User:Rominet: Difference between revisions

Most end-users will probably be interested in the procedure described below, that can be used to clone a Git repository such as [https://sourceforge.net/p/flightgear/fgdata/ci/next/tree/ FGData] using the SSH protocol and modify a single file so that future updates of the repository are done with the HTTPS protocol. To this date, this is the easiest way, as far as I know, to retrieve FGData in a secure and reliable way (probably because of (1) its sheer size as compared to the other repositories of the FlightGear project, and (2) some technical problems in the SourceForge Git infrastructure; other repositories can be cloned with HTTPS without any problem).  This procedure is explained [[#using-download-and-compile-sh-to-build-flightgear|in full detail in English]] and [[#alternate-method-clone-with-ssh-and-update-with-https|more summarily in French]].

== English ==

==== <span id="getting-download-and-compile-sh-the-right-way"></span> Getting <tt>download_and_compile.sh</tt> the “right way” ====

  $ mkdir -p ~/flightgear

  $ cd ~/flightgear

(...)</pre>

  $ cd ~/flightgear/fgmeta && git pull

Simple, isn't it? If you want to see the latest commits affecting <tt>download_and_compile.sh</tt>, it is quite easy too:

  $ git log -p -- download_and_compile.sh

    

Normal people will now skip to the next heading.

(this will apply your commits on top of the latest commit of the official branch)<br />

==== <span id="using-download-and-compile-sh-to-build-flightgear"></span> Using <tt>download_and_compile.sh</tt> to build FlightGear ====

{{Note|The following commands should be run from an empty<ref name="dedicated-directory-won-t-stay-empty-forever">Well, empty before the first time, but later <tt>download_and_compile.sh</tt> is going to populate it with plenty of FlightGear files and subdirectories, of course.</ref> directory in a partition that has enough free space for FGData (it currently takes 4.6 gigabytes (GB) and you'll also need several more to download the FlightGear sources and build them). The usual message printed by <tt>download_and_compile.sh</tt> recommends 12 or more gigabytes. We'll call the chosen directory ''$dir'' (for instance, you could choose <tt>~/flightgear/dnc-managed</tt>).

{{Note|In what follows, we'll assume that your Unix user name (login) is <tt>toto</tt>. Don't confuse the <tt>sudo</tt> password prompt (where you need to enter <tt>toto</tt>'s password) with the password prompt for your SourceForge account! The former appears as

;authentification (authentication)

;chiffrement (encryption)

;empreinte numérique (hash, fingerprint)

;dépôt (repository) [Git, Subversion, etc.]

=== Motivation ===

  git clone ssh://...

ou

le mot précédant <tt>://</tt> indique quel protocole Git doit utiliser.

  $ download_and_compile.sh --git-clone-site-params SourceForge=ssh:''username'' DATA

  $ download_and_compile.sh --git-clone-site-params SourceForge=ssh:''username''

(commande qui clone ou met à jour, puis compile [https://sourceforge.net/p/flightgear/simgear/ci/next/tree/ SimGear] et [https://sourceforge.net/p/flightgear/flightgear/ci/next/tree/ FlightGear], et clone ou met à jour [https://sourceforge.net/p/flightgear/fgdata/ci/next/tree/ FGData]), il faudra entrer le mot de passe pour chaque dépôt. Vous devinez que cela devient vite pénible. '''Il est cependant possible de seulement cloner avec SSH, puis changer le protocole pour chaque dépôt cloné grâce au <tt>.git/config</tt> à l'intérieur du dépôt et ainsi faire en sorte que les mises à jour des dépôts utilisent le protocole <tt>https</tt>, qui ne nécessite ni de créer vous-même une paire de clés, ni d'entrer un mot de passe.''' Si vous êtes pressé, c'est la méthode que je conseillerais. Voir [[#alternate-method-clone-with-ssh-and-update-with-https|ci-dessous]] pour plus de détails sur cette méthode.

===<span id="tutorial-on-ssh-public-key-authentication-and-ssh-agent"></span> Authentification SSH par paire de clés privée/publique ===

<ol type="a">

   <li>Générez une paire de clés ssh.

<pre>$ ssh-keygen -t rsa -b 4096

(Le choix des options <code>-t rsa</code> et <code>-b 4096</code> passées à <tt>ssh-keygen</tt> dépend des connaissances publiques actuelles en cryptanalyse... Il faudra sans doute supprimer ces options ou les adapter dans quelques années, si/quand les clés RSA longues de 4096 bits seront considérées comme non sûres.)

   <pre>ssh-rsa AAAAB3Nza...neeEw== toto@machine</pre>

   </li>

   <li>Copiez votre clé SSH publique sur SourceForge comme suit.

   <li>Vous pouvez désormais vous authentifier auprès de SourceForge avec le nom ''username'' de votre compte SourceForge, grâce à la clé privée contenue dans <tt>/home/toto/.ssh/id_rsa</tt>. Ceci fonctionne car SourceForge dispose maintenant de la partie publique de cette paire de clés et sait que cette clé appartient à ''username''.

{{Note|Si vous souhaitez utiliser cette méthode, appelée ''public key authentication,'' pour vous connecter par SSH à un serveur quelconque sur lequel vous avez un compte, vous pouvez ajouter votre clé publique au fichier <tt>~/.ssh/authorized_keys</tt> dans votre compte sur le serveur, avec des permissions du genre -rw------- (mettre une clé par ligne). Le programme <tt>ssh-copy-id</tt> peut être utilisé pour automatiser ce genre d'opération. L'étape c) ci-dessus revient à faire cela pour votre compte chez SourceForge.}}

   </li>

  $ cd /tmp

  $ git clone ssh://''username''@git.code.sf.net/p/flightgear/fgmeta

   <pre>The authenticity of host 'git.code.sf.net (216.105.38.16)' can't be established.

Are you sure you want to continue connecting (yes/no)?</pre>

Dans la suite, nous supposerons qu'il n'y a pas eu de problème et que vous avez donc répondu <tt>yes</tt>. Ceci implique que SSH va mémoriser l'empreinte du serveur dans le fichier <tt>~/.ssh/known_hosts</tt>. La question précedente ne vous sera donc plus posée tant que le même serveur renverra la même clé pour se présenter. Mais si un jour vous vous reconnectez au même serveur SSH et que celui-ci s'annonce avec une empreinte différente, SSH va vous prévenir qu'il y a danger à poursuivre la connexion. En effet, un tel évènement pourrait signifier que quelqu'un essaie de se faire passer pour le serveur auquel vous souhaitez vous connecter, mais n'en possède pas la clé privée. SSH et la cryptographie asymétrique fournissent donc une protection efficace contre ce type d'attaque. En pareil cas, on peut se reporter à la [https://sourceforge.net/p/forge/documentation/SSH%20Key%20Fingerprints/#fingerprint-listing page déjà mentionnée]... en espérant qu'elle n'a pas été piratée. Bref, la situation, si elle se produit, doit appeler à une grande vigilance (rassurez-vous, il est quasi impossible de se retrouver dans cette situation et de ne pas s'en rendre compte : le message affiché par <tt>ssh</tt> en pareil cas est très visible et explicite !).

   </li>

  $ git clone ssh://''username''@git.code.sf.net/p/flightgear/fgmeta

<p>Comme l'empreinte du serveur est désormais connue de votre client SSH, cela devrait passer comme une lettre à la poste. SSH va juste vous demander la “passphrase” pour déverrouiller votre clé privée, comme je l'ai expliqué au point d). C'est celle que vous avez donnée à <tt>ssh-keygen</tt> lorsque vous avez généré votre paire de clés.</p>

   </li>

<ul>

<li>Votre clé privée est équivalente à un très gros mot de passe, que vous seriez sans doute incapable de mémoriser.</li>

<li>Lorsqu'on s'authentifie par mot de passe, chaque commande qui contacte le serveur, telle que <code>git clone</code>, <code>git pull</code> ou <code>git fetch</code>, nécessite d'entrer le mot de passe. Vu le nombre de dépôts qu'il faut mettre à jour avec FlightGear ([https://sourceforge.net/p/flightgear/simgear/ci/next/tree/ SimGear], [https://sourceforge.net/p/flightgear/flightgear/ci/next/tree/ FlightGear], [https://sourceforge.net/p/flightgear/fgdata/ci/next/tree/ FGData] et éventuellement [https://sourceforge.net/p/flightgear/fgaddon/HEAD/tree/ FGAddon]), ce n'est pas pratique du tout. Mais nous allons voir qu'avec l'authentification par clé publique, l'agent SSH permet de n'entrer qu'un mot de passe, une fois pour toutes, jusqu'à ce que vous le terminiez (par exemple, par fermeture de la session) ou jusqu'à expiration d'un “timeout”, si vous utilisez <tt>ssh-agent</tt> et avez choisi l'option correspondante.</li>

   <li>'''Introduction à l'agent SSH'''

     <p>Lorsqu'une clé (privée) est confiée à l'agent, on vous demande la “passphrase” nécessaire pour la déverrouiller, de la même façon qu'au point d) ci-dessus. La clé privée déverrouillée est alors gardée en mémoire par l'agent. Tant que l'agent SSH fonctionne et a votre clé privée, il est possible de se connecter à un serveur SSH (par exemple avec une commande du type <code>git clone ssh://...</code>) au moyen de cette clé sans avoir à entrer la “passphrase” qui la protège.</p>

     <p>Le fait que la clé privée soit stockée sous forme déverrouillée en mémoire RAM n'est pas vraiment un problème, car pour qu'un individu malveillant puisse la lire dans l'espace mémoire du processus correspondant à l'agent SSH, il faudrait qu'il soit déjà installé dans votre compte, auquel cas c'est GAME OVER. Reste le fait que la mémoire vive peut être copiée vers la zone de swap en principe, et donc sur un disque dur. Mais ce problème ne se pose pas ''a priori'' pour <tt>ssh-agent</tt>, car il prend des mesures spécifiques pour que la clé ne se retrouve pas en zone de swap. J'espère que les autres agents SSH font de même.</p>

<pre>$ env | grep SSH_AUTH_SOCK

   <li>Si vous obtenez une ligne de ce genre, vous avez a priori déjà un agent SSH disponible pour toto.

   </li>

   </li>

</ul>

<ul>

     <pre>$ echo "$SSH_AUTH_SOCK"

/home/toto/.cache/keyring-TRIOXN/ssh

</pre>

   </li>

   <pre># fuser /home/toto/.cache/keyring-TRIOXN/ssh

/home/toto/.cache/keyring-TRIOXN/ssh:  8825

</ul>

<pre>$ ps -eo pid,cmd | grep -Ee '^ *8825 +'

  8825 /usr/bin/gnome-keyring-daemon --daemonize --login

</pre>

<pre>$ ps -eo pid,cmd | grep -Ee '^ *8825 +'

</pre>

   </li>

     <p>Cette étape présente plusieurs façons de lancer un agent SSH tel que le programme <tt>ssh-agent</tt> ou celui fourni par <tt>gnome-keyring-daemon</tt>. Si l'étape précédente vous a permis d'établir qu'il y en a déjà un pour votre compte utilisateur normal, vous pouvez passer à l'étape suivante.</p>

<p>Comme indiqué plus haut, GNOME Keyring fournit aussi un composant qui peut jouer le rôle d'agent SSH. On peut l'activer sous XFCE en allant dans le menu XFCE, puis ''Settings'' → ''Session and startup,'' onglet ''Advanced,'' et enfin cocher ''Launch GNOME services on startup.'' Il semble que cette méthode ait priorité sur la précédente lorsque les deux sont simultanément actives, peut-être car dans ce cas, c'est <tt>gnome-keyring-daemon</tt> qui est lancé en dernier et impose donc la valeur finale de <tt>SSH_AUTH_SOCK</tt>, qui permet de le contacter. Il y a certainement des méthodes similaires pour les environnements de bureau autres que XFCE.</p>

{{Note|Certaines personnes [https://askubuntu.com/questions/412793/xubuntu-stop-gnome-keyring-daemon-from-impersonating-ssh-agent bricolent] pour lancer <tt>gnome-keyring-daemon</tt> sans le composant qui offre le service d'agent SSH, car ils souhaitent vraiment utiliser le programme <tt>ssh-agent</tt> d'OpenSSH. L'intention me semble tout à fait légitime, mais les bricolages en question n'ont pas l'air très jolis... Il y a une [https://wiki.archlinux.org/index.php/GNOME/Keyring#Disable_keyring_daemon_components autre méthode] donnée sur le wiki d'Arch Linux. Je précise que je n'ai testé aucune de ces méthodes.}}

<pre>$ ssh-agent bash</pre>

on obtient un nouveau shell supervisé par <tt>ssh-agent</tt>, dans lequel la variable <tt>SSH_AUTH_SOCK</tt> est positionnée comme il faut pour contacter l'agent (on dispose aussi de <tt>SSH_AGENT_PID</tt> pour trouver son PID). Toute commande lancée depuis ce nouveau shell bénéficie de la présence de l'agent. On peut terminer ce nouveau shell et l'agent avec <code>exit</code> ou en faisant Ctrl-D en début de ligne dans le nouveau shell.

<pre>$ eval $(ssh-agent -s)  # pour un shell de type Bourne (Bash, Zsh...)</pre>

<pre>$ eval $(ssh-agent -c)  # pour un shell dérivé de csh</pre>

   </li>

   <li>'''Utilisation de <tt>ssh-add</tt> et de l'agent SSH pour se faciliter la vie'''</p>

  $ git clone ssh://''username''@git.code.sf.net/p/flightgear/fgmeta

   </li>

{{tip|Une différence notoire avec le cas où l'agent SSH est <tt>gnome-keyring-daemon</tt> est qu'ici, on a dû utiliser <tt>ssh-add</tt> pour confier la clé à l'agent (cela se fait automatiquement lorsque l'agent SSH est <tt>gnome-keyring-daemon</tt>). Avec une ligne telle que <code>AddKeysToAgent yes</code> dans <tt>~/.ssh/config</tt>, il est possible de faire en sorte que <tt>ssh</tt> ajoute automatiquement chaque clé utilisée à <tt>ssh-agent</tt>, comme cela se passe avec <tt>gnome-keyring-daemon</tt>. Il y a également d'autres possibilités de configuration avec ce paramètre, qui peut prendre chacune des valeurs <code>yes</code>, <code>confirm</code>, <code>ask</code> et <code>no</code> (voir la page de manuel <tt>ssh_config(5)</tt>).}}

   </li>

</ol>

   <li>Voilà, c'est terminé. Depuis n'importe quel shell s'exécutant sous la supervision de l'agent SSH, vous pouvez désormais lancer n'importe quelle commande faisant appel à un client SSH : si l'authentification peut se faire avec une clé privée que vous avez confiée à l'agent, la connexion sera établie sans qu'il soit nécessaire d'entrer un quelconque mot de passe. Depuis un tel shell, vous pouvez donc lancer des commandes utilisant l'authentification par SSH, par exemple :</p>

  $ git clone ssh://''username''@git.code.sf.net/p/flightgear/fgmeta

</ol>

<ol type="1">

<pre>url = https://git.code.sf.net/p/flightgear/fgmeta</pre>

   </li>

   <li>Répétez l'opération précédente pour chaque dépôt.