de cette empreinte est une mesure de sécurité qui permet de confirmer que vous communiquez bien avec le serveur avec lequel vous pensez communiquer, et que la connexion chiffrée ne peut pas être interceptée.

SSH ne fournit pas de moyen de vérifier ça de manière automatique. Pour obtenir les bénéfices de ce mécanisme de sécurité, vérifiez la valeur de l'empreinte de la clef avec l'administrateur du serveur que vous utilisez, ou demandez à un tiers de confiance de tenter de se connecter au même serveur pour voir s'il obtient la même empreinte.

La vérification des empreintes de clés est importante, car elle permet de s'assurer que SSH protège le secret de vos conversations contre l'observation, mais elle n'est pas nécessaire si vous voulez uniquement contourner la censure et n'êtes pas concerné par le fait que les opérateurs réseau puissent voir le contenu de vos communications.

Le proxy créé dans les étapes ci-dessus devrait fonctionner jusqu'à ce que vous fermiez le logiciel SSH. Si la connexion avec le serveur est interrompue, vous devrez répéter ces étapes pour réactiver le proxy.

Une fois que le proxy fonctionne, vous devez configurer vos logiciels pour l'utiliser. En suivant les étapes ci-dessus, le proxy sera un proxy SOCKS situé sur localhost, port 1080 (aussi appelé 127.0.0.1, port 1080). Vous devriez vous assurer que vos applications sont configurées pour éviter les fuites DNS, ce qui rendrait SSH moins efficace pour protéger vos données et contourner la censure.

Jusqu'ici, toutes ces commandes affichent une ligne de commande sur la machine distante depuis laquelle vous pouvez exécuter n'importe laquelle des commandes disponibles sur cette machine. Exécuter une seule commande sur la machine distante, puis retourner à la ligne de commande de votre machine locale est possible : placez la commande à faire exécuter par la machine distante entre simples quotes.

$ ssh utilisateurdistant@autremachine.domaine.org 'mkdir /home/utilisateurdistant/newdir'

Parfois vous aurez besoin d'exécuter des commandes qui prennent du temps sur la machine distante, mais vous n'êtes pas sûr d'avoir assez de temps pendant votre session actuelle. Si vous fermez la connexion distante avant la fin de l'exécution d'une commande, cette dernière sera abandonnée. Pour éviter de perdre votre travail, lancez via ssh une session screen distante, puis détachez-la et reconnectez-la quand vous voudrez. Pour détacher une session screen, fermez simplement la connexion distante : une session screen détachée continuera à s'exécuter sur la machine distante.

SSH fournit beaucoup d'autres options. Vous pouvez également configurer votre système favori pour vous permettre de vous connecter ou lancer des commandes sans préciser de mot de passe à chaque fois. L'installation est compliquée, mais vous pouvez gagner beaucoup de temps de frappe. Essayez de faire quelques recherches sur « ssh-keygen », « ssh-add », et « authorized_keys ».

Le protocole SSH va bien au-delà de la commande ssh basique. Une commande particulièrement pratique basée sur le protocole SSH est scp, la copie de fichier sécurisée (secure copy command). L'exemple suivant copie un fichier depuis le dossier courant de votre machine locale vers le dossier /home/me/stuff sur une machine distante.

$ scp myprog.py me@autremachine.domaine.org:/home/me/stuff

Soyez prévenus que cette commande écrasera tout fichier déjà présent avec le nom /home/me/stuff/myprog.py. (Ou bien vous aurez un message d'erreur s'il y a déjà un fichier de ce nom et que vous n'avez pas les droits pour l'écraser.) Si /home/me est votre dossier personnel, le dossier cible peut être abrégé.

$ scp myprog.py me@autremachine.domaine.org:stuff

Vous pouvez aussi facilement copier dans l'autre direction : depuis la machine distante vers votre machine locale.

$ scp me@autremachine.domaine.org:docs/interview.txt yesterday-interview.txt

Le fichier sur la machine distante est interview.txt dans le sous-dossier docs de votre dossier personnel. Le fichier sera copié vers yesterday-interview.txt dans le dossier personnel de votre système local.

scp peut être utilisé pour copier un fichier d'une machine distante à une autre.

$ scp utilisateur1@hote1:file1 utilisateur2@hote2:otherdir

Pour copier récursivement tous les fichiers et sous-dossiers d'un dossier, utilisez l'option -r.

$ scp -r utilisateur1@hote1:file1 utilisateur2@hote2:otherdir

Lisez la page de manuel de scp pour plus d'options.

Rsync est une commande très pratique qui conserve un dossier distant synchronisé avec un dossier local. Elle est mentionnée ici, car c'est une commande pratique pour faire du réseau, comme ssh, et parce que le protocole SSH est recommandé comme couche de transmission pour Rsync.

L'exemple ci-dessous est simple et pratique. Il copie les fichiers depuis votre dossier /home/myname/docs vers un dossier appelé backup/ dans votre dossier utilisateur sur le serveur quantum.example.edu. Rsync minimise les copies nécessaires à travers diverses vérifications compliquées.

$ rsync -e ssh -a /home/myname/docs me@quantum.example.edu:backup/

L'option -e de ssh utilise le protocole SSH pour la transmission, comme ce qui est recommandé. L'option -a (pour « archive ») copie tout ce qui est dans le dossier spécifié. Si vous voulez supprimer les fichiers du système local pendant qu'ils sont copiés, ajoutez l'option --delete.

XXXI-G-1. Se simplifier la vie quand on utilise SSH souvent▲

Host dev
HostName example.com
User fc

$ ssh dev