Logiciels d'administ.. - Parent Directory

Tuto sur PuTTY
Logiciel
Utilisé pour
L’Administration
D’IPCOP
1.4.x

Logiciel d’administration pour IPCOP 1.4.x
Tables des matières
Chapitre 1 : Qu’est ce que PuTTY ? .......................................................................................... 8
I. Que sont SSH, Telnet et Rlogin ? ....................................................................................... 8
II. En quoi SSH, Telnet et Rlogin sont-ils différents les uns des autres ?.............................. 9
Chapitre 2 : Pour mettre le pied à l’étrier................................................................................. 10
I. Démarrer une session........................................................................................................ 10
II. Vérification de la clé d'hôte (SSH uniquement) .............................................................. 11
III. Ouverture de session ...................................................................................................... 12
IV. Une fois la session ouverte............................................................................................. 12
V. Fermeture de la session ................................................................................................... 13
Chapitre 3 : Utilisation de PuTTY ........................................................................................... 14
I. Pendant votre session........................................................................................................ 14
I.1. Copier/Coller du texte................................................................................................ 14
I.2. Navigation dans l’historique de la session................................................................. 15
I.3. Le menu système........................................................................................................ 15
I.3.2 Commandes Spéciales ......................................................................................... 16
I.3.3 Démarrage d’une nouvelle session ...................................................................... 17
I.3.4 Modification de vos réglages de session.............................................................. 17
I.3.5 Tout copier dans le presse papier......................................................................... 18
I.3.6 Effacement et réinitialisation du terminal............................................................ 18
I.3.7 Mode plein écran.................................................................................................. 18
II. Création d’un fichier journal de votre session................................................................. 18
III. Modification de la configuration de votre jeu de caractère............................................ 19
IV. Chiffrement du traffic X11 (« X11 Fowardind » dans SSH)......................................... 19
V. Transfert de ports (« port forwarding ») dans SSH)........................................................ 20
VI.Etablissement de connexions TCP brute......................................................................... 22
VII. Connexion par port série local...................................................................................... 22
VIII. Utilisation de PuTTY en ligne de commande ............................................................. 23
VIII.1 Lancement d’une session en ligne de commande ................................................. 23
VIII.2 –cleanup................................................................................................................. 23
VIII.3 Options standard de la ligne de commande........................................................... 24
VIII.3.1 – load : charge une session sauvegardée ........................................................ 24
VIII.3.2 Choix du protocole : -ssh, -telnet, -rlogin, -raw ............................................. 24
VIII.3.3 –v : augmente la verbosité.............................................................................. 24
VIII.3.4 –l : indique le nom d’utilisateur ..................................................................... 25
VIII.3.5 –L, -R et –D configuration des transferts de ports ......................................... 25
VIII.3.6 –m lire dans un fichier une commande ou un script à lancer sur une machine
distante ......................................................................................................................... 26
VIII.3.7 –p : indique le numéro de port........................................................................ 26
VIII.3.8 –pw : indique un mot de passe ....................................................................... 26
VIII.3.9 –agent et –noagent : contrôler l’utilisation de Pageant pour l’authentification
...................................................................................................................................... 27
VIII.3.10 –A et –a : contrôler le transfert d’agent........................................................ 27
VIII.3.11 –X et –x contrôle du chiffrement du traffic X11.......................................... 27
VIII.3.12 –t et –T : contrôler l’affectation de pseudo terminal .................................... 27
VIII.3.13 –N supprimer le lancement d’une invite de commande ou d’une commande
...................................................................................................................................... 28
VIII.3.14 –nc établir une connexion réseau distante plutôt que de lancer une invite de
commandes ou commandes.......................................................................................... 28
VIII.3.15 –c : activer la compression ........................................................................... 29
2

Logiciel d’administration pour IPCOP 1.4.x
VIII.3.16 -1 et -2 spécifier la version du protocole SSH.............................................. 29
VIII.3.17 -4 et -6 : spécifié la version du protocole IP................................................. 29
VIII.3.18 –i : Spécifie la clé privé SSH........................................................................ 29
VIII.3.19 –pgpfp affiche les signatures des clés PGP .................................................. 29
Chapitre 4 : configuration de PuTTY....................................................................................... 30
I. Panneau « session » .......................................................................................................... 30
I.1 Champ « Host Name » (nom d’hôte).......................................................................... 30
I.2 Enregistrement de sessions et rechargement de sessions sauvegardées ..................... 31
I.3 Bouton radio « close Windows on exit » (fermer la fenêtre en quittant).................... 32
II. Le panneau « Loggin » .................................................................................................... 33
II.1 Champ « Log file Name » (nom du fichier journal).................................................. 34
II.2 Bouton radio « What to do if the log file already exists »(que faire si le fichier
journal existe déjà) ........................................................................................................... 34
II.3 Case à cocher « Flush log file frequently »(vider le fichier journal fréquemment) .. 34
II.4 Case à cocher « Option specific to SSH packet logging »(Options spécifique à la
journalisation des paquets SSH)....................................................................................... 35
II.4.1 Case à cocher « Omit known password field »( omettre les champs dont on sait
qu'ils correspondent à des mots de passe') ................................................................... 35
II.4.2 Case à Cocher « Omit session data ».................................................................. 36
III. Panneau « terminal »...................................................................................................... 36
III.1 Case à cocher « Auto wrap mode initially on » (mode ‘retour à la ligne
automatiquement ‘ initialement actif) .............................................................................. 36
III.2 Case à cocher « DEC Origin Mode Initially on (mode ‘origine DEC’ initialement
actif) ................................................................................................................................. 37
III.3 Case à cocher « Implicit CR in every LF »(retour chariot implicite après chaque
passage à la ligne) ............................................................................................................ 37
III.4 Case à cocher « Use background color to erase screen »(utiliser la couleur d’arrière
plan pour éffacer l’écran) ................................................................................................. 38
III.5 Case à cocher « Enable blinking text »(activer le texte clignotant) ......................... 38
III.6 Champs « Answerback to^E »(reponse au caractère contrôle E)............................. 39
III.7 Bouton radio « Local echo » .................................................................................... 39
III.8 Bouton radio « Local line editing »(édition de ligne en local)................................. 39
III.9 Impression contrôlée par la machine distante « Remote-controller printing)......... 40
Chapitre 5 : Utilisation de PSCP pour transférer des fichiers de façon sûr.............................. 41
I.Démarrage de PSCP........................................................................................................... 41
II Utilisation de PSCP .......................................................................................................... 41
II.1 Les bases.................................................................................................................... 42
II.1.1 source (les fichiers à transferer).......................................................................... 43
II.1.2 Target (l’emplacement cible, destination des fichiers)....................................... 43
II.2 Les options................................................................................................................. 44
II.2.1 –ls faire la liste des fichiers distants (list remote files)....................................... 44
II.2.2 –p conserver les attributs des fichiers (preserve file attibut) .............................. 44
II.2.3 –q ne pas afficher les statistiques ....................................................................... 44
II.2.4 –r copie les fichiers de façon récursive .............................................................. 45
II.2.5 –batch fonctionnement sans intervention de l’utilisateur ................................... 45
II.2.6 –sfcp, -scp forcer l’utilisation d’un protocole en particulier .............................. 45
II.3 Valeurs de retour ....................................................................................................... 46
II.4Utilisation de l’authentification à clé publique PSCP ................................................ 46
Chapitre 6 : Utilisation de PSFTP pour transférer des fichiers de façon sûr............................ 47
I.Démarrage de PSFTP......................................................................................................... 47
I.1 –b : indiquer le nom d’un fichier de commande par lots ............................................ 48
I.2 –bc : Afficher les commandes par lots à mesure qu’elles sont exécutées .................. 48
I.3 –be : poursuivre le traitement par lot en cas d’erreur ................................................. 49
I.4 –Batch : éviter les commandes interactive.................................................................. 49
II Utilisation de PSFTP ........................................................................................................ 49
3

Logiciel d’administration pour IPCOP 1.4.x
II.1 Règles générales d'utilisation des guillemets dans les commandes PSFTP .............. 49
II.2 Les caractères génériques dans PSFTP ..................................................................... 50
II.3 La commande open : pour démarrer une session..................................................... 50
II.4 La commande quit : pour terminer votre session ................................................... 51
II.5 La commande close : pour fermer votre connexion............................................... 51
II.6 La commande help : pour obtenir rapidement de l'aide en ligne ............................ 51
II.7 Les commandes cd et pwd : pour changer de répertoire de travail sur la machine
distante ............................................................................................................................. 51
II.8 Les commandes lcd et lpwd : pour changer de répertoire de travail sur la machine
locale ................................................................................................................................ 51
II.9 La commande get : pour transférer un fichier depuis la machine distante.............. 52
II.10 La commande put : pour transférer un fichier vers la machine distante................ 52
II.11 Les commandes mget et mput : pour transférer plusieurs fichiers à la fois, dans un
sens ou dans l'autre........................................................................................................... 53
II.12 Les commandes reget et reput : pour reprendre des transferts de fichiers après
interruption ....................................................................................................................... 54
II.13 La commande dir : pour lister les fichiers de la machine distante........................ 54
II.14 La commande chmod : pour modifier les permissions de fichiers sur la machine
distante ............................................................................................................................. 54
II.15 La commande del : effacer des fichiers sur la machine distante ........................... 56
II.16 La commande mkdir : pour créer des répertoires sur la machine distante............ 56
II.17 La commande rmdir : pour effacer des répertoires sur la machine distante......... 56
II.18 La commande mv : pour déplacer et renommer des fichiers sur la machine distante
.......................................................................................................................................... 58
II.19 La commande ! : lancer une commande Windows sur la machine locale.............. 58
III. Utilisation de l'authentification par clé publique / clé privée avec PSFTP .................... 58
Chapitre 7 : utilisation de l'outil Plink de connexion en ligne de commande .......................... 60
I. Lancement de Plink........................................................................................................... 60
II. Utilisation de Plink .......................................................................................................... 60
II.1 Utilisation de Plink pour l'ouverture de sessions interactives ................................... 61
II.2Utilisation de Plink pour l'établissement de connexions automatisées....................... 62
II.3 Options en ligne de commande de Plink ................................................................... 63
II.3.1 -batch : désactiver toutes les invites interactives ........................................... 64
II.3.2 -s : pour lancer une commande à distante dans un sous-système SSH............. 64
III. Utilisation de Plink dans des fichiers batchs et dans des scripts.................................... 64
IV. Utilisation de Plink avec CVS ....................................................................................... 64
V Utilisation de Plink avec WinCVS................................................................................... 65
Chapitre 8 : utilisation de clés publiques pour l'authentification SSH..................................... 66
I. Introduction à l'authentification par clé publique ............................................................. 66
II. Utilisation de PuTTYgen, le générateur de clés de PuTTY ............................................ 67
II.1 Génération d'une nouvelle clé.................................................................................... 67
II.2 Choix du type de clé .................................................................................................. 68
II.3 Choix de la taille ( et donc de la solidité ) de la clé................................................... 69
II.4 Le bouton 'Generate' .................................................................................................. 69
II.5 La ligne 'Key fingerprint' ( empreinte de la clé )....................................................... 70
II.6 Choix d'un commentaire pour votre clé..................................................................... 71
II.7 Choix d'une phrase de passe pour votre clé............................................................... 71
II.8 Sauvegarde de votre clé privée dans un fichier sur disque........................................ 73
II.9 Sauvegarde de votre clé publique dans un fichier sur disque.................................... 73
II.10 Champ 'Public key for pasting into OpenSSH authorized_keys file' ( clé publique à
copier/coller dans le fichier authorized_keys de OpenSSH )........................................... 73
II.11 Rechargement d'une clé privée ................................................................................ 74
II.12 Utilisation de clés privées de formats différents ..................................................... 74
4

Logiciel d’administration pour IPCOP 1.4.x
III. Se préparer à l'authentification par clé publique ............................................................ 75
Chapitre 9 : utilisation de Pageant pour l'authentification ....................................................... 77
I. Pour commencer à se servir de Pageant............................................................................ 77
II. La fenêtre principale de Pageant...................................................................................... 78
II.1 La liste déroulante des clés........................................................................................ 78
II.2 Le bouton 'Add Key' ( ajouter une clé )..................................................................... 78
II.3 Le bouton 'Remove Key' ( retirer la clé )................................................................... 78
III. La ligne de commande de Pageant................................................................................. 79
III.1 Faire en sorte que Pageant charge automatiquement des clés au démarrage ........... 79
III.2 Faire en sorte que Pageant lance un autre programme............................................. 79
IV. Utilisation du transfert d'agent ( "agent forwarding" )................................................... 80
V. Considérations liées à la sécurité..................................................................................... 81
Annexe A : Foire aux questions sur PuTY............................................................................... 83
I. Introduction....................................................................................................................... 83
I.1 PuTTY, c'est quoi, exactement ?................................................................................. 83
II. Fonctionnalités de PuTTY............................................................................................... 83
II.1 Est-ce que PuTTY supporte le SSH-2 ? .................................................................... 83
II.2Est-ce que PuTTY sait lire les fichiers de clés privées SSH-2 de OpenSSH ou de
ssh.com ? ...................................................................................................................... 84
II.3Est-ce que PuTTY supporte le SSH-1 ? ..................................................................... 84
II.4 Est-ce que PuTTY supporte l'écho local ?................................................................. 84
II.5 Est-ce que PuTTY conserve sa configuration d'une fois sur l'autre, pour ne pas qu'il
n'y ait besoin de tout refaire à chaque utilisation ? .......................................................... 84
II.6 Est-ce que PuTTY sait stocker sa configuration dans un fichier de configuration ?. 84
II.7Est-ce que PuTTY supporte le mode plein écran, comme les fenêtres de commandes
DOS ? ............................................................................................................................... 84
II.8 Est-ce que PuTTY sait se souvenir de mon mot de passe, pour que je n'aie pas à le
taper à chaque fois ? ......................................................................................................... 85
II.9 Y'a t'il une option pour désactiver ces ennuyeux messages au sujet des clés d'hôte ?
.......................................................................................................................................... 85
II.10 Allez-vous écrire un serveur SSH, et le diffuser avec PuTTY, pour aller avec le
client ? .............................................................................................................................. 86
II.11 PSCP et PSFTP savent-ils transférer des fichiers en mode ASCII ?....................... 86
III. Versions de PuTTY destinées à d'autres systèmes d'exploitation.................................. 86
III.1 Pour quels autres systèmes existe-t-il des versions de PuTTY, en dehors de
Windows 32 bits ? ............................................................................................................ 87
III.2 Y'a-t-il une version Unix ? ....................................................................................... 87
III.3 Quel est l'intérêt de la version Unix, puisqu'Unix a déjà OpenSSH ?...................... 88
III.4 Y'aura-t-il un jour une version Windows CE ou PocketPC ? .................................. 88
III.5 Y'a-t-il une version Windows 3.1 ?.......................................................................... 88
III.6 Y'aura-t-il un jour une version Mac ?....................................................................... 89
III.7 Y'aura-t-il un jour une version EPOC ? ................................................................... 89
IV. Intégration de PuTTY dans d'autres programmes.......................................................... 89
IV.1 Le code de SSH ou de Telnet est-t-il disponible sous forme de DLL ?................... 89
IV.2 Le code de SSH ou de Telnet est-t-il disponible sous forme de composant Visual
Basic ? .............................................................................................................................. 89
IV.3 Comment puis-je utiliser PuTTY pour établir une connexion SSH depuis un autre
programme ?..................................................................................................................... 90
V. Le fonctionnement de PuTTY en détail .......................................................................... 90
V.1 Quel type de terminal PuTTY utilise-t-il ?................................................................ 90
V.2 Où PuTTY stocke-t-il ses données ? ......................................................................... 90
VI. Comment faire pour... ?.................................................................................................. 91
VI.1 Quel nom d'utilisateur et/ou quel mot de passe dois-je utiliser ?............................. 91
VI.2 Quelles commandes puis-je taper dans ma fenêtre de terminal PuTTY ? ............... 91
5

Logiciel d’administration pour IPCOP 1.4.x
VI.3 Comment faire pour que la fenêtre de PuTTY soit agrandie au maximum dès le
départ ? ............................................................................................................................. 92
VI.4 Comment puis-je créer un raccourci Windows pour démarrer directement une
session sauvegardée en particulier ?................................................................................. 92
VI.5 Comment faire pour démarrer une session SSH directement à partir de la ligne de
commande ?...................................................................................................................... 92
VI.6 Comment puis-je faire des copier/coller entre PuTTY et d'autres applications
Windows ?........................................................................................................................ 92
VI.7 Comment faire pour utiliser dans PSCP, PSFTP et dans Plink, des fonctionnalités
de PuTTY telles que les clés publiques, le passage par un proxy, ou le choix du
chiffrement, etc. ?............................................................................................................. 93
VI.8 Comment dois-je faire pour utiliser PSCP.EXE ? Lorsque je double-clique dessus,
une fenêtre apparaît et disparaît instantanément !............................................................ 93
VI.9 Comment dois-je faire, avec PSCP, pour copier un fichier dont le nom comporte des
espaces ?........................................................................................................................... 93
VII. Résolution de problèmes............................................................................................... 94
VII.1 Pourquoi est-ce que j'ai le message 'Incorrect MAC received on packet' ?............ 94
VII.2 Pourquoi est-ce que j'ai le message 'Fatal: Protocol error: Expected control record'
dans PSCP ? ..................................................................................................................... 95
VII.3 J'ai cliqué sur une couleur dans le panneau de configuration 'Colours', et la couleur
n'a pas changé dans mon terminal.................................................................................... 95
VII.4 Sous Windows 95, Plink dit qu'il n'arrive pas à trouver WS2_32.DLL. ................ 96
VII.5 Quand j'essaye d'établir une connexion SSH-2, PuTTY me dit 'Out of memory' et
plante. ............................................................................................................................... 96
VII.6 Quand j'essaye de transférer un fichier avec PSCP ou PSFTP, le programme me dit
'Out of memory' et plante. ................................................................................................ 96
VII.7 Les transferts de fichiers avec PSFTP sont bien plus lents qu'avec PSCP. ............ 97
VII.8 Lorsque j'utilise des applications dont l'affichage est en couleur, j'ai des zones
noires là où il devrait y avoir de la couleur, ou vice versa............................................... 97
VII.9 Lorsque je change certains réglages de mon terminal, rien ne se passe. ................ 97
VII.10 Mes sessions PuTTY se ferment toutes seules après une période d'inactivité. .... 98
VII.11 Les connexions réseau de PuTTY partent trop rapidement en 'time out' lorsque la
liaison réseau est interrompue momentanément. ............................................................. 98
VII.12 Quand je fais cat sur un fichier binaire, j'obtiens 'PuTTYPuTTYPuTTY' à
répétition sur ma ligne de commande. ............................................................................. 99
VII.13 Quand je fais cat sur un fichier binaire, le titre de la fenêtre se met à afficher
n'importe quoi................................................................................................................... 99
VII.14 Mon clavier cesse de fonctionner à partir du moment où PuTTY affiche l'invite
'Password:' pour que je tape mon mot de passe.............................................................. 100
VII.15 Quand j'utilise une application qui tourne sur la machine distante, certaines
touches de fonction de mon clavier ne font pas ce que je voudrais. .............................. 100
VII.16 Depuis que le serveur SSH de la machine distante a été mis à jour en OpenSSH
3.1p1 / 3.4p1, je ne peux plus m'y connecter avec PuTTY............................................ 101
VII.17 Pourquoi est-ce que j'ai le message 'Couldn't load private key from ...' ? Pourquoi
PuTTY n'arrive-t-il pas à charger ma clé, alors que PuTTYgen y arrive bien, lui ?...... 101
VII.18 Quand je suis connecté à une machine en Linux Red Hat 8.0, certains caractères
ne s'affichent pas correctement. ..................................................................................... 102
VII.19 Depuis que je suis passé à la version 0.54, le défilement en arrière ne fonctionne
plus lorsque j'utilise screen............................................................................................. 102
VII.20 Depuis que je suis passé en Windows XP Service Pack 2, je ne peux plus utiliser
des adresses comme 127.0.0.2................................................................................. 103
VII.21 On dirait qu'il manque un séparateur de répertoires ( un slash ) aux commandes
PSFTP............................................................................................................................. 103
VII.22 Vous voulez que je vous raconte celle du message 'Software caused connection
abort' ? ............................................................................................................................ 103
6

Logiciel d’administration pour IPCOP 1.4.x
VII.23 Ma session SSH-2 se bloque pendant quelques secondes de temps à autre. ...... 104
VII.24 PuTTY ne se lance pas. Windows me dit que la configuration de l'application est
incorrecte........................................................................................................................ 104
VIII. Questions liées à la sécurité....................................................................................... 104
VIII.1 Est-ce prudent de ma part de télécharger et d'utiliser PuTTY sur un PC en libre
accès ? ............................................................................................................................ 104
VIII.2 PuTTY laisse-t-il « des choses » sur le PC ? Comment puis-je faire le ménage
après utilisation ?............................................................................................................ 105
VIII.3 Comment se fait-il que PuTTY supporte maintenant le DSA, alors que le site web
a dit pendant longtemps à quel point ce protocole est peu sûr ? .................................... 105
VIII.4 Pageant ne pourrait-il pas utiliser VirtualLock() pour empêcher les clés
privées d'être écrites sur le disque ? ............................................................................... 105
IX. Questions d'ordre administratif .................................................................................... 106
IX.1 Voulez-vous que je vous réserve un nom de domaine un peu plus sympa, comme
www.putty.com, ou www.putty.org ? ............................................................................ 106
IX.2 Seriez-vous intéressés par de l'hébergement gratuit pour le site web de PuTTY ? 106
IX.3 Seriez-vous d'accord pour mettre sur le site de PuTTY un lien qui pointe vers mon
site à moi ?...................................................................................................................... 106
IX.4 Pourquoi ne mettez-vous pas PuTTY sur SourceForge ? ...................................... 107
IX.5 Pourquoi est-ce que je n'arrive pas à m'inscrire à la liste de diffusion 'putty-bugs' ?
........................................................................................................................................ 107
IX.6 Si 'putty-bugs' n'est pas une liste de diffusion publique, est-ce qu'il en existe une ?
........................................................................................................................................ 107
IX.7 Comment est-ce que je peux faire un don à l'équipe de développement de PuTTY ?
........................................................................................................................................ 108
IX.8 Est-ce que je peux mettre PuTTY dans un CD ou un DVD offert avec un magazine,
ou le distribuer conjointement avec d'autres logiciels ?................................................. 108
IX.9 Pouvez-vous nous garantir par écrit contre d'éventuels problèmes de sécurité dans
PuTTY ? ......................................................................................................................... 108
IX.10 Pouvez-vous nous accorder par écrit la permission d'utiliser et de redistribuer
PuTTY ? ......................................................................................................................... 109
IX.1 1 Pouvez-vous nous garantir par écrit, de façon formelle, que nous avons le droit
d'utiliser PuTTY ? .......................................................................................................... 110
IX.12 Pouvez-vous nous garantir quelque chose par écrit ? .......................................... 110
IX.1 3 Puisque vous ne voulez rien signer, pouvez-vous nous promettre que PuTTY
restera en open source à l'avenir ?.................................................................................. 111
IX.1 4 Pouvez-vous nous fournir des informations sur le contrôle des exportations, ou
une certification FIPS de PuTTY ? ................................................................................ 111
X Questions diverses.......................................................................................................... 112
X.1 Est-ce que PuTTY est un portage d'OpenSSH ? Est-il dérivé d'OpenSSH d'une
manière ou d'une autre ?................................................................................................. 112
X.2 Où est-ce que je peux acheter le jouet « Putty » ?................................................... 112
X.3 Que signifie le nom 'PuTTY' ? ................................................................................ 112
X.4 Comment faut-il prononcer le nom 'PuTTY' ? ........................................................ 112
7

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 1 : Qu’est ce que PuTTY ?
PuTTY est un client SSH, Telnet et Rlogin libre pour les systèmes Windows 32 bits.
I. Que sont SSH, Telnet et Rlogin ?
Si vous savez déjà ce que sont SSH, Telnet et Rlogin, vous pouvez sans problème passer au
Chapitre 2.
SSH, Telnet et Rlogin sont trois manières différentes de faire la même chose : ouvrir une
session sur un ordinateur Multi-Utilisateurs, depuis un autre ordinateur, via le réseau.
Les systèmes d'exploitation Multi-Utilisateurs, tels qu'Unix et VMS, présentent généralement
à l'utilisateur une interface en ligne de commande, qui ressemble assez à l'Invite de
commandes ou aux Commandes MS-DOS de Windows. Le système affiche une invite, et
vous tapez des commandes au clavier, que le système exécute.
Avec ce type d'interface, il n'y a pas besoin d'être assis devant la machine qui va exécuter les
commandes que l'on tape. Les commandes, et leurs résultats, peuvent transiter via un réseau,
ce qui fait que vous pouvez être assis devant une machine et taper des commandes destinées à
une ou plusieurs autre(s) machine(s).
SSH, Telnet et Rlogin sont des protocoles réseau qui vous permettent de faire cela. Sur la
machine devant laquelle vous êtes assis, vous utilisez ce qu'on appelle un client, qui établit
une connexion réseau avec l'autre ordinateur (le serveur). La connexion réseau achemine les
séquences de touches et les commandes que vous frappez sur le clavier de la machine cliente
jusqu'au serveur, et vous ramène en retour les réponses du serveur.
Ces protocoles peuvent également être utilisés pour d'autres types de sessions interactives. En
particulier, il existe de nombreux 'bulletin boards', systèmes de conversation et autres MUDs
(Multi User Dungeons) qui permettent l'accès via Telnet. Il y en a même quelques-uns qui
acceptent les connexions SSH.
SSH, Telnet et Rlogin vous seront utiles :
• si vous disposez d'un compte utilisateur sur une machine Unix ou VMS, à laquelle
vous voulez pouvoir accéder à distance
• si votre fournisseur d'accès Internet vous fournit un compte permettant d'accéder en
ligne de commande au serveur web (on appelle cela un compte Shell, le Shell en
question étant le programme qui tourne sur la machine serveur, et exécute les
commandes que vous lui envoyez).
• ou si vous souhaitez utiliser un BBS (‘bulletin board system’), un système de
conversation ou un MUD accessible via Telnet.
En revanche, SSH, Telnet et Rlogin ne vous serviront à rien si :
• vous n'utilisez que Windows. Les machines Windows ont leurs propres manières de se
connecter les unes aux autres, et à moins que vous ne fassiez quelque chose qui sort de
l'ordinaire, vous n'aurez pas l'usage des ces protocoles d'ouverture de session à
distance.
8

Logiciel d’administration pour IPCOP 1.4.x
II. En quoi SSH, Telnet et Rlogin sont-ils différents les uns des autres ?
La liste ci-dessous résume quelques-unes des différences entre SSH, Telnet et Rlogin :
• SSH (ce qui signifie ‘Secure SHell’) est un protocole hautement sécurisé, de
conception récente. Il fait appel à la cryptographie forte pour protéger votre connexion
contre les écoutes, les détournements et autres attaques. Telnet et Rlogin sont tous
deux des protocoles plus anciens, qui n'offrent qu'une sécurité minimale.
• SSH et Rlogin vous permettent l'un comme l'autre d'ouvrir une session sur le serveur
sans avoir à taper un mot de passe (toutefois, il faut savoir que la méthode employée
par Rlogin pour cela n'est pas sécurisée, et permet à un attaquant d'accéder à votre
compte utilisateur sur le serveur, tandis que la méthode employée par SSH est bien
plus sûre, et que pour accéder à votre compte utilisateur sur le serveur, l'attaquant doit
d'abord réussir à accéder à votre machine client).
• SSH vous permet de vous connecter au serveur et de passer une commande dans la
foulée, de façon à ce que le serveur exécute la commande et ferme la connexion tout
seul, ce qui permet d'utiliser SSH pour des traitements automatisés, sans intervention
humaine.
Internet est un environnement hostile, et la sécurité est l'affaire de tous. Si vous vous
connectez à une machine via Internet, alors nous vous recommandons d'utiliser SSH. Si le
serveur auquel vous vous connectez ne gère pas le protocole SSH, essayez de persuader
l'administrateur de ce serveur d'installer le nécessaire.
Si la machine cliente et le serveur sont tous deux sur le même réseau, et si ce réseau est
protégé par un (bon) pare-feu, il y a moins de danger à utiliser Telnet ou Rlogin, mais nous
vous conseillons néanmoins d'utiliser SSH.
9

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 2 : Pour mettre le pied à l’étrier
Cette partie vous explique succinctement comment ouvrir une session interactive avec
PuTTY, de la façon la plus simple qui soit.
I. Démarrer une session
Lorsque vous démarrez PuTTY, vous obtenez la boîte de dialogue ci-dessous :
Cette boîte de dialogue vous permet de contrôler complètement le fonctionnement de PuTTY.
Veuillez vous reporter au chapitre 4 pour des informations détaillées sur tout ce que vous
pouvez configurer.
En général, vous n'avez pas besoin de changer grand chose à la configuration par défaut. Pour
ouvrir une session, la plus basique qui soit, tout ce que vous avez besoin de faire, c'est d'entrer
quelques informations très simples.
Dans le champ ‘Host Name’, tapez le nom d'hôte Internet du serveur auquel vous souhaitez
vous connecter. Si vous ne savez pas quoi mettre, adressez-vous à la personne qui vous a
fourni votre compte utilisateur.
Ensuite, choisissez un protocole d'ouverture de session, parmi les boutons radio ‘Connection
type’. Pour une session interactive, vous devriez choisir Telnet, Rlogin ou SSH. Si vous
voulez connaître les différences entre ces trois protocoles, et si vous avez besoin de conseils
pour savoir lequel utiliser, veuillez vous reporter à la partie II du chapitre 1. Le quatrième
protocole, Raw, n'est pas utilisé pour les sessions interactives. Il ne sert que pour
diagnostiquer d'autres services Internet (cf. partie VI du chapitre 6). Le cinquième protocole,
Serial, sert à établir une connexion via une ligne série locale, et fonctionne de façon
10

Logiciel d’administration pour IPCOP 1.4.x
légèrement différente des autres : reportez-vous à la partie VII du chapitre 6 pour plus
d'informations à ce sujet.
Lorsque vous changez de protocole, le nombre figurant dans le champ ‘Port’ change
également. C'est normal, parce que les différents services d'ouverture de session sont
habituellement fournis par la machine serveur sur des ports réseau différents. La plupart des
serveurs utilisent des numéros de ports standard, ce qui fait que vous n'aurez pas à modifier la
valeur affichée dans le champ ‘Port’. Si toutefois votre serveur utilise des numéros de ports
non standards pour les services d'ouverture de session, votre administrateur système doit
normalement vous avoir dit lequel utiliser (par exemple, de nombreux MUDs font tourner le
service Telnet sur un port autre que 23).
Une fois que vous avez rempli les champs ‘Host Name’, ‘Protocol’, et éventuellement ‘Port’,
vous êtes prêts à vous connecter. Cliquez sur le bouton ‘Open’, en bas de la boite de dialogue,
et PuTTY essaiera d'établir la connexion au serveur.
II. Vérification de la clé d'hôte (SSH uniquement)
Si vous n'utilisez pas le protocole SSH, vous pouvez sauter cette partie sans problème.
La première fois que vous utilisez SSH pour vous connecter à un serveur, vous verrez
probablement un message qui ressemble à ceci :
Cela fait partie du fonctionnement normal du protocole SSH, et cela sert à vous protéger d'une
attaque réseau connue sous le nom de spoofing ( duperie ), qui consiste à détourner
secrètement votre tentative de connexion vers un ordinateur autre que celui auquel vous
voulez vous connecter, de façon à ce que le pirate qui est à l'origine de ce détournement
puisse prendre connaissance de votre mot de passe, et s'en servir ensuite pour utiliser la
machine à laquelle vous vouliez vous connecter, en se faisant passer pour vous.
Pour empêcher cela, SSH affecte à chaque serveur un identifiant unique, que l'on appelle une
clé d'hôte. Ces clés sont faites de telle façon qu'il ne soit pas possible pour une machine de se
fabriquer une clé d'hôte correspondant à un autre serveur, et donc de façon à empêcher cette
usurpation d'identité entre machines. Ainsi, si vous essayez de vous connecter à un serveur et
qu'il envoie une clé d'hôte différente de celle que vous attendiez, PuTTY peut vous prévenir
que le serveur distant n'est pas celui que vous pensez, et que vous faites peut-être l'objet d'une
tentative de détournement de connexion.
11

Logiciel d’administration pour IPCOP 1.4.x
PuTTY garde trace, dans la base de registres de Windows, de la clé d'hôte de chaque serveur
auquel vous vous connectez. Chaque fois que vous vous connectez à un serveur, il vérifie que
la clé d'hôte envoyée par le serveur est bien la même que celle qu'il avait envoyée lors de la
connexion précédente. Si ce n'est pas le cas, vous verrez s'afficher un avertissement, et vous
aurez la possibilité d'abandonner la tentative de connexion avant même d'avoir envoyé à la
machine distante quoi que ce soit de confidentiel (votre mot de passe, par exemple).
Cependant, lorsque vous vous connectez à un serveur pour la toute première fois, PuTTY n'a
aucun moyen de savoir si la clé d'hôte envoyée par la machine distante est la bonne, ou pas.
C'est pourquoi il vous affiche l'avertissement ci-dessus, et vous demande si oui ou non, vous
considérez pouvoir faire confiance à cette clé d'hôte.
Cette décision vous appartient. Si vous vous connectez à une machine au sein d'un réseau
d'entreprise, vous pouvez probablement considérer que les autres utilisateurs du réseau sont
dignes de confiance, que les risques de détournement de connexion sont faibles, et choisir de
faire confiance à la clé d'hôte reçue sans la vérifier. Si, au contraire, vous vous connectez à
une machine distante via un réseau non digne de confiance, tel qu'Internet, alors vous devriez
vérifier la clé d'hôte auprès de l'administrateur système de cette machine, par téléphone ou en
personne (certains serveurs modernes ont plus d'une clé d'hôte : si l'administrateur système
vous envoie plusieurs empreintes, vérifiez que celle affichée par PuTTY figure dans la liste,
peu importe laquelle c’est).
III. Ouverture de session
Une fois que la connexion est établie, éventuellement après que la clé d'hôte du serveur ait été
vérifiée, il va vous falloir ouvrir une session, probablement à l'aide d'un nom d'utilisateur et
d'un mot de passe, que l'administrateur système de la machine distante a normalement dû vous
fournir. Tapez le nom d'utilisateur et le mot de passe. Le serveur doit normalement vous
accorder l'accès et vous donner la main. Si vous avez tapé votre mot de passe de travers, la
plupart des serveurs vous permettront plusieurs essais.
Si vous utilisez SSH, attention à ne pas faire d'erreur en tapant votre nom d'utilisateur, parce
que vous ne pourrez plus le modifier après avoir appuyé sur Entrée : nombreux sont les
serveurs SSH qui ne permettent pas de faire plusieurs tentatives d'ouverture de session avec
des noms d'utilisateur différents. Si vous avez fait une erreur en saisissant votre nom
d'utilisateur, vous êtes bon pour fermer PuTTY et recommencer.
Si votre mot de passe est refusé, mais que vous êtes sûr de l'avoir tapé correctement, vérifiez
que vous n'êtes pas en majuscules, parce que de nombreux serveurs, en particulier les
machines Unix, font la différence entre majuscules et minuscules au moment de vérifier le
mot de passe. Résultat, si la touche Verr. Maj. est active, votre mot de passe sera
probablement refusé.
IV. Une fois la session ouverte
Une fois la session ouverte, ce qui se passe ensuite dépend du serveur. La plupart des serveurs
affichent une sorte de message de bienvenue, puis affichent une invite de commandes, à partir
de laquelle vous pouvez taper des commandes que le serveur va exécuter. Certains serveurs
fournissent une aide en ligne, d'autres non. Si vous ne savez pas comment faire ensuite,
demandez à votre administrateur système.
12

V. Fermeture de la session
Logiciel d’administration pour IPCOP 1.4.x
Lorsque vous avez fini ce que vous aviez à faire sur le serveur, il faut vous déloguer en tapant
la commande de fermeture de session. Cette commande varie d'un serveur à l'autre. En cas de
doute, essayez logout ou exit, ou consultez un manuel, ou demandez à un administrateur
système. Lorsque le serveur a pris en compte votre commande de fermeture de session, la
fenêtre PuTTY doit normalement se fermer toute seule.
Vous pouvez fermer une session PuTTY en cliquant sur le bouton de fermeture ( la croix en
haut à droite ), mais cela risque de perturber le serveur, un peu comme si vous raccrochiez
soudainement, en plein milieu d'une conversation téléphonique. Nous vous conseillons de ne
pas le faire, sauf si la session est plantée et que vous ne pouvez pas faire autrement.
13

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 3 : Utilisation de PuTTY
Ce chapitre constitue une introduction générale aux caractéristiques un peu plus avancées de
PuTTY (par rapport à ce que nous avons vu dans le chapitre 2). Si vous recherchez des
informations très détaillées, c'est probablement dans le chapitre 4 que vous les trouverez.
I. Pendant votre session
Une bonne partie de ce qui fait la complexité et la richesse fonctionnelle de PuTTY se trouve
dans les panneaux de configuration (il s'agit ici de la fenêtre qui apparaît quand on lance
PuTTY, avec ses différentes possibilités de réglages, pas du panneau de configuration de
Windows). Une fois que vous vous serez familiarisé avec cela, et que vous aurez lancé une
session, les choses devraient être relativement simples. Néanmoins, il reste encore quelques
fonctionnalités bien utiles qui méritent le coup d'oeil. C'est ce que nous allons voir
maintenant.
I.1. Copier/Coller du texte
Souvent, pendant une session PuTTY, vous verrez à l'écran du texte que vous souhaiterez
réutiliser. Comme la plupart des autres émulateurs de terminaux, PuTTY vous permet de
copier/coller ce texte plutôt que d'avoir à le retaper. Ces opérations de copier/coller utilisent le
presse-papiers de Windows, ce qui vous permet de copier/coller des URL ( par exemple )
depuis votre session PuTTY vers un navigateur Web, ou de copier/coller depuis un traitement
de texte ou un tableur vers une session PuTTY.
Dans PuTTY, le copier/coller fonctionne entièrement à la souris. Pour copier du texte dans le
presse-papiers, il vous suffit de cliquer avec le bouton gauche de la souris dans la fenêtre de
terminal, de garder le bouton enfoncé, et de déplacer la souris pour sélectionner du texte.
Lorsque vous relâchez le bouton gauche, le texte est placé automatiquement dans le pressepapiers.
Il n'y a pas besoin d'appuyer sur CTRL C ou Ctrl-Ins. En fait, si vous appuyez sur
CTRL C, PuTTY va envoyer un caractère CTRL C depuis votre session PuTTY jusqu'au
serveur, ce qui va probablement provoquer l'interruption d'un processus.
Pour coller, il faut utiliser le bouton droit (ou le bouton du milieu, si vous avez une souris
trois boutons et que vous l'avez configurée, cf. section 4.11.2 ). Le fait d'appuyer sur Maj-
Insert, ou de choisir ‘Paste’ dans le menu contextuel auquel on accède en faisant Ctrl + clic
droit, a le même effet. Lorsque vous cliquez avec le bouton droit, PuTTY lit le contenu du
presse-papiers de Windows, quel qu'il soit, et le colle dans votre session, exactement comme
si ça avait été tapé au clavier ( donc attention si vous collez du texte mis en forme dans un
éditeur de texte qui fait de l'indentation automatique : les espaces présents dans le texte que
vous collez vont s'ajouter avec ceux mis par l'éditeur de texte, pour l'indentation automatique,
et semer le bazar dans votre fichier : PuTTY ne peut rien contre cela ).
Si vous faites un double-clic avec le bouton gauche, PuTTY sélectionne un mot entier. Si
vous faites un double-clic, que vous gardez le bouton gauche enfoncé au deuxième clic, et que
vous déplacez la souris, PuTTY sélectionne un ensemble de mots entiers ( vous pouvez
configurer précisément ce que PuTTY considère comme faisant partie d'un mot :
cf. section 4.11.5 ). Si vous faites un triple clic, ou un triple clic suivi d'un déplacement de la
souris avec le bouton gauche enfoncé, alors PuTTY sélectionne une ligne entière ou un
ensemble de lignes.
14

Logiciel d’administration pour IPCOP 1.4.x
Si vous voulez sélectionner une zone rectangulaire plutôt que d'avoir une sélection qui s'étend
jusqu'au bout de chaque ligne, il faut tenir la touche Alt enfoncée lorsque vous sélectionnez
(vous pouvez aussi configurer PuTTY pour que les sélections soient rectangulaires par défaut,
et qu'il faille maintenir la touche Alt enfoncée pour obtenir le mode de fonctionnement
normal : pour plus d'infos à ce sujet, voir la section 4.11.4).
Si vous avez une souris à trois boutons, vous pouvez utiliser le bouton du milieu pour ajuster
une sélection existante, si ce que vous avez sélectionné n'est pas exactement ce que vous
vouliez (si vous avez configuré PuTTY pour coller avec le bouton du milieu, alors c'est le
bouton droit qui sert à faire ces ajustements de sélection). Cliquez à l'écran (avec le bouton du
milieu, ou avec le bouton droit, donc) : cela vous permet de prendre l'extrémité de la sélection
qui est la plus proche de là où vous cliquez, et de la glisser/déposer ailleurs.
Il est possible que le serveur demande à gérer les clics de souris jusque dans la fenêtre de
PuTTY elle-même. Si cela se produit, le pointeur de la souris prend la forme d'une flèche, et
les copier/coller à la souris ne fonctionnent que si l'on appuie sur la touche Maj (veuillez vous
reporter aux sections 4.6.2 et 4.11.3 pour plus d'informations sur cette fonctionnalité et sur la
manière de la configurer).
I.2. Navigation dans l’historique de la session
PuTTY garde trace du texte qui a disparu du haut de l'écran : si quelque chose apparaît à
l'écran, et que ça défile trop vite pour que vous ayez le temps de le lire, vous pouvez utiliser la
barre de défilement (l’ascenseur) à droite de la fenêtre pour revenir en arrière dans l'historique
de la session et retrouver ce que vous cherchez.
En plus de cette barre de défilement, vous pouvez aussi utiliser les combinaisons de touches
Maj Page préc. et Maj-Page suiv. pour monter et descendre d'une page à la fois dans
l'historique de la session. Et vous pouvez faire défiler ligne par ligne avec les touches Ctrl-
Page préc. et Ctrl-Page suiv. Ces combinaisons de touches fonctionnent même si la barre de
défilement n'est pas visible à l'écran.
Par défaut, ce sont 200 lignes qui sont ainsi gardées en mémoire dans l'historique de la
session. Vous pouvez augmenter (ou diminuer) cette valeur dans les options de configuration
(cf. section 4.7.3).
I.3. Le menu système
Si vous cliquez avec le bouton gauche sur l'icône en haut à gauche de la fenêtre de terminal de
PuTTY ( pas la toute première qui apparaît quand vous lancez PuTTY, celle qui apparaît une
fois la connexion établie, dans laquelle le texte apparaît par défaut en blanc sur fond noir ), ou
si vous faites un clic droit sur la barre de titre, cela fait apparaître le menu système standard de
Windows, avec les commandes habituelles pour réduire la fenêtre en icône, pour la déplacer,
la redimensionner ou la fermer.
Le menu système de PuTTY contient quelques commandes supplémentaires, en plus des
commandes standard Windows que nous venons de mentionner. Elles sont décrites en détail
ci-dessous. Ces commandes sont également accessibles via un menu contextuel que vous
pouvez faire apparaître en tenant la touche Ctrl enfoncée et en faisant un clic droit n'importe
où dans la fenêtre de PuTTY.
15

Logiciel d’administration pour IPCOP 1.4.x
I.3.1 Le journal d’événement de PuTTY
Si vous sélectionnez ‘Event Log’ dans le menu système, une petite fenêtre apparaît, dans
laquelle PuTTY consigne les événements importants survenus au cours de la connexion. La
majeure partie de ces événements se produit au lancement de la session, mais quelques uns
peuvent avoir lieu à tout moment, et un ou deux surviennent à la toute fin de la session.
Vous pouvez utiliser la souris pour sélectionner une ou plusieurs lignes dans le journal
d'événements, puis cliquer sur le bouton 'Copy' pour les placer dans le presse-papiers. Quand
vous signalez un bug, il est souvent utile de copier/coller le contenu du journal d'événements
dans votre rapport de bug.
I.3.2 Commandes Spéciales
Selon le protocole utilisé pour la session en cours, il peut y avoir un sous-menu ‘Special
commands’, avec des signaux particuliers, spécifiques au protocole, tels que le signal ‘break’,
qui peuvent être envoyés au serveur, en plus des données normales. Leur effet précis dépend
généralement du serveur. Dans l'état actuel des choses, seuls Telnet, SSH et les connexions
série disposent de commandes spéciales.
Le signal ‘break’ peut également être émis depuis le clavier, avec la combinaison de touches
Ctrl-Break.
Les commandes spéciales suivantes sont disponibles en Telnet :
• Are You There (êtes-vous là ?)
• Break (interruption)
• Synch (synchronisation)
• Erase Character (effacer caractère) :
PuTTY peut être configuré pour envoyer un 'Erase Character' lorsqu'on appuie sur la
touche 'Retour arrière' du clavier ( cf. section 4.16.3 ).
• Erase Line (effacer ligne)
• Go Ahead (continuer)
• No Operation (rien, pas d’opération) : n'a normalement aucun effet.
• Abort Process (terminer processus)
• Abort Output (interrompre sortie)
• Interrupt Process (interrompre processus) :
PuTTY peut être configuré pour envoyer un 'Interrupt Process' lorsqu'on appuie sur
Ctrl-C (cf. section 4.16.3).
• Suspend Process (suspendre processus) :
PuTTY peut être configuré pour envoyer un 'Suspend Process' lorsqu'on appuie sur
Ctrl-Z (cf. section 4.16.3).
• End Of Record (fin d’enregistrement)
• End Of File (fin de fichier)
Pendant une connexion SSH, les commandes spéciales suivantes sont disponibles :
• IGNORE message : n'a normalement aucun effet.
16

Logiciel d’administration pour IPCOP 1.4.x
• Repeat Key Exchange (recommencer l'échange de clés) :
Disponible uniquement dans SSH-2. Force les deux machines en présence à procéder
immédiatement à un nouvel échange de clefs (et réinitialise les timers et les compteurs
correspondants). Pour plus d'informations sur la répétition d'échanges de clefs,
veuillez vous reporter à la section 4.19.2.
• Break (interruption) :
Disponible uniquement dans SSH-2, et uniquement au cours d'une session. Extension
optionnelle, qui peut ne pas être supportée par le serveur. PuTTY demande au serveur
sa longueur par défaut pour le signal break.
• Signaux (SIGINT, SIGTERM, etc.)
Disponible uniquement dans SSH-2, et uniquement au cours d'une session. Envoie
divers signaux POSIX. Non reconnu par tous les serveurs.
Avec une connexion série, la seule commande spéciale disponible est ‘break’.
I.3.3 Démarrage d’une nouvelle session
Le menu système de PuTTY fournit différents raccourcis pour démarrer de nouvelles
sessions :
• ‘New Session’ démarre une nouvelle instance de PuTTY, et affiche la boîte de
dialogue de configuration habituelle (cf. copie d'écran ).
• ‘Duplicate Session’ démarre une session dans une nouvelle fenêtre, avec exactement
les mêmes réglages que la session courante (connexion au même serveur, avec le
même protocole, les mêmes réglages, etc.).
• Utilisée dans une fenêtre inactive, la commande ‘Restart Session’ fait pareil que
‘Duplicate Session’, mais dans la fenêtre courante.
• Le sous-menu ‘Saved Sessions’ vous permet d'accéder rapidement à aux ensembles de
réglages de session sauvegardés auparavant (cf. section 4.1.2 pour des explications
détaillées sur la façon de sauvegarder des réglages de session).
I.3.4 Modification de vos réglages de session
La commande ‘Change Settings’, dans le menu système, fait apparaître une version allégée
de sa boîte de dialogue de configuration. Cela vous permet d'ajuster la plupart des propriétés
de la session en cours. Vous pouvez changer la taille du terminal, la police de caractères, les
actions associées à différentes combinaisons de touches, les couleurs, et ainsi de suite.
Certaines options disponibles dans la boîte de dialogue de configuration principale
n'apparaissent pas dans la version allégée. Il s'agit généralement de réglages qu'il n'y a pas
lieu de changer en cours de session (par exemple, cela n'a pas de sens de basculer de SSH à
Telnet en plein milieu d'une session).
Vous pouvez sauvegarder les réglages de la session courante, en vue d'un usage futur, à partir
de cette boîte de dialogue. Pour plus d'informations sur les sessions sauvegardées, veuillez
vous reporter à la section 4.1.2.
17

Logiciel d’administration pour IPCOP 1.4.x
I.3.5 Tout copier dans le presse papier
Cette commande du menu système fournit un moyen commode pour copier la totalité de
l'écran du terminal (jusqu’à la dernière ligne non vide) et la totalité de l'historique, dans le
presse-papiers, d'un seul coup.
I.3.6 Effacement et réinitialisation du terminal
La commande ‘Clear Scrollback’ du menu système demande à PuTTY d'effacer les lignes de
texte qui avaient été gardées en mémoire bien qu'elles aient disparu de l'écran. Cela peut
s'avérer utile, par exemple, quand vous avez consulté des informations confidentielles, et que
vous voulez vous assurer que personne ne pourra les lire en regardant par dessus votre épaule
(attention, toutefois : cela empêche l'utilisateur lambda de consulter ces informations en
remontant en arrière avec la barre de défilement, mais cela ne garantit pas que le texte en
question a effectivement été effacé de la mémoire utilisée par PuTTY).
La commande ‘Reset Terminal’ provoque une réinitialisation complète de l'émulateur de
terminal. Un émulateur de terminal de type VT est un logiciel complexe, qui peut facilement
se retrouver dans un état bancal, avec l'écran rempli de « hiéroglyphes » ( par exemple si vous
demandez accidentellement l'affichage à l'écran d'un fichier binaire ). Dans ce cas, recourir à
la commande Reset Terminal permet normalement de remettre les choses en ordre.
I.3.7 Mode plein écran
Si vous trouvez que la barre de titre d'une fenêtre agrandie au maximum est moche, ou si sa
présence à l'écran vous déplaît, vous pouvez choisir le mode Full Screen (plein écran) pour
agrandir encore plus la fenêtre de PuTTY. Lorsque vous choisissez ce mode, PuTTY prend
tout l'écran, et les bordures de la fenêtre, la barre de titre et la barre de défilement
disparaissent (vous pouvez toutefois configurer PuTTY pour que la barre de défilement reste
visible en mode plein écran : voir à ce sujet la section 4.7.3).
Lorsque vous êtes en mode plein écran, vous pouvez toujours accéder au menu système : il
vous suffit pour cela de cliquer avec le bouton gauche tout en haut à gauche de l'écran.
N.d.T. : vous pouvez basculer du mode normal au mode plein écran et inversement en
appuyant sur Alt-Entrée. C'est plus rapide que de faire afficher le menu système et de choisir
le mode Full Screen.
II. Création d’un fichier journal de votre session
Dans certains cas, il se peut que vous souhaitiez conserver la trace de tout ce qui s'affiche sur
votre écran. Pour cela, rendez vous dans le panneau ‘Logging’ (journalisation) de la boîte de
dialogue de configuration.
Pour lancer l'enregistrement des traces de la session courante dans un journal de session,
cliquez sur ‘Change Settings’, dans le menu système, et allez dans le panneau Logging.
Choisissez un nom de fichier journal, et un mode d'enregistrement des traces (vous pouvez au
choix garder trace de tout le trafic échangé entre PuTTY et le serveur, y compris les
séquences de caractères de contrôle, ou seulement du texte imprimable, selon l'usage que vous
prévoyez de faire de ces traces). Cliquez sur ‘Apply’ et l'enregistrement des traces démarre
immédiatement. Par la suite, vous pouvez revenir dans le panneau Logging et sélectionner
‘Logging turned off completely’ pour arrêter l'enregistrement. Lorsque vous faites cela,
PuTTY referme le fichier journal, et vous pouvez alors le lire à votre guise.
18

Logiciel d’administration pour IPCOP 1.4.x
Pour plus de détails et d'options, veuillez vous reporter à la section 4.2.
III. Modification de la configuration de votre jeu de caractère
Si vous constatez que les caractères spéciaux, tels que les lettres accentuées, par exemple, ou
les caractères semi graphiques, ne s'affichent pas correctement dans votre session PuTTY,
c'est peut-être que PuTTY interprète les caractères envoyés par le serveur en se basant sur un
jeu de caractères incorrect. Il existe un grand nombre de jeux de caractères différents, donc
c'est quelque chose de tout à fait possible.
Si vous cliquez sur ‘Change Settings’ et que vous allez dans le panneau ‘Translation’ (1) ,
vous devriez y voir un grand nombre de jeux de caractères, parmi lesquels vous pouvez
choisir, ainsi que d'autres options s'y rattachant. À partir de là, tout ce dont vous avez besoin,
c'est de savoir lequel choisir (veuillez vous reporter à la section 4.10 pour plus
d’informations).
NdT n°1 : attention, en anglais, 'translation' veut dire 'traduction' (rien à voir avec le mot
français 'translation', qui est synonyme de déplacement).
IV. Chiffrement du traffic X11 (« X11 Fowardind » dans SSH)
Le protocole SSH sait faire transiter le trafic réseau issu des applications X Window par votre
connexion SSH, en le chiffrant. De ce fait, vous pouvez faire tourner une application X sur le
serveur auquel vous êtes connecté en SSH, et faire en sorte qu'il envoie ses affichages sur
votre machine à vous, sans qu'aucun trafic X ne transite en clair sur le réseau.
Pour cela, il vous faut un serveur X sur votre machine Windows, tel que Cygwin/X, X-Win32,
ou Exceed. Ce serveur X va vraisemblablement s'auto configurer en tant qu'affichage numéro
0 sur votre machine. Si ce n'est pas le cas, donc s'il utilise un autre numéro, vous devriez
trouver lequel dans la documentation du serveur X.
Une fois le serveur X installé et démarré sur votre machine, il faut que vous cochiez la case
‘Enable X11 forwarding’, dans le panneau Tunnels ( cf. section 4.22 ) avant de vous
connecter en SSH au serveur distant. La zone de texte ‘X display location’ est vide par
défaut, ce qui signifie que PuTTY va essayer de trouver lui-même la valeur appropriée ( :0
par défaut : c'est la valeur la plus courante). S'il y a besoin de changer cette valeur, changezla.
Maintenant, vous devriez être en mesure de vous connecter au serveur SSH normalement.
Pour vérifier que le chiffrement du trafic X11 a été négocié avec succès lors de l'établissement
de la connexion, vous pouvez regarder dans le journal d'événements de PuTTY (voir section
3.1.3.1). Vous devriez y trouver quelque chose dans ce genre :
Si la machine distante est une machine Unix, ou assimilée, vous devriez également pouvoir
remarquer que la variable d'environnement DISPLAY a été modifiée, et qu'elle pointe
maintenant le display 10, ou plus, sur le serveur SSH ( le display par défaut est le 0 ) :
19

Logiciel d’administration pour IPCOP 1.4.x
Si cela fonctionne, alors vous devez normalement pouvoir lancer des applications X via la
connexion SSH, et voir leurs fenêtres s'afficher sur l'écran de votre PC.
Veuillez noter que si le serveur X de votre PC exige une authentification pour se connecter,
alors c'est raté : pour l'instant, PuTTY ne sait pas encore gérer cela. Si c'est un problème pour
vous, alors vous devriez envoyer un mail aux auteurs de PuTTY et leur expliquer en détail ce
qui vous arrive (cf. annexe B).
Si vous avez besoin d'informations plus détaillées sur le chiffrement du trafic X11, veuillez
vous reporter à la section 4.22.
V. Transfert de ports (« port forwarding ») dans SSH)
Le protocole SSH sait rediriger des connexions réseau arbitraires via une connexion SSH
cryptée, ce qui évite que les informations ne circule en clair. Par exemple, vous pourriez
utiliser cela pour vous connecter, depuis chez vous, à un serveur POP-3 situé sur une machine
distante, sans que votre mot de passe de messagerie ne puisse être intercepté à l'aide d'un
sniffer réseau.
Pour faire du transfert de ports afin de vous connecter depuis votre machine locale à un port
sur un serveur distant, il vous faut :
• d'abord, choisir un numéro de port local, sur votre machine à vous, sur lequel PuTTY
doit se mettre à l'écoute des connexions entrantes. Il y a probablement plein de
numéros de port disponibles au-delà de 3000 (vous pouvez aussi utiliser une adresse
de loopback (2) , voir ci-dessous pour plus de détails).
• ensuite, avant de vous connecter en SSH à la machine distante, allez dans le panneau
Tunnels (cf. section 4.23). Assurez-vous que le bouton radio Local est bien
sélectionné. Tapez le numéro de port local dans la case Source port. Tapez le nom
d'hôte et le numéro de port à utiliser sur la machine distante dans la case Destination,
en les séparant par un deux-points (exemple : popserver.exemple.com:110 pour
vous connecter à un serveur POP-3).
• maintenant, cliquez sur Add. Votre nouveau transfert de port apparaît dans la liste,
juste au dessus.
Une fois que c'est fait, vous pouvez vous connecter et vous loguer (le transfert de port ne sera
activé qu'une fois que vous serez logué, parce que sans cela, il serait facile de lancer des
attaques réseau complètement anonymes, et d'accéder à tout réseau privé virtuel, ce qui n'est
évidemment pas une bonne chose). Pour vérifier que PuTTY a correctement mis en place le
transfert de port, vous pouvez jeter un coup d'oeil au journal d'événements de PuTTY (voir
section 3.1.3.1). Vous devriez y trouver quelque chose dans ce genre :
NdT n°2 : normalement, il aurait fallu traduire « loopback » par « bouclage », mais le terme
anglais est passé dans l'usage (désolé pour les puristes).
Maintenant, si vous vous connectez au numéro du port source sur votre PC local, vous devriez
constater qu'il vous répond exactement comme s'il s'agissait du service qui s'exécute sur la
20

Logiciel d’administration pour IPCOP 1.4.x
machine de destination. Donc, dans cet exemple, vous pourriez maintenant configurer un
client de messagerie de façon à ce qu'il utilise le port localhost:3110 comme serveur POP-3
au lieu de popserver.exemple.com:110 (bien entendu, la redirection prendra fin à la
fermeture de votre session PuTTY).
Vous pouvez également rediriger des ports dans l'autre sens, c'est à dire faire en sorte qu'un
numéro de port particulier de la machine serveur soit transféré vers votre PC comme s'il
s'agissait d'une connexion de la machine distante à un service tournant sur votre PC. Pour
faire cela, il vous suffit de sélectionner le bouton radio ‘Remote’ plutôt que ‘Local’. Le
champ ‘Source port’ indiquera alors un numéro de port sur la machine serveur (N.B. : sur la
plupart des serveurs, vous ne pourrez pas utiliser des numéros de port inférieurs à 1024).
Une autre façon de transférer des connexions locales vers des machines distantes consiste à
utiliser un proxy SOCKS dynamique. Pour cela, il vous faudra choisir le bouton radio
‘Dynamic’ au lieu du bouton radio ‘Local’, et ne rien mettre dans le champ ‘Destination’ ( si
vous mettiez quelque chose, ce serait ignoré ). Suite à cela, PuTTY va écouter sur le port que
vous aurez indiqué, et se comportera comme un proxy SOCKS vis à vis de tout programme
qui se connecte à ce port. Donc cela vous permet en particulier de rediriger d'autres
connexions PuTTY au travers de ce proxy, moyennant quelques réglages dans le panneau
Proxy (veuillez vous reporter à la section 4.15 pour plus d’informations).
Le port source d'une connexion transférée n'accepte généralement pas de connexions
entrantes, excepté du client SSH, ou du serveur SSH lui-même ( pour les transferts locaux et
distants, respectivement ). Il y a moyen de changer cela dans le panneau Tunnels :
• L'option ‘Local ports accept connections from other hosts’ vous permet de
configurer des transferts d'un port local vers un port distant ( y compris des transferts
de ports dynamiques ) de telle façon que des machines autres que votre PC client
puissent se connecter au port transféré.
• L'option ‘Remote ports do the same’ fait de même pour les transferts de ports
distants vers des ports locaux (si bien que des machines autres que la machine serveur
SSH peuvent se connecter au port transféré). Notez que cette fonctionnalité n'est
disponible que dans la version 2 du protocole SSH, et que tous les serveurs SSH-2 ne
l'acceptent pas ( dans OpenSSH, par exemple, cette possibilité est généralement
désactivée par défaut ).
Vous pouvez aussi indiquer une adresse IP à écouter. Typiquement, on peut demander à une
machine Windows d'écouter sur n'importe quelle adresse IP unique dans la plage 127.*.*.*,
ce qui correspond tout à des adresses loopback, accessibles uniquement à la machine locale.
Donc, si vous redirigez, disons, 127.0.0.5:79 vers le port finger d'une machine distante,
alors vous devriez pouvoir passer des commandes telles que finger fred@127.0.0.5. Ceci
peut être utile si le programme qui se connecte au port transféré ne vous permet pas de
changer le numéro de port qu'il utilise. Cette fonctionnalité est disponible pour les transferts
de ports locaux vers des ports distants. SSH-1 ne sait pas le gérer pour les transferts de ports
distants vers des ports locaux. SSH-2, lui, sait le faire en théorie, mais les serveurs ne se
montrent pas toujours tous coopératifs.
( N.B. : si vous êtes sous Windows XP Service Pack 2, il se peut que vous ayez besoin
d'appliquer un correctif Microsoft pour pouvoir utiliser des adresses IP telles que 127.0.0.5 -
voir la question A.7.20 )
21

Logiciel d’administration pour IPCOP 1.4.x
VI.Etablissement de connexions TCP brute
De nombreux protocoles Internet utilisent des commandes et des réponses en texte simple. Par
exemple, SMTP ( le protocole qui sert à acheminer le courrier électronique ), NNTP ( qui sert
à véhiculer les news Usenet ), et HTTP ( qui sert aux échanges entre les navigateurs et les
serveurs Web ), tous sont basés sur des commandes en texte brut, parfaitement lisibles.
Certaines fois, il peut être utile de se connecter directement à l'un de ces services et de
« parler » le protocole directement, en tapant des commandes de ce protocole au clavier et en
regardant les réponses. Sur les machines Unix, vous pouvez faire cela en utilisant la
commande Telnet pour vous connecter au numéro de port adéquat. Par exemple, si vous
tapez telnet mailserver.exemple.com 25, vous pourrez parler directement au service
SMTP qui tourne sur le serveur de messagerie.
Bien que la commande Unix telnet permette de faire cela, le protocole réellement utilisé
n'est pas Telnet. En fait, ici, il n'y a pas de protocole à proprement parler. Les octets envoyés
via la connexion sont exactement ceux que vous tapez au clavier, et les octets qui apparaissent
à l'écran sont exactement ceux renvoyés par le serveur. La commande telnet d'Unix essaye
de détecter ou de deviner si le service auquel elle s'adresse est un vrai service Telnet ou pas.
PuTTY, lui, préfère qu'on le lui indique clairement.
Pour établir une connexion TCP brute à un service comme celui-ci, il vous suffit de
sélectionner le quatrième nom de protocole, ‘Raw’, parmi les boutons ‘Protocol’ dans le
panneau de configuration ‘Session’ ( cf. section 4.1.1 ). Vous pouvez alors taper un nom
d'hôte et un numéro de port, et établir la connexion.
VII. Connexion par port série local
PuTTY peut se connecter directement à un port série, à défaut de connexion réseau. Dans ce
mode de fonctionnement, le texte tapé au clavier dans la fenêtre de PuTTY est envoyé tel quel
par le port série de votre ordinateur, et les données reçues par ce port sont affichées telles
quelles dans la fenêtre PuTTY. Ce mode de fonctionnement peut s'avérer utile, par exemple,
pour vous connecter à un ordinateur qui est relié au vôtre par le port série (avec un câble null
modem).
Pour établir une connexion de ce type, il vous suffit de choisir ‘Serial’ parmi les boutons
radio ‘Connection type’ dans le panneau de configuration ‘Session’ (cf. section 4.1.1). Les
champs ‘Host Name’ et ‘Port’ vont être remplacés par des champs ‘Serial line’ et ‘Speed’,
pour vous permettre de choisir le port série à utiliser ( si votre machine en a plus d'un ) et à
quelle vitesse ( en bauds ) il faut transférer les données. Pour plus d'options de configuration
(bits de données, bits de stop, parité, contrôle de flux), allez voir dans le panneau de
configuration ‘Serial’ (cf. section 4.25).
Une fois que vous aurez démarré PuTTY en mode série, il se peut que vous ayez à faire le
premier pas, en envoyant quelque chose dans le « tuyau » pour signaler à la machine située à
l'autre extrémité que quelqu'un veut lui parler. Cela dépend probablement de la machine : si
vous démarrez une session PuTTY en mode série et que rien n'apparaît à l'écran, essayez
d'appuyez deux ou trois fois sur la touche Entrée pour voir si cela fait quelque chose.
Dans une liaison série, il n'y a pas de façon clairement définie de signaler à la machine située
à l'autre extrémité que la connexion est terminée. C'est pourquoi quand vous êtes connecté à
une machine par le port série, PuTTY reste connecté jusqu'à ce que vous fermiez la fenêtre en
cliquant sur le bouton de fermeture, en haut à droite, ou en faisant Alt-F4.
22

Logiciel d’administration pour IPCOP 1.4.x
VIII. Utilisation de PuTTY en ligne de commande
PuTTY sait faire tout un tas de choses sans intervention de l'utilisateur si on lui passe des
arguments en ligne de commande (dans une fenêtre invite de commandes, par exemple, ou au
moyen d'un raccourci Windows).
VIII.1 Lancement d’une session en ligne de commande
Les options suivantes vous permettent de lancer PuTTY sans afficher la boîte de dialogue
initiale, et de démarrer directement une session.
Pour se connecter à un serveur nommé nom_serveur, il suffit de taper :
Quand on lance PuTTY comme cela, les options de configuration prises en compte sont celles
définies dans Default Settings (c’est à dire les réglages par défaut, cf. section 4.1.2). Le nom
d'utilisateur nom_utilisateur indiqué en ligne de commande, si vous en tapez un, a priorité
sur celui éventuellement indiqué dans les réglages par défaut. De même, vous pouvez
spécifier un protocole, qui prendra le pas sur le protocole par défaut (voir à ce sujet la section
3.8.3.2).
Pour les sessions Telnet, vous pouvez aussi utiliser la syntaxe suivante ( qui permet d'utiliser
PuTTY pour ouvrir les URL telnet:// dans les navigateurs Web ) :
Pour lancer une session existante qui s'appelle nom_session, utilisez l'option -load (décrite
dans la section 3.8.3.1)
VIII.2 –cleanup
Quand on le lance avec l'option -cleanup, au lieu de démarrer normalement, PuTTY efface
ses entrées dans la base de registres et supprime son fichier de « graine » pour le générateur
de nombres aléatoires (après confirmation de l’utilisateur).
Veuillez noter que sur les systèmes Multi-Utilisateurs, l'option -cleanup n'efface que les
entrées de base de registre et les fichiers correspondant à l'utilisateur qui est actuellement
logué.
23

Logiciel d’administration pour IPCOP 1.4.x
VIII.3 Options standard de la ligne de commande
PuTTY et les outils associés acceptent un grand nombre d'options en ligne de commande, qui
sont identiques d'un outil à l'autre, par souci de cohérence. Cette section énumère les options
disponibles dans tous les outils. Celles qui sont spécifiques à tel ou tel outil sont décrites dans
la partie consacrée à cet outil.
VIII.3.1 – load : charge une session sauvegardée
L'option -load demande à PuTTY de charger les paramètres de configuration d'une session
sauvegardée. Si un nom d'hôte figure dans ces paramètres, alors cette option est tout ce dont
vous avez besoin pour démarrer une session PuTTY.
Attention de bien mettre le nom de session entre doubles quotes s'il contient des espaces.
Si vous souhaitez créer un raccourci Windows pour lancer une session PuTTY sauvegardée,
c'est l'option qu'il vous faut. Votre raccourci devra appeler quelque chose du genre :
N.B. PuTTY lui-même accepte une autre forme de cette option, par souci de compatibilité
ascendante. Si vous lancez putty @nom_session, cela aura le même effet que de faire putty
-load "nom_session". Avec la variante @, les doubles quotes ne sont plus nécessaires, et le
caractère '@' doit se trouver juste après le nom putty sur la ligne de commande (avec un
espace entre les deux, quand même...). Cette variante de l'option -load est obsolète.
VIII.3.2 Choix du protocole : -ssh, -telnet, -rlogin, -raw
Pour choisir avec quel protocole vous voulez vous connecter, vous pouvez utilisez l'une de
ces options :
• -ssh sélectionne le protocole SSH
• -telnet sélectionne le protocole Telnet
• -rlogin sélectionne le protocole Rlogin
• -raw sélectionne le protocole 'raw'
Ces options ne sont pas utilisables avec les outils de transfert de fichiers PSCP et PSFTP (qui
ne fonctionnent qu'avec le protocole SSH).
Ces options en ligne de commande sont équivalentes aux boutons radio de sélection du
protocole dans le panneau Session de la boîte de dialogue de configuration de PuTTY (cf.
section 4.1.1).
VIII.3.3 –v : augmente la verbosité
La plupart des outils PuTTY peuvent vous en dire plus sur leur fonctionnement qu'ils ne le
font par défaut si vous les lancez avec l'option -v. Si vous rencontrez des problèmes lorsque
vous essayez d'établir une connexion, ou simplement si vous êtes curieux, vous pouvez
activer cette option. Peut-être trouverez-vous ainsi la réponse aux questions que vous vous
posez.
24

Logiciel d’administration pour IPCOP 1.4.x
VIII.3.4 –l : indique le nom d’utilisateur
Vous pouvez indiquer le nom d'utilisateur sous lequel vous souhaitez vous connecter sur la
machine distante avec l'option -l. Par exemple, plink machine.exemple.com -l fred.
Cette option -l en ligne de commande revient à indiquer un nom d'utilisateur dans le champ
Auto-login username dans le panneau Connection de la boîte de dialogue de configuration
de PuTTY (cf. section 4.14.1).
VIII.3.5 –L, -R et –D configuration des transferts de ports
Tout comme vous pouvez configurer des transferts de ports dans la boîte de dialogue de
configuration de PuTTY ( cf. section 4.23 ), vous pouvez aussi en configurer à partir de la
ligne de commande. Les options de ligne de commande pour ce faire fonctionnent de la même
manière que celles des programmes ssh sous Unix.
Pour rediriger un port local (le 5110, par exemple) vers une machine distante (mettons
popserver.exemple.com, port 110), vous pouvez écrire quelque chose dans ce genre :
Ou alors :
À l'inverse, pour rediriger un port distant vers une destination locale, il suffit d'utiliser l'option
-R au lieu de l'option -L :
Ou :
Pour indiquer une adresse IP correspondant à l'extrémité entrante du tunnel, il faut l'ajouter
avant le nom de machine, dans les arguments :
Pour mettre en place un transfert de port dynamique basé sur SOCKS sur un port local,
utilisez l'option -D. Pour celle-ci, vous n'avez qu'à indiquer le numéro de port :
Pour des informations générales sur le transfert de ports, veuillez vous reporter à la section
3.5.Ces options ne sont pas disponibles dans les outils de transfert de fichiers PSCP et PSFTP.
25

Logiciel d’administration pour IPCOP 1.4.x
VIII.3.6 –m lire dans un fichier une commande ou un script à lancer sur
une machine distante
L'option -m sert à la même chose que le champ ‘Remote command’ dans le panneau SSH de
la boîte de dialogue de configuration de PuTTY (cf. section 4.18.1). À la différence près que
l'option -m attend le nom d'un fichier local, et qu'elle lira la commande (ou le script) dans ce
fichier.
Avec certains serveurs ( en particulier les systèmes Unix ), vous pouvez même mettre
plusieurs lignes dans ce fichier et exécuter plusieurs commandes les unes après les autres, ou
un script Shell complet, mais cela va au delà du fonctionnement normal, et il ne faut pas
s'étonner si ça ne marche pas sur tous les serveurs. En particulier, il est de notoriété publique
que cela ne fonctionne pas avec certains systèmes embarqués, comme les routeurs Cisco.
Ces options ne sont pas disponibles dans les outils de transfert de fichiers PSCP et PSFTP.
VIII.3.7 –p : indique le numéro de port
L'option -P sert à indiquer à quel numéro de port il faut se connecter. Si vous avez un serveur
Telnet qui écoute sur le port 9696 d'une machine au lieu d'écouter sur le port 23, par exemple,
tapez :
putty -telnet -P 9696 nom_machine
Ou alors :
plink -telnet -P 9696 nom_machine
N.B. : cette option est plus utile avec Plink qu'avec PuTTY, parce qu'avec PuTTY, vous
pouvez toujours taper putty -telnet nom_machine 9696.
Cette option équivaut au champ ‘Port’ dans le panneau Session de la boîte de dialogue de
configuration de PuTTY (cf. section 4.1.1).
VIII.3.8 –pw : indique un mot de passe
Une façon simple d'automatiser l'ouverture d'une session sur une machine distante consiste à
mettre votre mot de passe dans la ligne de commande. Cette façon de faire n'est pas
recommandée pour des raisons de sécurité. Si vous en avez la possibilité, nous vous
conseillons plutôt de mettre en place une authentification par clé publique ( veuillez vous
reporter au chapitre 8 pour voir en détail comment procéder ).
N.B. : l'option -pw ne fonctionne que quand vous utilisez le protocole SSH. En raison de
limitations inhérentes à Telnet et Rlogin, ces protocoles n'acceptent pas l'authentification
automatisée par mot de passe.
26

Logiciel d’administration pour IPCOP 1.4.x
VIII.3.9 –agent et –noagent : contrôler l’utilisation de Pageant pour
l’authentification
L'option -agent active l'authentification SSH par Pageant, et l'option -noagent la désactive.
Ces options n'ont de sens que si vous utilisez SSH.
Veuillez vous reporter au chapitre 9 pour des informations générales au sujet de Pageant.
Ces options équivalent à la case à cocher ‘Attempt authentication using Pageant’ dans le
panneau Auth de la boîte de dialogue de configuration PuTTY (cf. section 4.20.2).
VIII.3.10 –A et –a : contrôler le transfert d’agent
L'option -A active le transfert d'agent SSH, et -a le désactive. Ces options n'ont de sens que si
vous utilisez SSH.
Veuillez vous reporter au chapitre 9 pours des informations générales au sujet de Pageant, et
plus particulièrement à la section 9.4 en ce qui concerne le transfert d'agent. Notez qu'il y a un
risque à faire cela, question sécurité (veuillez vous reporter à la section 9.5 pour plus
d’informations).
Ces options équivalent à la case à cocher ‘Allow agent forwarding’ dans le panneau Auth de
la boîte de dialogue de configuration PuTTY (cf. section 4.20.5).
Ces options ne sont pas disponibles dans les outils de transfert de fichiers PSCP et PSFTP.
VIII.3.11 –X et –x contrôle du chiffrement du traffic X11
L'option -X active le chiffrement du trafic X11 dans SSH ( le ‘X11 forwarding’, comme on dit
en bon français ), et -x le désactive. Ces options n'ont de sens que si vous utilisez SSH.
Pour plus d'informations sur le chiffrement du trafic X11, veuillez vous reporter à la
section 3.4.
Ces options équivalent à la case à cocher ‘Enable X11 forwarding’ dans le panneau X11 de
la boîte de dialogue de configuration PuTTY (cf. section 4.22).
Ces options ne sont pas disponibles dans les outils de transfert de fichiers PSCP et PSFTP.
VIII.3.12 –t et –T : contrôler l’affectation de pseudo terminal
L'option -t fait en sorte que PuTTY essaye d'allouer un pseudo terminal au serveur, et
l'option -T fait en sorte qu'il arrête cette allocation. Ces options n'ont de sens que si vous
utilisez SSH.
Ces options équivalent à la case à cocher ‘Don't allocate a pseudo terminal’ dans le panneau
SSH de la boîte de dialogue de configuration PuTTY (cf. section 4.21.1).
Ces options ne sont pas disponibles dans les outils de transfert de fichiers PSCP et PSFTP.
27

Logiciel d’administration pour IPCOP 1.4.x
VIII.3.13 –N supprimer le lancement d’une invite de commande ou
d’une commande
L'option -N empêche PuTTY d'essayer de démarrer une invite de commandes ou une
commande sur la machine distante. Cela peut vous être utile si vous n'utilisez une connexion
SSH que pour faire du transfert de ports, ou si votre compte utilisateur sur la machine distante
n'a pas la possibilité de lancer une invite de commandes.
Cette fonctionnalité n'est disponible que dans la version 2 du protocole SSH ( la version 1
considère que vous voulez toujours obtenir une invite de commandes sur la machine
distante ).
Cette option a le même effet que la case à cocher ‘Don't start a Shell or command at all’
dans le panneau SSH de la boîte de dialogue de configuration de PuTTY (cf. section 4.18.2).
Cette option n'est pas disponible dans les outils de transfert de fichiers PSCP et PSFTP.
VIII.3.14 –nc établir une connexion réseau distante plutôt que de lancer
une invite de commandes ou commandes
L'option -nc empêche Plink (ou PuTTY) d'essayer de lancer une invite de commandes ou une
commande sur la machine distante. Au lieu de cela, Plink ou PuTTY vont demander à la
machine distante d'ouvrir une autre connexion réseau à destination d'une troisième machine,
avec un numéro de port que vous indiquez dans la commande, et de gérer cette connexion
réseau comme si c'était la session principale.
Vous indiquez quels sont cette autre machine et ce port en argument de l'option -nc, avec un
':' entre le nom de la troisième machine et le numéro de port, comme ceci :
machine1> plink machine2.exemple.com -nc machine3.exemple.com:1234
Cette fonctionnalité peut vous être utile si vous avez besoin d'établir une connexion SSH avec
une machine cible que vous ne pouvez joindre qu'en passant par une machine proxy, et que
vous préférez utiliser cette machine proxy en tant que telle plutôt que de recourir au transfert
de ports (veuillez vous reporter à la section 4.15.1 pour plus d'informations au sujet des proxy
locaux). Dans ce cas, vous pourriez choisir le type de proxy ‘Local’, mettre ‘plink
%machine_proxy -nc %machine_cible:%port’ comme commande de proxy local, indiquer
le nom d'hôte de la machine cible dans le panneau Session, et le nom d'hôte de la machine
proxy, qui est directement accessible, elle, dans le panneau Proxy.
Cette fonctionnalité n'est disponible que dans la version 2 du protocole SSH ( la version 1
considère que vous voulez toujours obtenir une invite de commandes sur la machine
distante ). Elle n'est pas disponible dans les outils de transfert de fichiers PSCP et PSFTP,
uniquement dans PuTTY lui-même, bien qu'elle ait peu de chances de servir à quoi que ce soit
ailleurs que dans Plink. Enfin, l'option -nc se sert du même mécanisme que le transfert de
ports, côté machine distante, donc elle ne fonctionnera pas si l'administrateur de la machine
distante a désactivé le transfert de ports.
Le nom de cette option -nc provient du programme Unix qui est lui-même une abréviation de
‘netcat’. Faire ‘machine1> plink machine2 -nc machine3:port’ revient donc quasiment
au même que de faire ‘machine1> plink machine2 nc machine3 port’, puisque cette
variante appelle la commande nc sur la machine intermédiaire (machine2, ici), et lui demande
de se connecter à la machine cible (machine3). Seule différence : l'option interne -nc de Plink
n'a pas besoin, pour fonctionner, que le programme nc soit installé sur la machine
intermédiaire.
28

Logiciel d’administration pour IPCOP 1.4.x
VIII.3.15 –c : activer la compression
L'option -C active la compression des données envoyées par le réseau. Cette option n'a de
sens que si vous utilisez SSH.
Cette option a le même effet que la case à cocher ‘Enable compression’ dans le panneau
SSH de la boîte de dialogue de configuration de PuTTY (cf. section 4.18.3).
VIII.3.16 -1 et -2 spécifier la version du protocole SSH
Les options -1 et -2 forcent PuTTY à utiliser la version 1 ou la version 2 du protocole SSH.
Ces options n'ont de sens que si vous utilisez SSH.
Les options équivalent à sélectionner la version du protocole SSH avec les boutons radio ‘1
only’ ou ‘2 only’ dans le panneau SSH de la boîte de dialogue de configuration de PuTTY
(cf. section 4.18.4).
VIII.3.17 -4 et -6 : spécifié la version du protocole IP
es options -4 et -6 forcent PuTTY à utiliser soit le ‘vieux’ protocole IPv4, soit le protocole
plus récent IPv6.
Ces options équivalent à sélectionner la version du protocole IP que vous préférez dans le
panneau Connection de la boîte de dialogue de configuration de PuTTY ( cf. section 4.13.4 ).
VIII.3.18 –i : Spécifie la clé privé SSH
L’option -i vous permet d'indiquer le nom d'un fichier de clé privée au format *.PPK, que
PuTTY utilisera pour l'authentification auprès du serveur. Cette option n'a de sens que si vous
utilisez SSH.
Pour des informations générales au sujet de l'authentification par clé publique / clé privée,
veuillez vous reporter au chapitre 8.
Cette option équivaut au champ ‘Private key file for authentication’ dans le panneau Auth
de la boîte de dialogue de configuration de PuTTY (cf. section 4.20.7).
VIII.3.19 –pgpfp affiche les signatures des clés PGP
Cette option fait en sorte que les outils PuTTY, au lieu de se lancer normalement, affichent les
signatures des clés PGP principales, pour aider à la vérification des nouvelles versions
( veuillez vous reporter à l'annexe E pour plus d'informations à ce sujet ).
29

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 4 : configuration de PuTTY
I. Panneau « session »
Le panneau de configuration 'Session' contient les informations de base, qu'il faut
impérativement renseigner pour pouvoir ouvrir une session, et il vous permet aussi de
sauvegarder vos réglages en vue d'une utilisation ultérieure.
I.1 Champ « Host Name » (nom d’hôte)
En haut du panneau 'Session', il y a un groupe de réglages intitulé 'Specify the destination
you want to connect to' (autrement dit 'indiquez la machine à laquelle vous voulez vous
connecter’), qui rassemble les informations dont PuTTY a absolument besoin pour pouvoir
ouvrir une session.
• Le champ 'Host Name' sert à indiquer le nom, ou l'adresse IP, de la machine à laquelle
vous voulez vous connecter.
• Les boutons radio 'Connection type' vous permettent de choisir le type de connexion
que vous voulez établir : vous avez le choix entre une connexion TCP 'brute de
fonderie', une connexion Telnet, une connexion Rlogin, une connexion SSH, ou une
connexion série ( veuillez vous reporter à la section 1.2 pour un résumé des
différences entre SSH, Telnet et rlogin, à la section 3.6 si vous voulez des
informations sur les connexions TCP 'brutes', et à la section 3.7 pour plus de détails
sur l'utilisation des connexions série ).
• Le champ 'Port' vous permet d'indiquer le numéro de port à utiliser côté serveur. Si
vous choisissez Telnet, Rlogin, ou SSH, parmi les boutons radio situés en dessous, ce
champ est automatiquement rempli avec la valeur habituelle pour le protocole ( 22
pour SSH, ou 23 pour Telnet, par exemple ), et vous n'avez besoin de la changer que si
le serveur auquel vous voulez vous connecter utilise une valeur non standard. Si vous
30

Logiciel d’administration pour IPCOP 1.4.x
choisissez une connexion de type 'Raw', il vous faudra très certainement remplir le
champ 'Port' vous-même.
Si vous choisissez une connexion de type 'Serial' parmi les boutons radio 'Connection type',
les champs 'Host Name' et 'Port' sont remplacés par des champs 'Serial line' et 'Speed'.
Veuillez vous reporter à la section 4.25 pour plus d'informations à ce sujet.
I.2 Enregistrement de sessions et rechargement de sessions
sauvegardées
La partie médiane du panneau de configuration 'Session' vous permet de sauvegarder vos
réglages préférés, de sorte que ce soit la configuration par défaut la prochaine fois que vous
lancerez PuTTY. Vous pouvez également créer des sessions sauvegardées, qui contiennent
tout un ensemble d'options de configuration associées à un nom de machine et à un protocole.
Une session sauvegardée contient toutes les informations dont PuTTY a besoin pour démarrer
une session avec tous les réglages exactement comme vous les voulez.
• Pour sauvegarder vos réglages par défaut : commencez par configurer PuTTY à votre
goût, puis revenez au panneau 'Session'. Sélectionnez l'entrée 'Default Settings' dans
la liste des sessions sauvegardées, en faisant un simple clic dessus, puis cliquez sur le
bouton 'Save'.
Notez que PuTTY ne vous permet pas de sauvegarder de nom d'hôte dans l'entrée
'Default Settings'. De cette manière, au démarrage de PuTTY, le champ 'Host Name
(or IP address)' est toujours vide, si bien que l'utilisateur n'a qu'à taper un nom de
machine pour se connecter.
S'il y a une machine en particulier pour laquelle vous voulez enregistrer les réglages de
connexion, vous devriez créer une session sauvegardée, distincte des réglages par défaut.
• Pour sauvegarder une session : commencez par tout configurer comme vous le
souhaitez, y compris dans les autres panneaux de configuration, puis revenez au
panneau 'Session'. Dans le champ 'Saved Sessions', tapez un nom pour nommer cette
configuration ( le nom de la machine distante est généralement une bonne idée,
comme nom de session sauvegardée ). Puis cliquez sur le bouton 'Save'. Le nom de
votre session sauvegardée devrait maintenant apparaître dans la liste.
Vous pouvez aussi sauvegarder vos réglages en cours de session, à partir de la boîte de
dialogue 'Change Settings'. Les réglages modifiés depuis le début de la session seront
sauvegardés avec leur valeur courante. Cela inclut les modifications apportées à la
taille de la fenêtre, celles effectués au moyen de cette boîte de dialogue, les
changements de titres effectués sur demande de la machine distante, et ainsi de suite.
• Pour recharger une session sauvegardée, faites un simple clic pour choisir le nom de la
session dans la liste déroulante, puis cliquez sur le bouton « Load ». Vos réglages
sauvegardés doivent apparaître dans le panneau de configuration. Il n'y a alors plus
qu'à cliquer sur « Open » pour vous connecter.
• Pour modifier une session sauvegardée, commencez par la charger, comme décrit cidessus,
changez ce que vous voulez changer, et pour finir, revenez au panneau de
configuration « Session », et cliquez sur le bouton « Save ». Les nouveaux réglages
seront sauvegardés par dessus les anciens.
31

Logiciel d’administration pour IPCOP 1.4.x
Pour sauvegarder les nouveaux réglages sous un nom différent, vous pouvez au choix
entrer le nouveau nom dans le champ « Saved Sessions », ou faire un simple clic pour
sélectionner un nom de session dans la liste déroulante afin de sauvegarder sous ce
nom-là ( cela écrase l'ancienne configuration, bien sûr ). Pour faire de votre
configuration actuelle la configuration par défaut, il faut faire un simple clic sur
« Default Settings », avant de sauvegarder.
• Pour lancer une session sauvegardée sans modifier quoi que ce soit dans les réglages,
faites un double-clic sur le nom de la session, dans la liste déroulante (c’est comme si
vous faisiez un simple clic sur le nom de la session, puis un autre sur le bouton
« Open »).
• Pour supprimer une session sauvegardée, faites un simple clic sur le nom de la session,
dans la liste déroulante, puis cliquez sur le bouton « Delete ».
Les sessions sauvegardées sont indépendantes de la configuration correspondant aux réglages
par défaut. Si vous modifiez vos préférences, et que vous mettez à jour les réglages par défaut,
il faut aussi que vous mettiez à jour, séparément, chacune de vos sessions sauvegardées ( cela
ne se fera pas de façon automatique ).
Les sessions sauvegardées sont stockées dans la Base de Registres, à l'emplacement :
HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions
Si vous avez besoin de les sauvegarder dans un fichier, vous pouvez essayer la méthode
décrite dans la section 4.26.
I.3 Bouton radio « close Windows on exit » (fermer la fenêtre en
quittant)
Tout en bas du panneau 'Session' se trouve un groupe de boutons radio intitulé 'Close window
on exit', qui vous permettent de choisir si la fenêtre de terminal de PuTTY doit se refermer,
ou non, quand la session se termine. Si vous pouvez avoir besoin de copier/coller du texte
affiché dans la fenêtre après que la session se soit terminée, ou avoir besoin de redémarrer la
session, vous ne devriez pas activer cette option.
Plus précisément, vous avez trois possibilités : si vous choisissez 'Always', la fenêtre se
fermera dès que la session sera finie, quelles que soient les circonstances dans lesquelles elle
s'est finie. Si vous choisissez 'Never', elle restera ouverte, mais inactive. Enfin, si vous
choisissez 'Only on clean exit', qui est le choix par défaut, la fenêtre ne se fermera toute seule
que si la session se termine normalement, et pas si la session est interrompue par un problème
réseau ou par un message bizarre en provenance du serveur.
32

II. Le panneau « Loggin »
Logiciel d’administration pour IPCOP 1.4.x
Le panneau de configuration « Logging » vous permet de sauvegarder des fichiers journaux
de vos sessions PuTTY, que ce soit à des fins de debug, pour analyse, ou pour consultation
ultérieure.
Le réglage principal, ici, c'est un groupe de boutons radio qui permet de choisir si PuTTY doit
enregistrer quelque chose, et si oui, ce qu'il doit enregistrer. Voici les différentes possibilités :
• « None ». C'est le réglage par défaut. Dans ce mode, PuTTY ne crée pas du tout de
fichier journal.
• « Printable output ». Dans ce mode, un fichier journal est créé, mais PuTTY n'y met
que le texte imprimable. Les différents codes de contrôle du terminal qui sont
typiquement échangés au cours d'une session interactive, en plus du texte imprimable,
ne figureront pas dedans. Ce mode de fonctionnement est probablement celui qui vous
sera utile si vous voulez pouvoir lire un fichier journal dans un éditeur de texte, et que
ce soit compréhensible.
• « All session output ». Dans ce mode, tout ce qu'envoie la machine distante est
journalisé. Si vous consultez le fichier journal avec un éditeur de texte, il y a donc de
bonnes chances pour que ce soit un amas de « hiéroglyphes » dûs aux nombreux
caractères de contrôle. Ce mode est très utile si vous rencontrez des problèmes avec la
façon dont PuTTY gère le terminal : cela vous permet d'enregistrer tout ce qui est
envoyé au terminal, de telle sorte que quelqu'un d'autre peut rejouer la session plus
tard, au ralenti, et chercher ce qui ne va pas.
• « SSH packets ». Dans ce mode ( qui n'est utilisé que par les connexions SSH ), les
paquets de messages SSH qui transitent par la connexion cryptée sont écrits dans le
fichier journal ( et aussi dans l'Observateur d'événements de Windows ). Cela peut
vous être utile pour rechercher la cause d'un problème au niveau réseau, ou plus
vraisemblablement pour envoyer aux auteurs de PuTTY pour accompagner un rapport
de bug. ATTENTION : si vous vous authentifiez par un mot de passe, ce mot de passe
peut apparaître dans le fichier journal. Veuillez vous reporter à la section 4.2.4 pour
33

Logiciel d’administration pour IPCOP 1.4.x
voir comment faire, éventuellement, pour retirer d'un fichier journal des informations
sensibles, telles qu'un mot de passe, avant de l'envoyer à quelqu'un.
• « SSH packets and raw data ». Dans ce mode, en plus des paquets en clair ( comme
dans le mode précédent ), les paquets bruts ( cryptés, compressés, etc., etc. ) sont eux
aussi inscrits dans le fichier journal. Cela peut s'avérer utile pour diagnostiquer des
problèmes de corruption des données pendant leur transfert entre les machines.
ATTENTION : la mise en garde ci-dessus au sujet des données sensibles s'applique
également ici.
Veuillez noter que les options de journalisation non spécifiques à SSH ( « Printable output »
et « All session output » ) ne fonctionnent qu'avec PuTTY lui-même. Dans les programmes
sans émulation de terminal ( tels que Plink ), ces options n'ont pas d'effet, même si elles ont
été activées au moyen de réglages enregistrés dans une session sauvegardée.
II.1 Champ « Log file Name » (nom du fichier journal)
Saisissez dans le champ 'Log file name' le nom du fichier dans lequel vous voulez enregistrer
le journal de la session. Le bouton 'Browse...' vous permet de choisir l'endroit où vous
souhaitez placer ce fichier. Si vous savez d'avance où vous voulez le mettre, vous pouvez
aussi taper directement le chemin complet.
Le champ 'Log file name' accepte certaines séquences de caractères particulières dans le nom
du fichier journal :
• &Y sera remplacé par l'année en cours, sur quatre chiffres.
• &M sera remplacé par le mois en cours, sur deux chiffres.
• &D sera remplacé par le jour, sur deux chiffres.
• &T sera remplacé par l'heure courante, sur six chiffres ( HHMMSS ) sans ponctuation.
• &H sera remplacé par le nom ( complètement qualifié ) de la machine à laquelle vous
vous connectez.
Par exemple, si vous mettez c:\puttylogs\log-&h-&y&m&d-&t.dat, au final, vous aurez
des fichiers dans ce genre :
log-serveur1.exemple.com-20010528-110859.dat
log-unixbox.quelquepart.org-20010611-221001.dat
II.2 Bouton radio « What to do if the log file already exists »(que
faire si le fichier journal existe déjà)
Ces boutons radio vous permettent d'indiquer ce que PuTTY doit faire si au moment de
commencer à écrire dans un fichier journal, il s'avère que le fichier existe déjà. Vous pouvez
par exemple choisir d'écraser automatiquement le fichier existant et d'en commencer un autre
du même nom. Vous pouvez aussi choisir d'ouvrir le fichier journal existant, et d'écrire à la
fin, après les données qui s'y trouvent déjà. Enfin ( c'est l'option par défaut ), il est possible de
ne pas configurer de comportement automatique, auquel cas PuTTY posera la question à
l'utilisateur chaque fois que le cas se présentera.
II.3 Case à cocher « Flush log file frequently »(vider le fichier
journal fréquemment)
Cette option vous permet de contrôler la fréquence à laquelle les informations écrites dans le
journal de bord sont recopiées sur le disque dur. Par défault, PuTTY copie ces informations
dès leur affichage à l'écran, donc si vous consultez le fichier journal pendant qu'une session
34

Logiciel d’administration pour IPCOP 1.4.x
est en cours, les informations du journal de bord seront à jour. Et si la machine client plante, il
y a plus de chances que les informations soient préservées.
Ce mode de fonctionnement peut toutefois engendrer une baisse des performances. Si vous
trouvez que PuTTY est lent, alors que la journalisation est activée, vous pouvez essayer de
désactiver l'option 'Flush log file frequently'. Gardez à l'esprit que le fichier journal, de ce
fait, ne sera plus toujours aussi à jour que quand l'option est activée ( les données du journal
de bord présentes en mémoire seront de toute façon recopiées sur disque à la fermeture du
journal, c'est à dire à la fin de la session ).
II.4 Case à cocher « Option specific to SSH packet
logging »(Options spécifique à la journalisation des paquets SSH)
Ces options, spécifiques à la journalisation des paquets SSH, ne s'appliquent ( bien entendu )
que si la journalisation des paquets SSH est activée.
Elles permettent de faire en sorte que certaines données sensibles et non cryptées des paquets
SSH ne soient pas inscrites dans le fichier journal. Mais cela ne sert qu'à gêner les petits
curieux qui fouinent comme-ci comme-ça. Un « vrai » pirate pourrait glaner beaucoup
d'informations utiles dans ces journaux, même brouillés de la sorte ( par exemple la longueur
des mots de passe ).
II.4.1 Case à cocher « Omit known password field »( omettre les
champs dont on sait qu'ils correspondent à des mots de passe')
Lorsque cette case ( 'omettre les champs dont on sait qu'ils correspondent à des mots de
passe' ) est cochée, le contenu des champs contenant des mots de passe en clair n'est pas
transcrit dans le fichier journal des paquets transmis ( cela inclut les réponses de l'utilisateur
dans les méthodes d'authentification de type question-réponse telles que la méthode
'keyboard-interactive' ). Cela n'inclut pas les données d'authentification X11 quand on utilise
le chiffrement du trafic X11.
Il est important de noter que cela ne concerne que les données dont PuTTY sait que ce sont
des mots de passe. Si vous lancez une seconde session interactive depuis votre session
PuTTY, par exemple, tout mot de passe échangé dans le cadre de cette seconde session
apparaîtra en clair dans le fichier journal des paquets. L'option ci-dessous ( 'Omit session
data' ) peut être utile pour vous protéger contre cela.
Cette option est activée par défaut.
35

Logiciel d’administration pour IPCOP 1.4.x
II.4.2 Case à Cocher « Omit session data »
Lorsque cette case est cochée, toutes les « données de session » en clair sont volontairement
omises du fichier journal. Par « données de session », on entend les données des sessions de
terminal et celles qui transitent dans les connexions redirigées ( TCP, X11, et agent
d'authentification ). Cela réduit donc souvent de façon substantielle la taille du fichier journal.
Cette option est désactivée par défaut.
III. Panneau « terminal »
e panneau de configuration 'Terminal' vous permet de contrôler le comportement de
l'émulateur de terminal de PuTTY.
III.1 Case à cocher « Auto wrap mode initially on » (mode ‘retour à
la ligne automatiquement ‘ initialement actif)
Le mode « Auto wrap » ( retour à la ligne automatique ) détermine ce qui se passe quand le
texte affiché dans la fenêtre de PuTTY atteint le bord droit de la fenêtre.
Lorsque ce mode est actif, si une longue ligne de texte atteint le bord droit de la fenêtre, elle
va se continuer sur la ligne suivante, de façon à ce que vous puissiez voir le texte en entier.
Lorsque ce mode est inactif, le curseur va rester le long du bord droit de la fenêtre, et tous les
caractères restants seront affichés les uns par dessus les autres.
Si vous utilisez une application en plein-écran et que de temps à autre, vous trouvez que
l'écran défile vers le haut alors qu'il ne devrait apparement pas, vous pouvez essayez de
désactiver cette option.
36

Logiciel d’administration pour IPCOP 1.4.x
Le mode « Auto wrap » peut être activé et désactivé au moyen de séquences de contrôle
émises par la machine distante. Cette option de configuration contrôle l'état par défaut, celui
qui est restauré lorsque vous réinitialisez le terminal ( voir à ce sujet la section 3.1.3.6 ).
Cependant, si vous modifiez ce réglage en cours de session, en passant par « Change
Settings », cela prendra effet tout de suite.
III.2 Case à cocher « DEC Origin Mode Initially on (mode ‘origine
DEC’ initialement actif)
Le « DEC Origin Mode » est une option mineure qui contrôle comment PuTTY doit
interpréter les séquences de contrôle de la position du curseur émises par la machine distante.
La machine distante peut émettre une séquence de contrôle qui restreint la zone de défilement
de l'écran. Par exemple, dans un éditeur de texte, on peut imaginer que la machine distante
souhaite se réserver une ligne tout en haut de l'écran, une autre tout en bas, et ne permette le
défilement qu'entre ces deux lignes fixes. Elle pourrait pour cela envoyer une séquence de
contrôle qui limite les défilements aux lignes restantes.
Lorsque l'option « DEC Origin Mode » est active, les coordonnées du curseur sont comptées
en partant du haut de la zone de défilement. Lorsqu'elle est inactive, les coordonnées du
curseur sont comptées depuis le haut de l'écran, sans tenir compte d'une éventuelle restriction
de la zone de défilement.
Il est peu probable que vous ayez besoin de changer cette option, mais si vous vous retrouvez
un jour avec une application en plein écran qui affiche des parties de texte à des endroits de
l'écran qui semblent incorrects, vous pouvez essayez d'activer cette option pour voir si cela
corrige le problème.
Le « DEC Origin Mode » peut être activé et désactivé au moyen de séquences de contrôle
émises par la machine distante. Cette option de configuration contrôle l'état par défaut, celui
qui est restauré lorsque vous réinitialisez le terminal ( voir à ce sujet la section 3.1.3.6 ).
Cependant, si vous modifiez ce réglage en cours de session, en passant par « Change
Settings », cela prendra effet tout de suite.
III.3 Case à cocher « Implicit CR in every LF »(retour chariot
implicite après chaque passage à la ligne)
La plupart des machines émettent deux caractères de contrôle, CR et LF, pour commencer une
nouvelle ligne à l'écran. Le caractère CR ( carriage return = retour chariot ) fait revenir le
curseur en début de ligne, au bord gauche de l'écran. Le caractère LF ( line feed = passage à la
ligne ) fait descendre le curseur d'une ligne ( et fait éventuellement défiler l'écran vers le
haut ).
Certaines machines n'envoient que LF, et attendent du terminal qu'il s'occupe de ramener le
curseur en début de ligne automatiquement. Si un jour vous vous retrouvez face à une
machine qui fait cela, vous remarquerez que le texte s'affiche à l'écran en forme de marches
d'escalier, comme ceci :
Première ligne de texte
Deuxième ligne
Troisième ligne
Si cela vous arrive, essayez d'activer l'option « Implicit CR in every LF ». Cela devrait
suffire à corriger le problème :
37

Première ligne de texte
Deuxième ligne
Troisième ligne
Logiciel d’administration pour IPCOP 1.4.x
III.4 Case à cocher « Use background color to erase
screen »(utiliser la couleur d’arrière plan pour éffacer l’écran)
Les terminaux ne sont pas tous d'accord sur la couleur à utiliser lorsque la machine distante
envoie l'ordre d'effacer l'écran. Certains terminaux estiment que l'écran devrait toujours être
repeint de la couleur d'arrière-plan par défaut. D'autres considèrent que l'écran devrait au
contraire être repeint de la couleur choisie par la machine distante comme couleur d'arrièreplan.
Et comme il y a des applications qui attendent les deux types de comportement, PuTTY
peut être configuré pour faire soit l'un, soit l'autre.
Lorsque cette option est désactivée, l'effacement de l'écran est toujours fait avec la couleur
d'arrière-plan par défaut. Lorsqu'elle est activée, l'effacement est fait avec la couleur d'arrièreplan
en vigueur à cet instant.
L'effacement avec la couleur d'arrière-plan peut être activé ou désacitvé par une séquence de
contrôle envoyée par la machine distante. Cette option de configuration détermine l'état par
défaut, qui sera restauré lorsque vous réinitialiserez le terminal ( pour plus d'informations à ce
sujet, voir la section 3.1.3.6 ). Cependant, si vous modifiez cette option en cours de session en
passant par « Change Settings », la modification prendra effet immédiatement.
III.5 Case à cocher « Enable blinking text »(activer le texte
clignotant)
La machine distante peut demander à PuTTY d'afficher du texte clignotant. Comme cela peut
finir par agacer, PuTTY vous permet de désactiver complètement ce clignotement.
Lorsque le clignotement du texte est désactivé et que la machine distante demande à afficher
du texte clignotant, PuTTY affiche le texte avec une couleur d'arrière-plan différente.
Le clignotement du texte peut être activé et désactivé au moyen de séquences de contrôle
envoyées par la machine distante. Cette option de configuration contrôle l'état par défaut, qui
sera restauré lorsque vous réinitialiserez le terminal ( voir à ce sujet la section 3.1.3.6 ).
Cependant, si vous modifiez cette option en cours de session, en passant par « Change
Settings », ce sera pris en compte immédiatement.
38

Logiciel d’administration pour IPCOP 1.4.x
III.6 Champs « Answerback to^E »(reponse au caractère contrôle
E)
Cette option détermine ce que PuTTY renvoie à la machine distante lorsque celle-ci envoie le
caractère ^E. Normallement, PuTTY renvoie juste la chaîne « PuTTY ».
Si vous affichez accidentellement le contenu d'un fichier binaire à l'écran, vous constaterez
probablement qu'il contient un certain nombre de caractères ^E, et en conséquence, votre
prochaine ligne de commande contiendra probablement des « PuTTYPuTTYPuTTY... »
comme si vous aviez tapé la chaîne de réponse vous-même au clavier, plusieurs fois. Si vous
mettez une chaîne de réponse vide, le problème devrait disparaître, mais cela peut être la
source d'autres problèmes.
N.B. : ce n'est pas cette chaîne-là que la machine distante interroge, en général, quand elle
veut savoir le type de terminal que vous utilisez. La chaîne en question est celle intitulée
« Terminal-type string » dans le panneau de configuration Connection. Veuillez vous
reporter à la section 4.14.2 pour plus de détails à ce sujet.
Vous pouvez mettre des caractères de contrôle dans la chaîne de réponse en utilisant la
notation ^C. Utilisez ^~ pour obtenir un accent circonflexe sans rien en dessous ( « ^ » ).
III.7 Bouton radio « Local echo »
Lorsque l'écho local est désactivé, les caractères que vous tapez au clavier dans la fenêtre de
PuTTY ne sont pas affichés en écho par PuTTY. Ils sont juste envoyés à la machine distante
( et la machine distante, elle, peut éventuellement faire le choix de vous les renvoyer en écho,
mais cela ne peut pas être contrôlé depuis le panneau de configuration de PuTTY ).
Certains types de session ont besoin de l'écho local, d'autres non. Dans son mode de
fonctionnement par défaut, PuTTY essaye de déterminer automatiquement s'il y a lieu ou non
d'activer l'écho local pour la session dans laquelle vous travaillez. Si vous estimez qu'il a fait
le mauvais choix, vous pouvez recourir à cette option de configuration pour passer outre sa
décision : vous pouvez forcer l'activation de l'écho local, ou sa désactivation, au lieu de vous
en remettre à la détection automatique.
III.8 Bouton radio « Local line editing »(édition de ligne en local)
Normalement, tous les caractères que vous tapez dans la fenêtre de PuTTY sont envoyés
immédiatement à la machine distante, dès que vous les tapez au clavier.
Si vous activez l'édition de ligne en local, il en va différemment, puisque PuTTY vous permet
alors d'éditer une ligne entièrement, en local, et de n'envoyer la ligne à la machine distante
que lorsque vous appuyez sur Entrée. Donc si vous faites une faute de frappe, vous pouvez
utiliser la touche Retour arrière ( Backspace ), pour corriger, avant d'appuyer sur Entrée, et la
machine distante ne verra même pas que vous avez fait une faute de frappe.
Étant donné qu'il est difficile d'éditer une ligne en local sans voir ce que l'on tape, l'édition de
ligne en local est souvent utilisée conjointement avec l'écho local ( cf. section 4.3.7 ). Cela la
rend idéale quand on utilise une connexion de type 'Raw', ou quand on se connecte à un
MUD (1) ou encore à des systèmes de discussion en ligne ( encore que certains MUD
perfectionnés soient capables d'activer l'édition de ligne en local et de désactiver
temporairement l'écho local, quand il y a besoin de saisir un mot de passe, par exemple ).
39

Logiciel d’administration pour IPCOP 1.4.x
Certains types de session ont besoin de l'édition de ligne en local, mais ce n'est pas le cas de la
plupart. Dans son mode de fonctionnement par défaut, PuTTY essaye de déterminer
automatiquement s'il y a lieu d'activer ou de désactiver l'édition de ligne en local, en fonction
du type de session. Si vous trouvez qu'il a fait le mauvais choix, vous pouvez utiliser cette
option de configuration pour passer outre ce mauvais choix : vous pouvez forcer l'activation
de l'édition de ligne en local, ou sa désactivation, au lieu de vous en remettre au système de
détection automatique.
III.9 Impression contrôlée par la machine distante « Remotecontroller
printing)
Un grand nombre de terminaux compatibles VT100 supportent les impressions effectuées
sous le contrôle de la machine distante. PuTTY supporte lui aussi cette fonctionnalité, mais
elle est désactivée par défaut.
Pour activer l'impression contrôlée par la machine distante, choisissez une imprimante dans la
liste déroulante « Printer to send ANSI printer output to » ( « imprimante vers laquelle il
faut envoyer les impressions ANSI » ). Cela devrait vous permettre de choisir parmi toutes les
imprimantes pour lesquelles vous avez les pilotes installés sur votre ordinateur. Ou alors, si
vous préférez, tapez le nom d'une imprimante réseau ( par exemple,
\\nom_serveur_impression\nom_imprimante ) : cela, vous pouvez le faire même si vous
n'avez pas encore installé de pilote pour cette imprimante sur votre machine.
Lorsque la machine distante essaiera d'imprimer quelque chose, PuTTY enverra les données à
l'imprimante telles quelles, brutes de fonderie, sans les traduire, sans essayer de les formater,
ni quoi que ce soit. C'est à vous de vous assurer que la machine distante sait à quel modèle
d'imprimante elle s'adresse.
Étant donné que PuTTY envoie les données à imprimer telles quelles à l'imprimante, il n'y a
pas moyen de choisir l'orientation de la feuille ( portrait ou paysage ), la qualité d'impression,
ou encore le bac dans lequel il faut prendre le papier. Toutes ces choses sont habituellement
gérées par le pilote d'impression, que PuTTY court-circuite, dans le cas présent. Si vous avez
besoin de pouvoir choisir ce genre de choses, il faut que vous trouviez un moyen de
configurer la machine distante pour qu'elle gère cela elle-même.
Pour désactiver à nouveau l'impression contrôlée par la machine distante, il suffit de choisir
« None (printing disabled) » dans la liste déroulante de sélection de l'imprimante, ce qui
correspond au réglage par défaut.
40

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 5 : Utilisation de PSCP pour transférer des fichiers de
façon sûr
PSCP, le client SCP ( Secure Copy ) associé à PuTTY, est un outil qui sert à transférer des
fichiers de façon sûre d'une machine à une autre, via une connexion SSH.
Si vous avez accès à un serveur SSH-2, il se peut que vous préfériez PSFTP ( cf. chapitre 6 )
pour l'usage interactif. Mais il faut noter que PSFTP ne fonctionne généralement pas avec les
serveurs SSH-1.
I.Démarrage de PSCP
PSCP est une application en ligne de commande. Vous ne pouvez donc pas vous contenter de
double-cliquer sur son icône pour le lancer : il faut ouvrir une invite de commandes, et le
lancer à partir de là. Sous Windows 95, 98, et Millenium, cela s'appelle « Commandes MS-
DOS ». Sous Windows NT, 2000, et XP, c'est « Invite de commandes ». Vous trouverez cela
dans la partie Programmes, ou Tous les programmes de votre menu Démarrer.
Pour lancer PSCP sans avoir besoin de préciser le chemin complet à chaque fois, il faut que le
répertoire où se trouve PSCP figure dans votre PATH, ou alors que vous soyez dans ce
répertoire-là au moment où vous tapez la commande. Pour ajouter le répertoire d'installation
de PSCP à votre variable d'environnement PATH, tapez ceci dans la fenêtre « Invite de
commandes » :
set PATH=C:\nom\du\répertoire\où\sont\installés\PuTTY\et\PSCP;%PATH%
Cela fonctionnera jusqu'à ce que vous refermiez cette fenêtre « Invite de commandes ». Pour
que cela reste d'une fois sur l'autre, sous Windows NT, 2000 et XP, allez dans l'icône Système
du Panneau de configuration de Windows, sélectionnez l'onglet Avancé et cliquez sur le
bouton Variables d'environnement (1) . Sous Windows 95, 98, et ME, il vous faudra modifier
votre fichier AUTOEXEC.BAT pour y ajouter une commande set comme celle ci-dessus.
(1) l'intitulé exact des onglets et des boutons varie d'une version de Windows à l'autre.
II Utilisation de PSCP
Une fois que vous avez lancé une invite de commandes, vous pouvez taper simplement pscp
pour obtenir les traditionnelles explications de base. Cela vous indique la version de PSCP
que vous utilisez, et comment utiliser le programme :
C:\>pscp
PuTTY Secure Copy client
Release 0.60
Usage: pscp [options] [user@]host:source target
pscp [options] source [source...] [user@]host:target
pscp [options] -ls [user@]host:filespec
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-p preserve file attributes
-q quiet, don't show statistics
-r copy directories recursively
-v show verbose messages
-load sessname Load settings from saved session
-P port connect to specified port
-l user connect with specified username
-pw passw login with specified password
41

Logiciel d’administration pour IPCOP 1.4.x
-1 -2 force use of particular SSH protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-noagent disable use of Pageant
-agent enable use of Pageant
-batch disable all interactive prompts
-unsafe allow server-side wildcards (DANGEROUS)
-sftp force use of SFTP protocol
-scp force use of SCP protocol
L'interface de PSCP ressemble beaucoup à la commande Unix scp ( c'est bon à savoir si celleci
vous est familière ).
II.1 Les bases
Pour télécharger un ( ou plusieurs ) fichier(s) depuis une machine distante :
pscp [options]
[nom_utilisateur@]machine_distante:répertoire/source/sur/la/machine/distant
e répertoire\cible\sur\la\machine\locale
Donc pour copier le fichier /etc/hosts de la machine exemple.com, où on est connu sous le
nom de fred, vers le fichier local c:\temp\exemple-hosts.txt, il faut taper :
pscp fred@exemple.com:/etc/hosts c:\temp\exemple-hosts.txt
Pour télécharger un ( ou plusieurs ) fichier(s) vers une machine distante :
pscp [options] source [source...] [user@]host:target
Donc pour copier le fichier local c:\documents\titi.txt vers la machine exemple.com, où
l'on a un compte utilisateur fred, et l'y enregistrer dans le répertoire /tmp, sous le nom toto,
il faut taper :
pscp c:\documents\titi.txt fred@exemple.com:/tmp/toto
Vous pouvez utiliser des caractères génériques pour transférer plusieurs fichiers à la fois, dans
un sens ou dans l'autre :
pscp c:\documents\*.doc fred@exemple.com:docfiles
pscp fred@exemple.com:source/*.c c:\source
Cependant, dans le second cas ( si vous utilisez des caractères génériques pour désigner
plusieurs fichiers situés sur la machine distante ), il se peut que vous receviez un message
d'avertissement dans ce genre : 'warning: remote host tried to write to a file called
'terminal.c' when we requested a file called '*.c'. If this is a wildcard, consider
upgrading to SSH-2 or using the '-unsafe' option. Renaming of this file has been
disallowed'.
C'est dû à un problème de sécurité fondamental dans l'ancienne version du protocole SCP : le
client envoie au serveur une chaîne contenant des caractères génériques ( '*.c', par exemple ),
et le serveur renvoie au client une liste de noms de fichiers correspondant au motif de la
requête. Mais rien n'empêche le serveur de renvoyer au client une liste de noms de fichiers qui
ne correspond pas au motif demandé, et d'écraser l'un des fichiers du client. Si vous
demandez, disons, tous les fichiers correspondant au motif '*.c', le serveur peut bien vous
renvoyer le fichier AUTOEXEC.BAT et en profiter pour installer un virus sur la machine cliente.
42

Logiciel d’administration pour IPCOP 1.4.x
Étant donné que c'est le serveur qui décide si tel ou tel nom de fichier correspond au motif
demandé par le client, le client ne peut pas vérifier de façon fiable que les noms de fichiers
renvoyés par le serveur correspondent au motif.
PSCP s'efforce d'utiliser le protocole SFTP ( qui est plus récent, et qui fait partie de SSH-2 ) à
chaque fois que c'est possible, parce que SFTP n'est pas affecté par cette faille de sécurité. Si
vous vous adressez à un serveur SSH-2 qui gère le SFTP, vous ne verrez jamais cet
avertissement ( vous pouvez imposer l'utilisation du protocole SFTP, s'il est disponible, avec
l'option -sftp : cf. section 5.2.2.6 ).
Si vous avez vraiment besoin d'envoyer une chaîne avec des caractères génériques à un
serveur SSH-1, vous pouvez utiliser l'option de ligne de commande -unsafe lors de l'appel de
PSCP :
pscp -unsafe fred@exemple.com:source/*.c c:\source
Cela supprime le message d'avertissement, et le transfert de fichiers se fera. Toutefois, il faut
être conscient du fait qu'en utilisant cette option -unsafe, vous donnez au serveur la
possibilité d'écrire dans n'importe quel fichier du répertoire de destination. Il ne faut donc
utiliser cette option que si vous avez toute confiance en l'administrateur de la machine
distante, et que si vous pensez qu'elle n'a pas été « visitée » par des pirates. Vous pouvez aussi
faire ce genre de téléchargement dans un répertoire initialement vide, ce qui limite bien sûr le
risque d'écrasement de fichiers existants. Notez que même en mode 'unsafe', PSCP empêche
le serveur d'écrire ailleurs que dans le répertoire cible ( cela protège contre les noms de
fichiers qui comporteraient des '..' dans le chemin d'accès, pour remonter au répertoire
parent ).
II.1.1 source (les fichiers à transferer)
Un ou plusieurs fichiers à transférer (2) . Les caractères génériques sont autorisés. Leur syntaxe
dépend du système d'exploitation auquel ils s'appliquent : si vous copiez des fichiers depuis
une machine Windows vers un système UNIX, il faut utiliser les caractères génériques façon
Windows ( par exemple *.* ), alors que si vous copiez depuis UNIX vers Windows, il faut
utiliser la syntaxe correspondant à votre votre shell UNIX ( par exemple * ).
Si la source du transfert est la machine distante, et si vous n'indiquez pas un chemin d'accès
complet ( sous UNIX, un chemin commençant par un « slash » ), le répertoire que vous
indiquez comme source du transfert sera interprété comme un chemin d'accès relatif partant
de votre répertoire personnel ( home directory ) sur la machine distante.
(2) dans la version anglaise de cette documentation, le terme d'origine était "One or more
source files." Je me suis abstenu de traduire cela par "un ou plusieurs fichier source", afin
d'éviter la confusion avec les fichiers source d'un programme, avant compilation.
II.1.2 Target (l’emplacement cible, destination des fichiers)
Le nom du fichier cible, ou le répertoire dans lequel il faut placer le ou les fichier(s). Quand
on copie depuis une machine distante vers la machine locale, on veut souvent placer les
fichiers copiés dans le répertoire courant, tout simplement. Pour faire cela, il suffit d'indiquer
'.' ( juste un point ) comme répertoire cible. Par exemple, la commande :
pscp fred@exemple.com:/home/tom/.emacs .
...aurait pour effet de copier le fichier .emacs, qui se trouve dans le répertoire /home/tom/ sur
la machine distante, dans le répertoire courant.
43

Logiciel d’administration pour IPCOP 1.4.x
Comme dans le cas du paramètre source, si l'emplacement cible se trouve sur la machine
distante, et que ce n'est pas un chemin complet, partant de la racine, il sera interprété comme
étant un chemin relatif à partir de votre répertoire personnel sur la machine distante.
II.2 Les options
PSCP accepte toutes les options en ligne de commande de PuTTY et des outils associés,
exception faite, bien entendu, de celles qui n'ont pas de sens dans un utilitaire de transfert de
fichiers ( veuillez vous reporter à la section 3.8.3 pour en savoir plus sur ces options ) ( celles
que PSCP ne reconnît pas y sont clairement indiquées ).
PSCP possède aussi certaines options qui lui sont propres. En voici la description :
II.2.1 –ls faire la liste des fichiers distants (list remote files)
Si l'option -ls figure sur la ligne de commande, aucun fichier n'est transféré, et la liste des
fichiers présents sur la machine distante est affichée. Seuls le nom d'hôte de la machine
distante et une éventuelle indication de nom de fichiers sont attendues. Exemple :
pscp -ls fred@exemple.com:dir1
pscp -ls fred@exemple.com:dir1/*.c
Le protocole SCP en lui-même ne contient pas de commande qui permette de répérer la liste
des fichiers de la machine distante. Si c'est le protocole SCP qui est utilisé, cette option sousentend
que le serveur répond correctement à la commande ls -la. Il se peut que cela ne
fonctionne pas avec tous les serveurs. Si c'est le protocole SFTP qui est utilisé, cette option
doit normalement fonctionner avec tous les serveurs.
II.2.2 –p conserver les attributs des fichiers (preserve file attibut)
Par défaut, les fichiers copiés avec PSCP sont horodatés avec la date et l'heure auxquelles la
copie a été faite. L'option -p permet de donner aux copies la date et l'heure des fichiers
d'origine.
II.2.3 –q ne pas afficher les statistiques
Par défaut, PSCP affiche une ligne indiquant l'état du transfert en cours :
mibs.tar | 168 kB | 84.0 kB/s | ETA: 00:00:13 | 13%
Les champs affichés sont ( de gauche à droite ) le nom de fichier, la taille de ce qui a déjà été
transféré ( en kilo-octets ), une estimation de la vitesse de transfert ( en kilo-octets par
seconde ), une estimation du délai restant avant la fin du transfert (3) , et le pourcentage déjà
transféré. L'option -q demande à PSCP de ne pas afficher ces statistiques.
(3) ETA = Estimated Time of Arrival ( heure prévue d'arrivée ) : abréviation d'usage courant
dans les transports publics.
44

Logiciel d’administration pour IPCOP 1.4.x
II.2.4 –r copie les fichiers de façon récursive
Par défaut, PSCP ne copie que les fichiers. Si vous indiquez des répertoires parmi les choses à
copier, ils seront ignorés, de même que leur contenu. L'option -r demande à PSCP d'aller
dans les répertoires que vous indiquez, et de les copier ainsi que leur contenu. Ceci vous
permet d'utiliser PSCP pour transférer des arborescences complètes d'une machine à une
autre.
II.2.5 –batch fonctionnement sans intervention de l’utilisateur
Si vous utilisez l'option -batch, PSCP n'affichera aucune invite interactive pendant
l'établissement de la connexion. Si la clé d'hôte de la machine distante est invalide, par
exemple ( voir à ce sujet la section 2.2 ), la connexion sera tout simplement abandonnée, au
lieu que PSCP vous demande ce qu'il y a lieu de faire.
Cela peut faciliter l'utilisation de PSCP dans des scripts : avec l'option -batch, si quelque
chose se passe mal lors de l'établissement de la connexion, le script se terminera, avec une
erreur, plutôt que de rester bêtement coincé.
II.2.6 –sfcp, -scp forcer l’utilisation d’un protocole en particulier
Comme nous l'avons vu ci-dessus, dans la section 5.2.1, il y a deux protocoles de transfert de
fichiers en usage dans SSH. En dépit de ce que son nom pourrait laisser croire, PSCP peut
utiliser indifféremment ces deux protocoles ( tout comme la plupart des autres clients scp
notables ).
L'ancien protocole SCP n'a pas fait l'objet d'une spécification écrite et il laisse un grand
nombre de choses à la charge du serveur. Les caractères génériques, par exemple, sont résolus
par le serveur. On peut ainsi utiliser n'importe quelle chaîne comportant des caractères
génériques, du moment qu'ils sont reconnus par le serveur. Cela peut causer des problèmes
d'interopérabilité, comme la nécessité de mettre des guillemets autour des noms de fichiers
lorsque ceux-ci comportent des espaces. Cela peut également poser des problèmes de sécurité
( voir à ce sujet la section 5.2.1 ).
Le protocole SFTP, plus récent, et qui va généralement de pair avec les serveurs SSH-2, a fait
l'objet d'une spécification plus précise et il est moins dépendant de la plate-forme serveur. La
résolution des caractères génériques, par exemple, est du ressort du client ( les caractères
génériques reconnus par le protocole SFTP, tel qu'il est implémenté, dans PuTTY et les outils
associés, sont décrits dans la section 6.2.2 ). Cela le rend plus cohérent d'une plate-forme à
l'autre, plus adapté à l'usage dans des scripts et à l'automatisation, et cela évite les problèmes
de sécurité liés à la résolution des caractères génériques.
PSCP utilise le protocole SFTP en priorité, et ne se rabat sur le protocole SCP que si SFTP
n'est pas géré par la machine distante.
L'option -scp force PSCP à utiliser le protocole SCP, s'il est reconnu par la machine distante,
et à laisser tomber dans le cas contraire.
L'option -sftp force PSCP à utiliser le protocole SFTP, s'il est reconnu par la machine
distante, et à laisser tomber s'il ne l'est pas. Lorsque cette option est utilisée, PSCP recherche
activement un serveur SFTP, ce qui peut donner lieu à l'utilisation de SFTP avec un serveur
SSH-1, selon la configuration de la machine distante.
45

Logiciel d’administration pour IPCOP 1.4.x
II.3 Valeurs de retour
PSCP renvoie un ERRORLEVEL nul ( synonyme de succès ) uniquement si les fichiers ont été
correctement transférés. Vous pouvez le vérifier, dans un script batch, en faisant comme ceci :
pscp fichiers*.* nom_utilisateur@machine_distante:
if errorlevel 1 echo Attention, il y a eu une erreur !
II.4Utilisation de l’authentification à clé publique PSCP
Tout comme PuTTY, PSCP sait gérer l'authentification par clé publique plutôt que par mot de
passe. Il y a trois façons de faire cela.
1. Premièrement, PSCP peut utiliser des sessions PuTTY sauvegardées en lieu et place
de noms d'hôtes ( cf. section 5.2.1.2 ) :
• Commencez par lancer PuTTY, en lui indiquant votre fichier de clé privée, et
sauvegardez la session ( pour plus de détails au sujet de l'enregistrement de
sessions PuTTY, veuillez vous reporter à la section 4.1.2, et pour savoir
comment indiquer à PuTTY quel fichier de clé privée il doit utiliser, veuillez
vous reporter à la section 4.20.7 ). Tant que vous y êtes, indiquez aussi le nom
d'utilisateur ( cf. section 4.14.1 ) sous lequel vous voulez vous connecter.
• Ensuite, dans PSCP, vous pouvez utiliser le nom de cette session sauvegardée
à la place du nom d'hôte : tapez pscp nom_session:file localfile, en
remplaçant nom_session par le nom de votre session sauvegardée.
2. Deuxièmement, vous pouvez indiquer le nom d'un fichier de clé privée en ligne de
commande, grâce à l'option -i ( pour plus d'informations à ce sujet, veuillez vous
reporter à la section 3.8.3.18 ).
3. Enfin, troisièmement, quand Pageant est lancé, PSCP essaie de s'authentifier en
passant par Pageant ( pour plus d'informations à ce sujet, veuillez vous reporter au
chapitre 9 ). Voici comment procéder :
• Vérifiez que Pageant est bien lancé, et que votre clé privée est bien chargée
dedans.
• Indiquez à PSCP un nom d'utilisateur et un nom d'hôte comme vous le feriez
en temps normal. PSCP détecte automatiquement que Pageant est lancé, et
essaye d'utiliser les clés qui sont stockées dedans pour s'authentifier auprès de
la machine distante.
Pour plus d'informations au sujet de l'authentification par clé publique / clé privée, veuillez
vous reporter au chapitre 8.
46

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 6 : Utilisation de PSFTP pour transférer des fichiers de
façon sûr
PSFTP, le client SFTP de PuTTY, est un outil qui sert à transférer des fichiers de façon sûre
au travers d'une connexion SSH.
PSFTP diffère de PSCP sur deux points :
• PSCP fonctionne avec pour ainsi dire n'importe quel serveur SSH, alors que PSFTP
utilise le nouveau protocole SFTP, qui est propre à SSH-2 ( PSCP essaye lui aussi
d'utiliser ce nouveau protocole dans la mesure du possible, mais il peut se rabattre sur
l'équivalent SSH-1 en cas d'échec, ce qui n'est pas possible avec SFTP ).
• PSFTP vous permet de transférer les fichiers de façon interactive, comme la
commande Windows ftp. Vous pouvez lister le contenu des répertoires, vous déplacer
au sein du système de fichiers distant, passer de multiples commandes get et put, puis
refermer votre session. PSCP, lui, est conçu pour réaliser un transfert, et pour se
terminer automatiquement tout de suite après.
I.Démarrage de PSFTP
La manière habituelle de lancer PSFTP, c'est depuis une invite de commandes, comme pour
PSCP. Pour cela, il faut soit que le répertoire de PSFTP figure dans votre variable
d'environnement PATH, soit que PSFTP se trouve dans le répertoire courant. Pour ajouter le
répertoire qui contient PSFTP à votre variable PATH, tapez ceci dans une invite de commandes
Windows :
set PATH=C:\nom\du\répertoire\de\PuTTY\;%PATH%
Contrairement à PSCP, toutefois, PSFTP n'a pas d'options de ligne de commande avec une
syntaxe compliquée. Il vous suffit d'indiquer le nom de la machine distante et éventuellement
un nom d'utilisateur :
psftp serveur.exemple.com
ou éventuellement :
psftp fred@serveur.exemple.com
Vous pouvez également taper juste psftp tout seul, ou double-cliquer sur l'icône de PSFTP
dans l'interface Windows. Vous obtiendrez alors l'invite de PSFTP, et un message vous
signalant que PSFTP n'est connecté à aucun serveur :
C:\>psftp
psftp: no hostname specified; use "open host.name" to connect
psftp>
À partir de là, vous pouvez taper open serveur.exemple.com ou open
fred@serveur.exemple.com pour lancer une session.
PSFTP reconnaît les mêmes options de ligne de commande que les autres outils PuTTY,
hormis celles qui n'ont pas de sens dans le contexte d'un utilitaire de transfert de fichiers.
Veuillez vous reporter à la section 3.8.3 pour avoir une description de ces options ( celles qui
ne sont pas reconnues par PSFTP sont clairement indiquées ).
47

Logiciel d’administration pour IPCOP 1.4.x
PSFTP gère également certaines options qui lui sont propres. Les sections suivantes décrivent
les options en ligne de commande spécifiques de PSFTP.
I.1 –b : indiquer le nom d’un fichier de commande par lots
En fonctionnement normal, PSFTP est un programme interactif qui affiche une invite de
commande et qui traite les commandes entrées au clavier.
Si vous avez besoin d'automatiser des tâches avec PSFTP, vous préférerez probablement
indiquer un ensemble de commandes préparées d'avance, et enchaîner leur exécution
automatiquement. L'option -b vous permet de le faire. Elle vous sert à indiquer le nom d'un
fichier de commandes par lots ( -b = batch ). Par exemple, vous pourriez créer un fichier
mon_script.scr contenant des lignes comme celles-ci :
cd /home/ftp/users/jeff
del jam-old.tar.gz
ren jam.tar.gz jam-old.tar.gz
put jam.tar.gz
chmod a+r jam.tar.gz
puis le lancer en tapant :
psftp nom_utilisateur@nom_machine -b monscript.scr
Lorsque vous exécutez un script batch de cette manière, PSFTP interrompt le script si l'une
des commandes échoue. Pour modifier ce comportement, vous pouvez ajouter l'option -be
( cf. section 6.1.3 ).
PSFTP se termine une fois qu'il a fini d'exécuter le script.
I.2 –bc : Afficher les commandes par lots à mesure qu’elles sont
exécutées
L'option -bc influe sur ce que PSFTP affiche lorsqu'il traite un fichier de commandes par lots
dont on lui a indiqué le nom au moyen de l'option -b. Avec l'option -bc, PSFTP affiche les
invites de commande et les commandes elles-mêmes, tout comme si ces commandes avaient
éé entrées à la main. Donc au lieu de voir ceci :
C:\>psftp fred@nom_machine -b fichier_batch
Sent username "fred"
Remote working directory is /home/fred
Listing directory /home/fred/lib
drwxrwsr-x 4 fred fred 1024 Sep 6 10:42 .
drwxr-sr-x 25 fred fred 2048 Dec 14 09:36 ..
drwxrwsr-x 3 fred fred 1024 Apr 17 2000 jed
lrwxrwxrwx 1 fred fred 24 Apr 17 2000 timber
drwxrwsr-x 2 fred fred 1024 Mar 13 2000 trn
vous verrez cela :
C:\>psftp fred@nom_machine -bc -b fichier_batch
Sent username "fred"
Remote working directory is /home/fred
psftp> dir lib
Listing directory /home/fred/lib
drwxrwsr-x 4 fred fred 1024 Sep 6 10:42 .
drwxr-sr-x 25 fred fred 2048 Dec 14 09:36 ..
drwxrwsr-x 3 fred fred 1024 Apr 17 2000 jed
48

Logiciel d’administration pour IPCOP 1.4.x
lrwxrwxrwx 1 fred fred 24 Apr 17 2000 timber
drwxrwsr-x 2 fred fred 1024 Mar 13 2000 trn
psftp> quit
I.3 –be : poursuivre le traitement par lot en cas d’erreur
Lorsque vous exécutez un fichier de commandes par lots, cette option supplémentaire fait en
sorte que PSFTP n'interrompe pas le traitement, même si l'une des commandes échoue.
Cela peut être intéressant, par exemple, si vous avez besoin d'effacer un fichier, et que vous
ne voulez pas que le script s'arrête si le fichier à supprimer n'existe pas.
I.4 –Batch : éviter les commandes interactive
Si vous utilisez l'option -batch, PSFTP n'affiche aucune invite de commandes interactive
pendant l'établissement de la connexion. Si la clé d'hôte du serveur est invalide, par exemple
( voir à ce sujet la section 2.2 ), alors la connexion est simplement abandonnée, au lieu que
PSFTP ne vous demande ce qu'il y a lieu de faire ensuite.
Ceci peut être commode lorsque PSFTP est utilisé dans des scripts batch : grâce à l'option -
batch, si quelque chose ne se passe pas correctement au moment de la connexion, le job se
finit sur une erreur, mais il ne plante pas.
II Utilisation de PSFTP
Une fois que vous avez lancé votre session PSFTP, vous obtenez l'invite de commandes
psftp>. Vous pouvez alors taper des commandes au clavier pour effectuer des transferts de
fichiers. Cette partie recense toutes les commandes disponibles.
II.1 Règles générales d'utilisation des guillemets dans les
commandes PSFTP
La plupart des commandes PSFTP sont considérées par l'interpréteur de commandes de
PSFTP comme une suite de mots séparés par des espaces. Par exemple, la commande ren
ancien_nom_de_fichier nouveau_nom se scinde en trois mots : ren ( le nom de la
commande ), ancien_nom_de_fichier ( le nom du fichier à renommer ), et nouveau_nom
( le nouveau nom du fichier ).
Certaines fois, les noms de fichiers comportent des espaces. Dans ces cas-là, il vous faut
entourer le nom avec des guillemets doubles. Cela fonctionne pour les noms de fichiers
locaux comme pour les noms de fichiers distants :
psftp> get "nom de fichier avec des espaces.txt" "nouveau nom avec des
espaces aussi.txt"
Les guillemets doubles en eux-mêmes ne font pas partie des noms de fichiers. Ils sont retirés
par PSFTP et ils ne servent qu'à éviter que les espaces figurant dans les noms de fichiers
n'agissent comme des séparateurs de fichiers.
Si vous avez besoin de taper un guillemet double ( certains systèmes d'exploitation, comme
Unix, autorisent les guillemets dans les noms de fichiers ), vous pouvez le faire en doublant
les guillemets . Cela fonctionne dans tous les cas, que le nom de fichier soit entouré de
guillemets ou non. Exemple :
49

Logiciel d’administration pour IPCOP 1.4.x
psftp> ren ""ceci"" "un nom de fichier avec des ""guillemets"" dedans"
La commande ci-dessus sert à renommer le fichier "ceci" ( remarquez les guillemets au
début et à la fin du nom : ils font partie du nom du fichier ), et à lui donner comme nouveau
nom un nom de fichier avec des "guillemets" dedans.
La seule exception à cette règle est la commande !, qui transmet sa ligne de commande à
Windows directement, sans la scinder en mots séparés ( voir à ce sujet la section 6.2.19 ).
II.2 Les caractères génériques dans PSFTP
Plusieurs commandes de PSFTP autorisent l'utilisation de caractères génériques pour
sélectionner plusieurs fichiers à la fois.
Pour indiquer un fichier local ( comme par exemple le premier argument de la commande
put ), ce sont les règles en vigueur dans le système d'exploitation local qui s'appliquent. Par
exemple, sous Windows, il faut mettre *.* pour désigner tous les fichiers, alors que sous
Unix, il suffit de mettre *.
Pour indiquer un fichier distant ( comme le premier argument de la commande get ), PSFTP
utilise une syntaxe similaire à celle des caractères génériques de la norme POSIX :
• * correspond à n'importe quelle suite de caractères ( y compris la chaîne vide ).
• ? correspond à à exactement un caractère, quel qu'il soit.
• [abc] correspond à un caractère ( un et un seul ), parmi les trois indiqués : a, ou b, ou
c.
[a-z] correspond à un caractère, n'importe lequel, dans la plage de a à z.
[^abc] correspond à un caractère ( unique ) qui n'est ni a, ni b, ni c.
Cas particuliers : [-a] correspond à un tiret ( - ) ou à la lettre a. [^-a] correspond à
tous les autres caractères. [a^] correspond à un « chapeau », autrement dit un accent
circonflexe sans lettre en dessous ( ^ ) ou à la lettre a.
• \ ( barre oblique inverse, ou backslash ) : placé avant n'importe lequel des caractères
ci-dessus ( ou de lui-même ), annule la signification particulière de ce caractère.
Un point ( . ) placé au début d'un nom de fichier n'a pas de signification spéciale,
contrairement à certains contextes, sous Unix ( où il sert à indiquer un fichier caché [NdT] ).
La commande get * récupère tous les fichiers, que leur nom commence par un point ou pas.
II.3 La commande open : pour démarrer une session
Si vous avez lancé PSFTP depuis le menu Démarrer, ou en double-cliquant sur son icône, ou
encore en tapant psftp en ligne de commande, il faut vous connecter à une machine qui fait
serveur SFTP avant de pouvoir taper d'autres commandes ( mis à part help et quit ).
Pour établir une connexion, tapez open nom.de.la.machine.distante, ou alors, si vous
avez besoin de préciser un nom d'utilisateur pour vous y connecter, open
nom_utilisateur@nom.de.la.machine.distante.
Une fois que vous avez tapé cette commande, vous ne pourrez plus la taper à nouveau, même
si la commande échoue ( par exemple, si vous vous trompez en tapant le nom de la machine
distante, ou si le délai maximal d'attente s'écoule avant que la connexion n'ait pu être établie ).
Donc si la connexion ne s'ouvre pas correctement, PSFTP se termine sans autre forme de
procès ( et vous êtes bon pour réessayer ).
50

Logiciel d’administration pour IPCOP 1.4.x
II.4 La commande quit : pour terminer votre session
Lorsque vous avez fini ce que vous aviez à faire, tapez quit pour fermer la connexion, quitter
PSFTP et revenir à la ligne de commande ( ou fermez juste la fenêtre de la console PSFTP si
vous l'aviez lancée depuis le menu Démarrer, ou en double-cliquant sur son icône ).
Vous pouvez aussi utiliser les commandes bye et exit, qui ont exactement le même effet.
II.5 La commande close : pour fermer votre connexion
Si vous voulez juste fermer la connexion réseau, sans arrêter PSFTP, utilisez la commande
close. Vous pouvez alors taper open pour ouvrir une nouvelle connexion
II.6 La commande help : pour obtenir rapidement de l'aide en ligne
Si vous tapez help tout court, PSFTP affiche la liste des commandes disponibles.
Si vous tapez help suivi d'un nom de commande, comme par exemple help get, alors
PSFTP affiche un petit texte d'aide sur cette commande en particulier.
II.7 Les commandes cd et pwd : pour changer de répertoire de
travail sur la machine distante
PSFTP garde en mémoire quel est votre « répertoire de travail » sur la machine distante, et
l'utilise comme répertoire par défaut pour les commandes que vous tapez sans préciser de
répertoire. Par exemple, si vous tapez get mon_fichier.dat, PSFTP cherche un fichier
nommé mon_fichier.dat dans votre répertoire de travail sur la machine distante ( s'il l'y
trouve, tant mieux, et sinon, cela fait une erreur ).
Pour changer de répertoire de travail sur la machine distante, utilisez la commande cd.
Utilisée sans argument, cd vous ramène dans votre répertoire personnel sur la machine
distante ( ou plus exactement, dans le répertoire de la machine distante où vous vous trouviez
lorsque la connexion a été établie ).
Pour connaître votre répertoire de travail, sur la machine distante, à un instant donné, tapez
pwd.
II.8 Les commandes lcd et lpwd : pour changer de répertoire de
travail sur la machine locale
En plus d'avoir un répertoire de travail sur la machine distante, PSFTP a aussi un répertoire de
travail en local, sur votre PC ( comme n'importe quel autre processus Windows ). C'est le
répertoire local par défaut sur lequel portent les commandes PSFTP. Par exemple, si vous
tapez get mon_fichier.dat ( sans plus d'indications sur l'endroit où il faut le mettre ),
PSFTP sauvegarde le fichier mon_fichier.dat dans votre répertoire de travail local.
51

Logiciel d’administration pour IPCOP 1.4.x
Pour modifier votre répertoire de travail local, utilisez la commande lcd ( local change
directory [NdT] ).
Pour savoir quel est votre répertoire de travail local à un instant donné, tapez lpwd ( local
print working directory [NdT] ).
II.9 La commande get : pour transférer un fichier depuis la machine
distante
Pour télécharger un fichier depuis la machine distante, et le placer en local sur votre PC,
utilisez la commande get.
Dans sa forme la plus simple, il suffit de lui indiquer un nom de fichier :
get mon_fichier.dat
Si vous voulez stocker le fichier sous un nom local différent, précisez-le après le nom qu'a le
fichier sur la machine distante :
get mon_fichier.dat nouveau_nom.dat
Cela prendra sur la machine distante un fichier nommé mon_fichier.dat, mais cela le
sauvegardera sur la machine locale sous le nom nouveau_nom.dat.
Pour télécharger un répertoire entier, de façon récursive, il suffit de rajouter l'option -r :
get -r mon_dossier
get -r mon_dossier nouveau_nom
Si vous avez besoin de télécharger un fichier dont le nom commence par un tiret, utilisez
l'option spéciale --, qui indique à get de ne pas considérer comme une option ce qu'il y a
après. Exemple :
get -- -nom-de-fichier-bizarre-avec-des-tirets-de-partout-
II.10 La commande put : pour transférer un fichier vers la machine
distante
Pour télécharger un fichier vers la machine distante depuis votre PC, utilisez la commande
put.
Dans sa forme la plus simple, il suffit de lui indiquer un nom de fichier :
put mon_fichier.dat
Si vous voulez donner au fichier, sur la machine distante, un nom différent de celui qu'il avait
en local, indiquez-le après le nom local :
put mon_fichier.dat nouveau_nom.dat
Cela enverra sur la machine distante un fichier local nommé mon_fichier.dat, mais en le
sauvegardant sous le nom nouveau_nom.dat.
52

Logiciel d’administration pour IPCOP 1.4.x
Pour envoyer un répertoire entier, de façon récursive, il suffit de rajouter l'option -r :
put -r mon_dossier
put -r mon_dossier nouveau_nom
Si vous avez besoin d'envoyer sur la machine distante un fichier dont le nom commence par
un tiret, utilisez l'option spéciale --, qui indique à put de ne pas considérer comme une option
ce qu'il y a après. Exemple :
put -- -nom-de-fichier-bizarre-avec-des-tirets-de-partout-
II.11 Les commandes mget et mput : pour transférer plusieurs
fichiers à la fois, dans un sens ou dans l'autre
La commande mget fonctionne presque exactement comme get, à ceci près qu'elle vous
permet de transférer plusieurs fichiers en une seule fois. Vous pouvez faire cela de deux
manières :
• vous pouvez indiquer explicitement deux noms de fichiers ( voire plus ) :
mget fichier1.txt fichier2.txt
• comme vous pouvez aussi utiliser des caractères génériques :
mget *.txt
Autre différence, par rapport à get : chacun des arguments de mget est considéré comme le
nom d'un fichier à transférer, ou comme une expression comportant des caractères génériques
pour désigner plusieurs fichiers en une seule fois ( contrairement à get, qui ne considère que
son premier argument comme le nom d'un fichier à transférer, et qui considère un éventuel
second argument comme le nom local qu'il faut donner au fichier, une fois celui-ci transféré ).
Les options -r et -- de la commande get valent également pour la commande mget.
La commande mput est similaire à la commande put, avec les mêmes différences qu'entre get
et mget.
53

Logiciel d’administration pour IPCOP 1.4.x
II.12 Les commandes reget et reput : pour reprendre des
transferts de fichiers après interruption
Si un transfert de fichier échoue ( dans un sens ou dans l'autre ), et que vous vous retrouvez
avec une moitié de fichier dans le répertoire de destination, vous pouvez relancer le transfert
grâce aux commandes reget et reput. Elles fonctionnent exactement de la même manière
que les commandes get et put, à ceci près qu'elles tiennent compte de ce qui a déjà été
téléchargé, et qu'elles reprennent le transfert là où il en était resté.
La syntaxe de reget et de reput est exactement la même que celle de get et de put :
reget mon_fichier.dat
reget mon_fichier.dat nouveau_nom.dat
reget -r mon_dossier
Ces commandes sont là pour permettre de reprendre des transferts de fichiers interrompus.
Elles considèrent que le fichier ou l'arborescence à transférer n'a pas changé depuis la
précédente tentative de transfert. S'il y a eu des modifications, vous allez vous retrouver avec
des fichiers corrompus, qui ne correspondent pas à ce que vous attendez. En particulier,
l'option -r ne tiendra pas compte des modifications survenues sur des fichiers ou des
répertoires qui ont déjà été transférés correctement ( il ne faut donc pas utiliser les
commandes reget et reput comme des outils de synchronisation - elles ne sont pas faites
pour cela - mais uniquement pour reprendre un transfert interrompu, assez rapidement après
l'échec de la tentative précédente [NdT] ).
II.13 La commande dir : pour lister les fichiers de la machine
distante
Pour lister les fichiers présents dans votre répertoire de travail sur la machine distante, il vous
suffit de taper dir.
Vous pouvez également consulter le contenu d'un autre répertoire en indiquant son nom après
la commande dir :
dir /home/fred
dir sources
Enfin, vous pouvez restreindre l'affichage à une partie du contenu du répertoire grâce aux
caractères génériques habituels :
dir /home/fred/*.txt
dir sources/*.c
La commande ls fonctionne exactement de la même manière que dir.
II.14 La commande chmod : pour modifier les permissions de fichiers
sur la machine distante
54

Logiciel d’administration pour IPCOP 1.4.x
PSFTP vous permet de modifier les permissions des fichiers et des répertoires situés sur la
machine distante. Pour cela, utilisez la commande chmod, qui fonctionne de façon très
similaire à la commande Unix du même nom.
La syntaxe est la suivante : chmod modes fichier, avec modes qui correspond à la
modification à apporter aux permissions du fichier, et fichier qui est le nom du fichier dont
il faut modifier les permissions. Vous pouvez indiquer plusieurs noms de fichiers à la fois, et
l'usage des caractères génériques est autorisé. Exemple :
chmod go-rwx,u+w fichier_perso
chmod a+r public*
chmod 640 fichier1 fichier2
Le paramètre modes peut être un ensemble de chiffres en octal dans le style Unix ( si vous ne
savez pas ce que cela signifie, mieux vaut éviter de s'en servir ! ).
Ce peut être aussi une liste de modifications sur les permissions, séparées par des virgules.
Chacune de ces modifications se compose de trois choses :
• les personnes concernées par la modification :
o u ( user ) : l'utilisateur propriétaire du fichier,
o g ( group ) : les membres du groupe propriétaire du fichier,
o o ( others ) : tous les autres utilisateurs,
o ou une combinaison de ces trois lettres,
o ou encore a ( all ), pour concerner tout le monde en une seule fois.
• un signe + ou -, pour indiquer si les permissions doivent être accordées ou retirées.
• les permissions qu'il faut effectivement accorder ou retirer :
o r ( read ) : permission de lire le fichier,
o w ( write ) : permission d'écrire dans le fichier,
o x ( execute ) : permission d'exécuter le fichier ou, dans le cas d'un répertoire,
permission d'accéder aux fichiers que contient ce répertoire.
Les exemples donnés ci-dessus correspondraient donc à cela :
• Dans le premier exemple, go-rwx retire les permissions de lecture, d'écriture et
d'exécution pour les membres du groupe propriétaire et pour tous les autres gens ( tous
les autres gens sauf le propriétaire du fichier, bien entendu ). Les seules permissions
qui restent sont donc celles accordées au propriétaire du fichier. Et u+w ajoute au
propriétaire du fichier la permission d'écrire dans le fichier.
• Dans le second exemple, a+r ajoute la permission de lire à tout le monde, pour tous
les fichiers et les répertoires dont le nom commence par 'public'.
En plus de tout cela, il y a quelques petites particulariés propres aux systèmes Unix ( qui ont
bien peu de chances de servir à quoi que ce soit sur les systèmes non-Unix ) :
• Vous pouvez utiliser u+s et u-s pour positionner et - respectivement - pour retirer le
bit « set-user-ID ». Ce bit particulier n'est utile que dans des cas bien précis. Veuillez
vous référer à la documentation de votre système Unix si vous avez un doute à ce
sujet.
• Vous pouvez utiliser g+s et g-s pour positionner et - respectivement - pour retirer le
bit « set-group-ID ». Sur un fichier, ce bit agit comme le bit set-user-ID ( encore une
fois, reportez vous à la documentation de votre système ). Sur un répertoire, il fait en
sorte que les fichiers créés dans ce répertoire soient accessibles aux membres du
groupe qui est propriétaire du répertoire.
55

Logiciel d’administration pour IPCOP 1.4.x
• Vous pouvez utiliser +t et -t pour positionner et - respectivement - pour retirer le
« sticky bit ». Appliqué à un répertoire, ce bit a pour effet de permettre au propriétaire
d'un fichier ( situé dans ce répertoire ) de supprimer ce fichier ( alors que,
habituellement, seul le propriétaire du répertoire a le droit de le faire ).
II.15 La commande del : effacer des fichiers sur la machine
distante
Pour supprimer un fichier sur la machine distante, tapez del avec le nom du ou des fichiers à
effacer :
del vieux_fichier.dat
del fichier1.txt fichier2.txt
del *.o
Les fichiers sont supprimés sans demande de confirmation, même si la demande de
suppression porte sur plusieurs fichiers.
del ne supprime que les fichiers. Si vous voulez supprimer des répertoires, c'est rmdir qu'il
faut utiliser.
La commande rm fonctionne exactement de la même manière que del.
II.16 La commande mkdir : pour créer des répertoires sur la
machine distante
Pour créer un répertoire sur la machine distante, tapez mkdir suivi du nom du répertoire :
mkdir nouveau_dossier
Il est possible de créer plusieurs répertoires en une seule fois
mkdir dossier1 dossier2 dossier3
II.17 La commande rmdir : pour effacer des répertoires sur la
machine distante
Pour supprimer un répertoire sur la machine distante, tapez rmdir suivi du nom du (ou des)
répertoire(s) à supprimer :
rmdir vieux_machins
rmdir *.old vieilleries
Les répertoires seront effacés sans demande de confirmation, même s'il y en a plusieurs à
supprimer d'un coup.
La plupart des serveurs SFTP refusent de supprimer un répertoire non vide, donc il vous
appartient d'en effacer le contenu auparavant.
56

Logiciel d’administration pour IPCOP 1.4.x
57

Logiciel d’administration pour IPCOP 1.4.x
II.18 La commande mv : pour déplacer et renommer des fichiers sur
la machine distante
Pour renommer un seul fichier sur la machine distante, tapez mv, suivi du nom actuel du
fichier, puis de son nouveau nom :
mv ancien_nom nouveau_nom
Vous pouvez aussi déplacer le fichier vers un autre répertoire, et le renommer par la même
occasion :
mv ancien_nom ailleurs/nouveau_nom
Pour déplacer un ou plusieurs fichiers dans un sous-répertoire déjà existant, indiquez le nom
du ou des fichiers à déplacer ( avec des caractères génériques, si besoin est ), puis le nom du
répertoire cible :
mv fichier dossier
mv fichier1 dossier1/fichier2 dossier2
mv *.c *.h ..
Les commandes rename et ren fonctionnent exactement de la même manière que mv.
II.19 La commande ! : lancer une commande Windows sur la machine
locale
Vous pouvez lancer des commandes Windows sur la machine locale grâce à la commande !.
C'est la seule commande de PSFTP qui ne soit pas soumise aux règles d'utilisation des
guillemets expliquées dans la section 6.2.1. Quand une ligne de commande commence par le
caractère !, le reste de la ligne est transmis à Windows tel quel.
Par exemple, si vous voulez déplacer une copie existante d'un fichier avant d'en télécharger
une nouvelle version, vous pouvez taper par exemple :
psftp> !ren mon_fichier.dat mon_fichier.bak
psftp> get mon_fichier.dat
en utilisant la commande Windows ren pour renommer l'ancien fichier en local sur votre PC.
III. Utilisation de l'authentification par clé publique / clé privée avec PSFTP
Comme PuTTY, PSFTP sait gérer l'authentification par clé publique / clé privée plutôt que
par mot de passe. Vous pouvez faire cela de trois façons différentes :
Premièrement, PSFTP sait utiliser les sessions sauvegardées de PuTTY en lieu et place de
noms de machines. Vous pourriez donc faire ceci :
• Lancez PuTTY, et créez une session sauvegardée PuTTY ( cf. section 4.1.2 ) dans
laquelle vous indiquez votre fichier de clé privée ( voir à ce sujet la section 4.20.7 ).
Vous pouvez également y indiquer le nom d'utilisateur sous lequel vous voulez vous
connecter à la machine distante ( cf. section 4.14.1 ).
• Dans PSFTP, vous pouvez alors utiliser le nom de la session sauvegardée au lieu du
nom de machine : tapez psftp nom_de_session, en remplaçant, bien entendu,
58

Logiciel d’administration pour IPCOP 1.4.x
nom_de_session par le nom du fichier dans lequel vous avez sauvegardé votre
session PuTTY.
Deuxièmement, vous pouvez indiquer le nom d'un fichier de clé privée en ligne de
commande, avec l'option -i ( pour plus de détails à ce sujet, veuillez vous reporter à la
section 3.8.3.18 ).
Troisièmement, PSFTP essaie de s'authentifier en passant par Pageant si Pageant est lancé
( pour plus de renseignements à ce sujet, voir le chapitre 9 ). Pour cela, procédez comme suit :
• Assurez-vous que Pageant est lancé, et que votre clé privée est chargée dedans.
• Indiquez à PSFTP un nom d'utilisateur et un nom de machine distante comme vous le
feriez normalement ( mais pas de mot de passe ). PSFTP va détecter Pageant et
essayer d'utiliser les clés qui y sont stockées.
Pour plus d'informations au sujet de l'authentification par clé publique / clé privée, veuillez
vous reporter au chapitre 8.
59

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 7 : utilisation de l'outil Plink de connexion en ligne de
commande
Plink ( PuTTY Link ) est un outil de connexion en ligne de commande similaire à la
commande Unix ssh. On l'utilise principalement pour des connexions automatisées, comme
de permettre à CVS d'accéder ( de façon sécurisée ) à un référentiel situé sur une autre
machine.
Si vous souhaitez ouvrir une connexion interactive dans une fenêtre de console, Plink n'est
probablement pas ce dont vous avez besoin.
I. Lancement de Plink
Plink est une application en ligne de commande. Vous ne pouvez donc pas lancer Plink en
double-cliquant sur son icône. Au lieu de cela, il faut ouvrir une fenêtre de console. Sous
Windows 95, 98, et ME, cela s'appelle Commandes MS-DOS, et sous Windows NT, 2000, et
XP, c'est Invite de commandes. Selon la version de Windows que vous utilisez, vous
trouverez cela soit directement dans Démarrer / Programmes, soit dans Démarrer /
Programmes / Accessoires.
Pour utiliser Plink, il faut que le répertoire contenant l'exécutable plink.exe soit listé dans
votre variable d'environnement PATH, ou que ce soit le répertoire courant au moment où vous
tapez la commande. Pour ajouter le répertoire de Plink dans votre variable PATH, tapez ceci
dans la fenêtre de commandes :
set PATH=C:\répertoire\qui\contient\putty;%PATH%
Cela ne fonctionnera que jusqu'à que vous fermiez cette fenêtre de console. Pour que la
modification de votre variable PATH soit permanente, sous Windows NT, 2000, et XP, allez
dans l'onglet Avancé des propriétés du Poste de travail, ou de l'icône Système du panneau de
configuration. Sous Windows 95, 98, et ME, il vous faudra modifier votre fichier
AUTOEXEC.BAT pour y ajouter une commande set comme celle ci-dessus.
II. Utilisation de Plink
Voici une description des rudiments de l'utilisation de Plink pour les sessions interactives et
les connexions automatisées.
Une fois que vous avez une fenêtre de console dans laquelle entrer des commandes, vous
pouvez taper juste plink, sans rien d'autre, pour afficher un message d'aide concise. Cela
vous indique la version de Plink que vous utilisez, et vous donne un bref résumé des options
disponibles :
Z:\sysosd>plink
PuTTY Link: command-line connection utility
Release 0.60
Usage: plink [options] [user@]host [command]
("host" can also be a PuTTY saved session name)
Options:
-V print version information and exit
60

Logiciel d’administration pour IPCOP 1.4.x
-pgpfp print PGP key fingerprints and exit
-v show verbose messages
-load sessname Load settings from saved session
-ssh -telnet -rlogin -raw
force use of a particular protocol
-P port connect to specified port
-l user connect with specified username
-batch disable all interactive prompts
The following options only apply to SSH connections:
-pw passw login with specified password
-D [listen-IP:]listen-port
Dynamic SOCKS-based port forwarding
-L [listen-IP:]listen-port:host:port
Forward local port to remote address
-R [listen-IP:]listen-port:host:port
Forward remote port to local address
-X -x enable / disable X11 forwarding
-A -a enable / disable agent forwarding
-t -T enable / disable pty allocation
-1 -2 force use of particular protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-noagent disable use of Pageant
-agent enable use of Pageant
-m file read remote command(s) from file
-s remote command is an SSH subsystem (SSH-2 only)
-N don't start a shell/command (SSH-2 only)
-nc host:port
open tunnel in place of session (SSH-2 only)
Une fois que ceci fonctionne, vous êtes prêt à utiliser Plink.
II.1 Utilisation de Plink pour l'ouverture de sessions interactives
Pour établir une simple connexion interactive sur une machine distante, tapez juste plink
suivi du nom de la machine :
Z:\sysosd>plink flunky.exemple.com
Debian GNU/Linux 2.2 flunky.exemple.com
flunky login:
Vous devriez alors être en mesure de vous connecter et d'ouvrir une session comme en temps
normal. Ce que renvoie la machine distante sera affiché tel quel dans la fenêtre de votre invite
de commandes, qui n'interprétera probablement pas les codes de contrôle du terminal de la
façon attendue par la machine distante. Ce qui fait que si vous utilisez des applications qui
affichent en plein écran, par exemple, vous pouvez vous attendre à voir apparaître des
caractères bizarres dans votre fenêtre. Les connexions en interactif comme cela ne sont pas le
point fort de Plink.
Pour vous connecter avec un autre protocole, vous pouvez utiliser les options en ligne de
commande -ssh, -telnet, -rlogin ou encore -raw. Pour établir une connexion SSH, par
exemple :
Z:\sysosd>plink -ssh login.exemple.com
login as:
61

Logiciel d’administration pour IPCOP 1.4.x
Si vous avez déjà configuré une session sauvegardée PuTTY, alors au lieu d'indiquer un nom
de machine, vous pouvez mettre le nom de la session sauvegardée. Ceci vous permet d'utiliser
de l'authentification par clé publique, d'indiquer un nom d'utilisateur, et d'utiliser la plupart
des autres fonctionnalités de PuTTY :
Z:\sysosd>plink ma-session-ssh
Sent username "fred"
Authenticating with public key "fred@winbox"
Last login: Thu Dec 6 19:25:33 2001 from :0.0
fred@flunky:~$
Vous pouvez également utiliser l'option de ligne de commande -load pour charger une
session sauvegardée ( voir à ce sujet la section 3.8.3.1 ). Si vous utilisez -load, que la session
sauvegardée existe et qu'elle comporte l'indication d'un nom de machine distante, alors vous
ne pouvez pas indiquer en plus un nom de machine, précédé ou non d'un nom d'utilisateur :
il(s) serai(en)t interprétés comme faisant partie de la commande destinée à la machine
distante.
II.2Utilisation de Plink pour l'établissement de connexions
automatisées
En général, Plink est utilisé avec le protocole SSH, pour vous permettre de « parler »
directement à un programme s'exécutant sur la machine distante. Pour cela, vous devez vous
assurer que Plink utilise bien le protocole SSH, ce que vous pouvez faire de différentes
façons :
• vous pouvez utiliser l'option en ligne de commande -ssh, décrite dans la section 7.2.1.
• vous pouvez configurer une session sauvegardée PuTTY qui indique à la fois la
machine à laquelle vous voulez vous connecter et le protocole à utiliser ( SSH ).
• vous pouvez donner à la variable d'environnement Windows PLINK_PROTOCOL la
valeur ssh.
Il est rare que Plink soit lancé directement par l'utilisateur. Il est le plus souvent lancé
automatiquement, par un autre processus. C'est la raison pour laquelle on ne souhaite
généralement pas que Plink demande de taper un nom d'utilisateur ou un mot de passe.
Vous pouvez également souhaiter éviter l'apparition à l'écran des diverses invites interactives
que Plink est susceptible d'afficher. En l'occurrence, Plink peut être amené à vous demander
de vérifier et d'approuver la clé d'hôte de la machine à laquelle vous vous connectez, ou
d'entrer un nom d'utilisateur, ou un mot de passe.
Pour éviter qu'on vous demande de vérifier et d'approuver la clé d'hôte d'une machine distante
lorsque vous utilisez Plink pour vous y connecter de façon automatique, connectez-vous à
cette même machine une première fois en manuel ( avec PuTTY ou Plink, au choix ), vérifiez
la clé d'hôte ( voir à ce sujet la section 2.2 ), et tapez Yes pour ajouter la clé d'hôte dans la
base de registres. Une fois que c'est fait, les commandes Plink destinées à cette même
machine ne devraient pas provoquer l'apparition de cette demande de confirmation, à moins,
bien sûr, que la clé d'hôte de la machine distante ne change.
Pour éviter qu'on vous demande un nom d'utilisateur, vous pouvez :
• utiliser l'option -l pour indiquer un nom d'utilisateur en ligne de commande
( exemple : plink login.exemple.com -l fred ).
62

Logiciel d’administration pour IPCOP 1.4.x
• configurer une session sauvegardée PuTTY dans laquelle figurent les caractéristiques
de la machine à laquelle vous vous connectez, et qui indique également le nom
d'utilisateur que vous souhaitez utiliser ( pour plus d'informations à ce sujet, veuillez
vous reporter à la section 4.14.1 ).
Pour éviter qu'on vous demande un mot de passe, le mieux à faire est certainement de mettre
en place une authentification par clé publique ( pour une introduction générale à
l'authentification par clé publique, veuillez vous reporter au chapitre 8 ). Là aussi, vous
pouvez vous y prendre de deux façons différentes :
• soit vous configurez une session sauvegardée PuTTY dans laquelle sont indiqués le
nom de la machine à laquelle vous vous connectez et votre fichier de clé privée ( voir
à ce sujet la section 4.20.7 ), mais pour que cela fonctionne sans qu'on vous demande
quoi que ce soit, il faut que votre clé privée n'ait pas de phrase de passe ( [NdT] ce qui
n'est pas une bonne chose, point de vue sécurité ).
• soit vous stockez la clé privée dans Pageant ( [NdT] auquel cas vous n'avez plus
besoin de taper votre phrase de passe qu'une seule fois, au début de votre session
Windows, ce qui est certainement le meilleur compromis entre sécurité et confort
d'utilisation ) ( voir le chapitre 9 pour plus d'informations à ce sujet ).
Une fois que vous avez fait tout cela, vous devriez être en mesure de lancer une commande à
distance sur la machine serveur SSH, qui l'exécutera alors automatiquement, sans rien
demander :
Z:\sysosd>plink login.exemple.com -l fred echo Bonjour, le monde !
Bonjour, le monde !
Z:\sysosd>
Ou alors, si vous avez sauvegardé une session, avec tous les détails enregistrés dedans :
Z:\sysosd>plink ma_session echo Bonjour, le monde !
Bonjour, le monde !
Z:\sysosd>
Vous pouvez alors configurer d'autres programmes pour qu'ils utilisent cette commande Plink
et qu'ils s'adressent à Plink comme s'ils s'adressaient à un processus tournant sur la machine
distante.
II.3 Options en ligne de commande de Plink
Plink reconnaît toutes les options en ligne de commande communes à tous les outils PuTTY.
Veuillez vous reporter à la section 3.8.3 pour une description de ces options.
Plink supporte également certaines options en ligne de commande qui lui sont spécifiques, et
qui sont décrites dans les sections ci-dessous :
63

Logiciel d’administration pour IPCOP 1.4.x
II.3.1 -batch : désactiver toutes les invites interactives
Si vous ajoutez l'option -batch, Plink n'affichera jamais d'invite interactive pendant
l'établissement de la connexion. Si la clé d'hôte de la machine distante est invalide, par
exemple ( voir à sujet la section 2.2 ), alors la connexion sera simplement abandonnée, sans
qu'il vous soit demandé ce qu'il y a lieu de faire.
Cela peut s'avérer commode lorsque Plink est utilisé dans des scripts batch : grâce à l'option -
batch, si quelque chose ne va pas comme cela devrait, au moment de la connexion, le script
batch se termine avec une erreur plutôt que de rester bloqué.
SSH
II.3.2 -s : pour lancer une commande à distante dans un sous-système
Si vous ajoutez l'option -s, Plink transmet à la machine distante la commande indiquée après
le -s comme étant le nom d'un 'sous-système' SSH et non une ligne de commande ordinaire.
Cette option n'a de sens qu'avec le protocole SSH-2.
III. Utilisation de Plink dans des fichiers batchs et dans des scripts
Une fois que vous avez configuré Plink pour qu'il soit capable de se connecter à une machine
sans vous poser de questions, et sans attendre de réponses de votre part ( voir à ce sujet la
section 7.2.2 ), vous pouvez vous en servir pour tout un tas de scripts. Par exemple, pour
lancer une sauvegarde sur une machine distante, vous pourriez utiliser une commande comme
celle-ci :
plink root@mon_serveur /etc/sauvegardes/lancer-sauvegarde.sh
Vous pourriez aussi vouloir récupérer toutes les lignes, dans un fichier de log système, qui se
rapportent à un sujet particulier :
plink ma_session grep /~fred/ /var/log/httpd/access.log > fredlog
En fait, toute commande non interactive, que vous pouvez lancer en ligne de commande sur la
machine distante, peut faire l'objet d'un script lancé avec Plink de cette manière.
IV. Utilisation de Plink avec CVS
Pour utilisez Plink avec CVS, vous devez donner à la variable d'environnement CVS_RSH le
chemin complet d'accès à Plink :
set CVS_RSH=\chemin\de\plink\plink.exe
Vous devez aussi faire le nécessaire pour pouvoir vous connecter à une machine distante ( le
serveur CVS, en l'occurrence ) de façon entièrement automatisée, comme cela est décrit dans
la section 7.2.2.
64

Logiciel d’administration pour IPCOP 1.4.x
Vous devriez alors être en mesure de lancer CVS comme ceci :
cvs -d :ext:nom_utilisateur@nom_session:/emplacement/du/référentiel co
module
Et si vous avez indiqué un nom d'utilisateur dans votre session sauvegardée, vous n'avez
même pas besoin d'en mettre un après :ext:, ni de mettre d'arobace, et vous pouvez juste
taper :
cvs -d :ext:nom_session:/emplacement/du/référentiel co module
V Utilisation de Plink avec WinCVS
Plink peut également être utilisé avec WinCVS. Tout d'abord, faites le nécessaire pour que
Plink puisse se connecter à une machine distante de façon non interactive, comme cela est
décrit dans la section 7.2.2. Une fois que c'est fait, dans WinCVS, allez dans la boîte de
dialogue Preferences, que vous trouverez dans le menu Admin, et allez dans l'onglet Ports.
Cochez la case Check for an alternate rsh name. Dans la zone de saisie de texte à droite,
saisissez le chemin complet pour accéder à plink.exe, et faites OK pour refermer la boîte de
dialogue 'Preferences'.
Ensuite, choisissez Command Line dans le menu Admin de WinCVS, et tapez une
commande CVS comme dans la section 7.4. Exemple :
cvs -d :ext:nom_utilisateur@nom_machine:/chemin/pour/accéder/au/référentiel
co nom_module
ou alors, si vous utilisez une session sauvegardée :
cvs -d :ext:nom_utilisateur@nom_session:/chemin/pour/accéder/au/référentiel
co nom_module
Sélectionnez le dossier dans lequel vous souhaitez placer votre copie de travail, grâce au
bouton Change Folder, et cliquez sur OK pour emprunter votre module. Une fois que vos
modules sont empruntés, WinCVS fera appel à plink pour réaliser vos opérations CVS
depuis l'interface graphique.
65

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 8 : utilisation de clés publiques pour l'authentification
SSH
I. Introduction à l'authentification par clé publique
L'authentification par clé publique est une autre façon de vous identifier auprès d'une machine
distante, qui ne demande pas de taper un mot de passe. C'est une méthode sûre, plus souple
que l'authentification par mot de passe, mais aussi plus difficile à mettre en place.
Dans le cas de l'authentification classique par mot de passe, vous prouvez que vous êtes bien
qui vous prétendez être en montrant que vous connaissez le bon mot de passe. La seule façon
de montrer que vous connaissez ce mot de passe est d'indiquer à la machine distante le mot de
passe que vous pensez être le bon. En conséquence, si la machine distante a été piratée, ou si
son adresse IP a été usurpée ( voir à ce sujet la section 2.2 ), le pirate peut découvrir votre mot
de passe à cette occasion.
L'authentification par clé publique résoud ce problème. Vous générez une paire de clés,
composée d'une clé publique ( que tout le monde a le droit de connaître ) et d'une clé privée
( que vous devez garder secrète, et ne communiquer à personne ). La clé privée permet de
générer des signatures. Une signature créée à l'aide de votre clé privée ne peut pas être
falsifiée sans disposer de cette même clé. En revanche, quiconque a connaissance de votre clé
publique peut vérifier si une signature qui est censée être la vôtre est effectivement
authentique, ou non.
Vous générez donc une paire de clés sur votre propre ordinateur, puis vous vous connectez à
la machine distante ( en vous authentifiant par mot de passe ), le temps d'y copier votre clé
publique. Une fois que c'est fait, vous pouvez vous déconnecter. La fois d'après, lorsque la
machine distante vous demande de prouver qui vous êtes, PuTTY génère une signature à
l'aide de votre clé privée. La machine distante peut vérifier l'authenticité de cette signature
grâce à votre clé publique, que vous venez d'y copier, et vous permettre d'ouvrir une session.
Et si jamais la machine distante a été piratée, ou si son adresse a été usurpée, le pirate
n'obtient pas pour autant votre clé privée, ni votre mot de passe. Tout ce qu'il obtient, c'est une
signature. Et comme les signatures sont à usage unique, au final, il n'a rien gagné dans
l'affaire.
Cela ne va pas sans poser problème : si jamais votre clé privée est rangée dans votre
ordinateur sans protection particulière, alors quiconque qui parvient à y accéder se retrouve en
mesure de générer des signatures à votre place, et donc de se faire passer pour vous. C'est
pourquoi votre clé privée est généralement chiffrée lorsqu'elle est stockée sur votre machine
locale, à l'aide d'une phrase de passe de votre choix. Pour pouvoir générer une signature,
PuTTY doit alors déchiffrer la clé, et pour cela, vous devez taper votre phrase de passe.
Cela peut rendre l'authentification par clé publique moins commode que l'authentification par
mot de passe : chaque fois que vous vous connectez à une machine distante, au lieu de taper
un mot de passe relativement court, vous êtes obligé de taper une phrase de passe plutôt
longue. Une solution à cela consiste à utiliser un agent d'authentification, c'est à dire un
programme séparé dont le rôle consiste à conserver les clés privées sous forme non chiffrée,
et à générer des signatures à la demande. L'agent d'authentification de PuTTY s'appelle
Pageant. Lorsque vous ouvrez une session Windows, il vous suffit de lancer Pageant et d'y
charger votre clé privée ( votre phrase de passe vous sera bien entendu demandée, mais vous
n'aurez besoin de la taper qu'une seule fois ). Et pendant tout le reste de votre session
Windows, vous pouvez lancer PuTTY autant de fois que vous voulez, et vous connecter à
autant de machines que vous le souhtaiez, Pageant génèrera automatiquement les signatures
66

Logiciel d’administration pour IPCOP 1.4.x
requises, sans que vous n'ayez à vous soucier de quoi que ce soit. Lorsque vous fermerez
votre session Windows, Pageant s'arrêtera, sans jamais avoir écrit votre clé privée en clair sur
le disque dur. De nombreuses personnes estiment que c'est là un bon compromis entre la
sécurité et la facilité d'utilisation ( veuillez vous reporter au chapitre 9 pour plus de détails à
ce sujet ).
Il existe plusieurs algorithmes d'authentification par clé publique. Le plus courant est RSA,
mais il en existe d'autres, notamment DSA ( également connu sous le nom DSS, qui veut dire
Digital Signature Standard, et qui est le standard de signature numérique du gouvernement
fédéral américain ). Les types de clés reconnus par PuTTY sont décrits dans la section 8.2.2.
II. Utilisation de PuTTYgen, le générateur de clés de PuTTY
PuTTYgen est un générateur de clés. Il génère des paires de clés publiques et privées
destinées à être utilisées avec PuTTY, PSCP, et Plink, ainsi qu'avec Pageant, l'agent
d'authentification de PuTTY ( voir chapitre 9 ). PuTTYgen génère des clés RSA et DSA.
Lorsque vous lancez PuTTYgen, vous obtenez une fenêtre où vous avez le choix entre
'Generate' ( générer une nouvelle paire de clés ), ou 'Load' pour charger une clé privée
existante.
II.1 Génération d'une nouvelle clé
Voici un aperçu rapide de la marche à suivre pour générer une nouvelle paire de clés. Les
sections qui suivent décrivent le processus plus en détail.
67

Logiciel d’administration pour IPCOP 1.4.x
• D'abord, vous devez choisir quel type de clé vous souhaitez générer, ainsi que la
longueur de la clé, qui déterminera sa « solidité ». Cela est décrit en détail dans la
section 8.2.2 et dans la section 8.2.3.
• Ensuite, cliquez sur le bouton 'Generate', pour lancer effectivement le processus de
génération de la clé. La section 8.2.4 traite de cette étape.
• Une fois que vous avez généré la clé, indiquez un commentaire ( cf. section 8.2.6 ) et
une phrase de passe ( cf. section 8.2.7 ).
• Vous êtes maintenant prêt à sauvegarder la clé privée sur disque. Cliquez sur le bouton
'Save private key' ( voir à sujet la section 8.2.8 ).
Votre paire de clés est maintenant prête à l'usage. Vous pouvez, si vous le souhaitez, copier
votre clé publique sur les machines auxquelles vous voudrez vous connecter, soit en faisant un
copier/coller du champ 'Public key for pasting into OpenSSH authorized_keys file' ( voir à
ce sujet la section 8.2.10 ), soit en cliquant sur le bouton 'Save public key' ( cf. section 8.2.9 ).
Cela dit, vous n'êtes pas obligé de faire cela tout-de-suite-maintenant-immédiatement-sur-lechamp.
Vous pouvez aussi recharger la clé privée dans PuTTYgen, plus tard ( voir à ce sujet
la section 8.2.11 ), et cela vous redonnera accès à la clé publique, que vous pourrez alors
copier/coller ou sauvegarder à votre guise.
La section 8.3 décrit la marche à suivre typique pour configurer PuTTY de façon à qu'il utilise
l'authentification par clé publique, et pour configurer votre serveur SSH de façon à ce qu'il
accepte ce mode d'authentification.
II.2 Choix du type de clé
Avant de générer une paire de clés à l'aide de PuTTYgen, vous devez choisir un type de clé.
PuTTYgen reconnaît actuellement trois types de clés :
• les clés RSA à utiliser avec le protocole SSH-1.
• les clés RSA à utiliser avec le protocole SSH-2.
• les clés DSA à utiliser avec le protocole SSH-2.
Le protocole SSH-1 n'accepte que les clés RSA. Si vous devez vous utiliser le protocole SSH-
1, alors il faut choisir le premier type de clé, faute de quoi votre clé ne vous servira
absolumement à rien.
Le protocole SSH-2, lui, reconnaît plusieurs types de clés. Les deux types reconnus par
PuTTY sont RSA et DSA.
Les développeurs de PuTTY vous conseillent fortement d'utiliser RSA. DSA a une faiblesse
intrinsèque qui rend très facile la création d'une signature contenant suffisamment
d'information pour révéler la clé privée ! Ceci permettrait à un pirate de se faire passer pour
vous pour un nombre quelconque de sessions ultérieures. Lors de l'implémentation de PuTTY,
beaucoup de précautions ont été prises pour éviter ce défaut, mais nous ne pouvons pas être
certains à 100% d'avoir réussi, donc si vous avez le choix, nous vous recommandons vraiment
d'utiliser les clés RSA à la place.
Si vous avez vraiment besoin de vous connecter à un serveur SSH qui ne reconnaît que les
clés DSA, alors vous n'avez pas tellement le choix, mais dans ce cas, nous vous conseillons de
ne pas utiliser la même clé pour vous authentifier auprès de plusieurs machines différentes.
68

Logiciel d’administration pour IPCOP 1.4.x
II.3 Choix de la taille ( et donc de la solidité ) de la clé
Le champ 'Number of bits in a generated key' vous permet de choisir le nombre de bits de la
clé que PuTTYgen va générer, autrement dit sa solidité .
Actuellement, 1024 bits devraient suffire pour la plupart des usages.
Veuillez noter qu'une clé RSA est générée en cherchant deux nombres premiers qui font
chacun la moitié de la longueur demandée, et en les multipliant l'un avec l'autre. Par exemple,
si vous demandez à PuTTYgen une clé RSA de 1024 bits, il va prendre deux nombres
premiers de 512 bits chacun et les multiplier ensemble. Le résultat de cette multiplication peut
faire 1024 bits de long, mais il peut aussi n'en faire que 1023. Il se peut donc que vous
n'obteniez pas exactement la longueur de clé que vous avez demandée. C'est parfaitement
normal, et il n'y a pas lieu de s'en inquiéter. Il n'y a normalement pas plus d'un bit de
différence entre la longueur demandée et la longueur obtenue, et cela n'engendre pas de baisse
sensible du niveau de sécurité.
Les clés DSA, en revanche, ne sont pas créées en multipliant ensemble des nombres premiers.
Elles doivent donc toujours avoir la longueur que vous avez demandée, sinon c'est qu'il y a un
problème.
II.4 Le bouton 'Generate'
Une fois que vous avez choisi un type de clé et une longueur en bits, cliquez sur le bouton
'Generate' et PuTTYgen commencera effectivement à générer la clé.
69

Logiciel d’administration pour IPCOP 1.4.x
Une barre de progression apparaîtra et PuTTYgen vous demandera de déplacer votre souris un
peu n'importe comment, pour produire quelque chose d'aléatoire. Faites des ronds ou des
zigzags avec la souris au dessus de la zone vide de la fenêtre de PuTTYgen, et la barre de
progression va petit à petit se remplir, à mesure que PuTTYgen reçoit ces informations
aléatoires que sont les différentes positions successives de la souris manipulée au hasard.
Vous n'avez pas besoin de faire décrire à votre souris des motifs particulièrement originaux
( bien que cela ne puisse pas nuire ). En effet, il n'est pas possible de faire décrire à la souris
plusieurs fois de suite exactement la même trajectoire, au pixel près, quand on la bouge à la
main, et cela suffit à PuTTYgen comme informations aléatoires.
Une fois que la barre de progression arrive à son terme, PuTTYgen commence à créer la clé
pour de bon. La barre de progression repart du début, et elle se remplit une deuxième fois
pour indiquer l'état du processus de fabrication de la clé. Ce deuxième « remplissage » peut
fort bien ne pas être régulier, et peut même marquer des temps d'arrêt par moments. C'est
quelque chose d'inévitable, malheureusement, parce que la génération d'une clé est un
processus aléatoire, et il n'est pas possible de prédire de façon fiable combien de temps il va
prendre.
Une fois que la génération de la clé est finie, de nouveaux champs et de nouveaux boutons
apparaissent dans la fenêtre de PuTTYgen, à la place de la zone où il fallait agiter la souris un
peu dans tous les sens.
II.5 La ligne 'Key fingerprint' ( empreinte de la clé )
La ligne 'Key fingerprint' vous présente une empreinte de la clé générée. Cette empreinte est
obtenue par un procédé cryptographique à partir de la valeur de la clé publique, et n'a donc
pas besoin d'être gardée secrète.
70

Logiciel d’administration pour IPCOP 1.4.x
La valeur de l'empreinte est censée être sûre d'un point de vue cryptographique, en ce sens
qu'il n'est pas possible de fabriquer une autre clé qui ait la même empreinte, ni de trouver une
clé à partir de son empreinte. C'est pourquoi certains utilitaires, tels que Pageant, dans sa liste
des clés ( voir section 9.2.1 ), et l'utilitaire Unix ssh-add, affichent la liste des empreintes de
clés plutôt que les clés publiques dans leur intégralité.
II.6 Choix d'un commentaire pour votre clé
Si vous avez plus d'une clé et que vous les utilisez pour des besoins différents, il n'est
heureusement pas nécessaire que vous appreniez par cœur les empreintes des clés pour
pouvoir les différencier les unes des autres. PuTTYgen vous permet d'associer un
commentaire à votre clé, qui sera affiché à chaque fois que PuTTY ou Pageant vous
demandera la phrase de passe correspondante.
Si vous n'indiquez pas de commentaire, le commentaire par défaut contient le type de la clé et
la date à laquelle elle a été générée, comme par exemple rsa-key-20011212. Une autre façon
de faire relativement courante consiste à mettre comme commentaire votre nom d'utilisateur
et le nom de la machine à laquelle vous allez vous connecter avec cette clé, comme par
exemple simon@pc-de-simon.
Pour modifier le commentaire associé à la clé juste après l'avoir générée, il vous suffit de
taper ce que vous voulez dans le champ 'Key comment' avant de sauvegarder la clé privée. Et
si vous voulez le modifier après coup, vous n'avez qu'à recharger la clé privée dans
PuTTYgen, modifier le commentaire, et sauvegarder le tout à nouveau.
II.7 Choix d'une phrase de passe pour votre clé
Les champs 'Key passphrase' et 'Confirm passphrase' vous permettent de choisir une phrase
de passe à associer à votre clé, et de la confirmer. La phrase de passe servira à crypter votre
clé avant de l'écrire sur le disque, si bien que vous ne pourrez pas l'utiliser sans montrer patte
blanche.
Lorsque vous sauvegardez la clé, PuTTYgen vérifie que les deux champs 'Key passphrase' et
'Confirm passphrase' contiennent bel et bien la même chose, exactement, et refuse de
sauvegarder la clé dans le cas contraire.
Si vous laissez ces deux champs vides, la clé sera stockée en clair sur le disque. Il ne faut pas
faire cela sans une bonne raison. Si vous le faites, votre fichier de clé privée est tout ce dont
un pirate a besoin pour accéder - en se faisant passer pour vous - à toute machine qui accepte
cette clé comme moyen d'authentification. Si vous voulez pouvoir ouvrir une session sans mot
de passe, et sans avoir à taper une phrase de passe à chaque fois, alors Pageant ( chapitre 9 )
est probablement ce dont vous avez besoin. Avec Pageant, votre clé n'est présente qu'en
mémoire vive, et non sur le disque, sous sa forme non cryptée.
Il y a des cas particuliers dans lesquels vous pouvez effectivement avoir besoin d'utiliser une
clé sans phrase de passe associée. Par exemple, si vous devez lancer un script pour
automatiser une tâche qui a besoin d'établir une connexion SSH, vous ne pourrez pas être là à
chaque fois pour taper la phrase de passe. Dans ce cas, nous vous conseillons de générer une
clé spécifique, que vous utiliserez pour ce script-là, et uniquement pour ce script-là. Au
niveau de la machine distante, à laquelle ce script a besoin de se connecter par SSH, vous
71

Logiciel d’administration pour IPCOP 1.4.x
devriez faire en sorte que chaque clé ne puisse être utilisée que pour ce à quoi elle est
spécifiquement destinée. Vous devriez normalement trouver des explications sur la façon de
faire cela dans la documentation du serveur SSH utilisé sur la machine distante ( cela peut
varier d'un serveur à l'autre ).
Choisir une bonne phrase de passe est quelque chose de difficile. De la même manière qu'il ne
faut pas utiliser un mot du dictionnaire comme mot de passe ( parce qu'il est facile et rapide
pour un pirate de passer en revue tous les mots du dictionnaire ), il ne faut pas non plus
prendre des paroles de chansons, une citation de quelqu'un de célèbre, ou une phrase connue,
quelle qu'elle soit, comme phrase de passe.
Le site DiceWare ( www.diceware.com ) conseille d'utiliser au moins cinq mots, chacun
choisi au hasard en lançant un dé (1) , ce qui donne 2 puissance 64 phrases de passe possibles
( soit un peu plus de dix-huit milliards de milliards ), et ce n'est sans doute pas une mauvaise
façon de faire. Si vous voulez que votre phrase de passe ait un sens, grammaticalement
parlant, cela réduit sensiblement l'éventail des possibilités, et il vous faudra sans doute alors
utiliser une phrase de passe qui fasse plus de cinq mots.
(1) un dé à jouer, en anglais, se dit dice ( ou die ), d'où le nom du site DiceWare.
72

Logiciel d’administration pour IPCOP 1.4.x
II.8 Sauvegarde de votre clé privée dans un fichier sur disque
Une fois que vous avez généré votre clé, que vous lui avez mis un commentaire et une phrase
de passe, vous êtes prêt à sauvegarder votre clé privée sur disque.
Cliquez sur le bouton 'Save private key'. PuTTYgen affiche alors une boîte de dialogue pour
vous demander où il doit sauvegarder la clé. Choisissez un répertoire, entrez un nom de
fichier, et appuyez sur 'Save'.
Ce fichier est dans le format natif de PuTTY ( *.PPK ). C'est ce fichier dont vous aurez besoin
pour vous authentifier avec PuTTY ( voir à ce sujet la section 4.20.7 ) ou que vous
demanderez à Pageant de charger en mémoire ( cf. section 9.2.2 ).
II.9 Sauvegarde de votre clé publique dans un fichier sur disque
La RFC 4716 spécifie un format standard pour enregistrer les clés publiques SSH-2 sur
disque. Certains serveurs SSH ( comme celui de ssh.com ) imposent d'utiliser une clé
publique écrite dans ce format avant pour accepter l'authentification avec la clé privé
correspondante. Certains autres, comme OpenSSH, utilisent un format différent ( voir à ce
sujet la section 8.2.10 ).
Pour sauvegarder votre clé publique au format standard SSH-2, cliquez sur le bouton 'Save
public key' de PuTTYgen, qui affiche alors une boîte de dialogue vous demandant où il doit
écrire le fichier. Choisissez un répertoire, entrez un nom de fichier, et cliquez sur 'Save'.
Une fois que c'est fait, vous voudrez sans doute copier le fichier contenant votre clé publique
sur la (ou les) machine(s) distante(s) auxquelles vous avez besoin de vous connecter. Veuillez
vous reporter à la section 8.3 pour des explications générales sur la marche à suivre pour
utiliser l'authentification par clé publique une fois que vous vous êtes généré une clé.
Si vous utilisez cette option avec une clé SSH-1, le fichier écrit par PuTTYgen contiendra
exactement le texte affiché dans le champ 'Public key for pasting into OpenSSH
authorized_keys file'. C'est le seul standard qui existe pour les clés publiques SSH-1.
II.10 Champ 'Public key for pasting into OpenSSH authorized_keys
file' ( clé publique à copier/coller dans le fichier authorized_keys
de OpenSSH )
Tous les serveurs SSH-1 exigent que votre clé publique leur soit transmise sur une seule ligne
( sans retours à la ligne, donc ) avant qu'ils n'acceptent de vous authentifier avec votre clé
privée. Le serveur OpenSSH exige également cela pour SSH-2.
Le champ 'Public key for pasting into OpenSSH authorized_keys file' fournit la clé
publique dans le format correct, sur une seule ligne. Ce que l'on fait généralement, c'est qu'on
sélectionne la totalité du contenu de ce champ avec la souris, qu'on fait Ctrl-C pour le copier
dans le presse-papiers, puis qu'on le colle dans une session PuTTY déjà connectée à la
machine distante.
73

Logiciel d’administration pour IPCOP 1.4.x
Veuillez vous reporter à la section 8.3 pour connaître la marche à suivre pour mettre en place
une authentification par clé publique une fois que vous avez généré une clé.
II.11 Rechargement d'une clé privée
PuTTYgen vous permet de charger en mémoire une clé privée déja existante. Si vous faites
cela, vous pouvez alors changer la phrase de passe et le commentaire avant de la sauvegarder
à nouveau. Vous pouvez aussi faire des copies supplémentaires de la clé publique.
Pour charger en mémoire une clé déjà existante, cliquez sur le bouton 'Load'. PuTTYgen
affiche une boîte de dialogue de recherche de fichier pour vous permettre de vous déplacer
parmi les répertoires et de sélectionner le fichier de la clé à ouvrir. Une fois que c'est fait,
PuTTYgen vous demande la phrase de passe ( s'il y en a une ) puis affiche la clé de la même
façon que s'il venait juste de la générer.
Si vous utilisez le bouton 'Load' pour charger une clé d'un format autre que celui de PuTTY,
cela fonctionnera, mais une boîte de message s'affichera pour vous avertir que la clé que vous
avez chargée n'est pas au format natif des clés PuTTY ( veuillez vous reporter à la
section 8.2.12, ci-dessous, pour savoir comment importer des clés d'autres formats ).
II.12 Utilisation de clés privées de formats différents
La plupart des clients SSH-1 utilisent un format standard pour écrire les clés privées sur le
disque. PuTTY utilise lui aussi ce format, ce qui fait que si vous avez généré une clé privée
SSH-1 à l'aide d'OpenSSH ou du client ssh.com, vous pouvez l'utiliser avec PuTTY, et vice
versa.
Il n'existe en revanche pas de format standard pour les clés privées SSH-2. OpenSSH,
ssh.com et PuTTY utilisent tous trois des formats différents. Une clé générée avec l'un de ces
clients ne peut donc pas être immédiatement utilisée avec un autre.
Grâce à la commande 'Import' du menu 'Conversions', PuTTYgen peut charger en mémoire
des clés privées SSH-2 aux formats OpenSSH et ssh.com. Une fois que vous avez chargé en
mémoire une clé de l'un de ces types, vous pouvez la sauvegarder à nouveau sur le disque,
dans le format de clé de PuTTY ( *.PPK ), de façon à pouvoir l'utiliser après coup avec
PuTTY et les outils associés. La phrase de passe ne sera pas modifiée par le processus de
conversion ( à moins bien sûr que vous ne décidiez d'en changer à cette occasion ). Vous
pouvez également profiter de l'occasion pour modifier le commentaire associé à la clé avant
de la re-sauvegarder, étant donné que le format de clé SSH-2 de OpenSSH ne comporte pas de
place réservée pour associer un commentaire à la clé, et que le format de commentaire de
ssh.com est au contraire long et bavard.
PuTTYgen peut également exporter les clés privées au format OpenSSH et au format
ssh.com. Pour cela, choisissez l'une des options 'Export' du menu 'Conversions'. L'export
d'une clé se passe exactement de la même manière que la sauvegarde d'une clé ( voir à ce sujet
la section 8.2.8 ), en ce sens qu'il vous faudra avoir tapé votre phrase de passe auparavant, et
que vous serez averti si vous vous apprêtez à sauvegarder une clé sans lui associer de phrase
de passe.
74

Logiciel d’administration pour IPCOP 1.4.x
Vous remarquerez que les commandes d'export du menu 'Conversions' ne sont pas
accessibles quand vous travaillez avec une clé SSH-1. C'est normal puisque le format de clé
SSH-1 est standardisé, et qu'il n'existe différents formats de clé que pour les clés SSH-2.
III. Se préparer à l'authentification par clé publique
Connectez-vous à la machine distante avec PuTTY, en utilisant le protocole SSH. Lorsque la
connexion est établie, il vous faudra entrer un nom d'utilisateur et un mot de passe pour ouvrir
la session. Une fois que ce sera fait, il vous faudra configurer le logiciel serveur SSH pour
qu'il accepte votre clé publique et qu'il s'en serve pour vous authentifier les fois suivantes :
• Si le logiciel serveur SSH de la machine distante utilise le protocole SSH-1, allez dans
le répertoire .ssh et ouvrez le fichier authorized_keys avec votre éditeur favori ( il
se peut que vous deviez le créer de toutes pièces si c'est la première fois que vous avez
une clé à mettre dedans ). Puis passez dans la fenêtre de PuTTYgen, sélectionnez tout
le contenu du champ 'Public key for pasting into OpenSSH authorized_keys file'
( cf. section 8.2.10 ), et copiez-le dans le presse-papiers ( Ctrl-C ). Revenez dans la
fenêtre PuTTY et insérez le contenu du fichier dans le fichier authorized_keys, en
vous assurant qu'il tient bien tout sur une seule ligne, et sauvegardez le fichier.
• Si le logiciel serveur SSH utilisé sur la machine distante est OpenSSH et qu'il utilise le
protocole SSH-2, faites comme ci-dessus, à ceci près que dans les anciennes versions
de OpenSSH 2, le fichier à modifier s'appelait parfois authorized_keys2 ( dans les
versions récentes, le même fichier authorized_keys est utilisé aussi bien pour les
clés SSH-1 que pour les clés SSH-2 ).
• Si le logiciel serveur SSH de la machine distante est celui de ssh.com et qu'il utilise le
protocole SSH-2, il faut que vous sauvegardiez un fichier de clé publique à partir de
PuTTYgen ( veuillez vous reporter à la section 8.2.9 pour voir comment faire ), et que
vous le copiiez dans le répertoire .ssh2 sur la machine distante. Après quoi, allez dans
ce répertoire .ssh2, et modifiez ( ou créez ) un fichier nommé authorization. Dans
ce fichier, il faut que vous mettiez une ligne du genre Key ma_clé.pub, en remplaçant
bien entendu ma_clé.pub par le vrai nom de votre fichier de clé.
• Pour d'autres logiciels serveurs SSH, veuillez vous référer au manuel de ces serveurs.
Vous avez également tout intérêt à vérifier que votre répertoire personnel ( votre « home
directory », comme on dit en bon français ), votre répertoire .ssh, ainsi que tout autre fichier
qui a un rôle à jouer dans le processus d'authentification ( comme par exemple les fichiers
authorized_keys, authorized_keys2 ou authorization ) ne sont pas accessibles en
écriture par le groupe, ni par le reste du monde. Pour vous en assurer, il vous suffit de taper
une commande dans le genre de celle-ci :
chmod go-w $HOME $HOME/.ssh $HOME/.ssh/authorized_keys
La machine distante est maintenant configurée de façon à accepter l'authentification à l'aide
de votre clé privée. Il vous reste à configurer PuTTY pour qu'il essaye de s'authentifier auprès
de la machine distante avec votre clé privée. Pour cela, vous pouvez procéder de trois
manières :
• Sélectionner la clé privée dans la configuration de PuTTY ( veuillez vous reporter à la
section 4.20.7 pour plus de détails à ce sujet ).
• Indiquer le fichier de clé en ligne de commande, avec l'option -i ( veuillez vous
reporter à la section 3.8.3.18 ).
75

Logiciel d’administration pour IPCOP 1.4.x
• Charger la clé privée dans Pageant ( voir chapitre 9 ). Dans ce cas, PuTTY essayera
automatiquement de s'en servir pour vous authentifier, s'il le peut, chaque fois qu'il y
en aura besoin.
76

Logiciel d’administration pour IPCOP 1.4.x
Chapitre 9 : utilisation de Pageant pour l'authentification
Pageant est un agent d'authentification SSH, qui conserve vos clés privées en mémoire vive,
sous forme décryptée, pour que vous puissiez vous authentifier souvent, sans avoir besoin de
retaper votre phrase de passe à chaque fois.
I. Pour commencer à se servir de Pageant
Pour pouvoir utiliser Pageant, il vous faut une clé privée au format *.PPK. Si vous n'en avez
pas encore, veuillez vous reporter au chapitre 8 pour savoir comment en générer une, et
comment l'utiliser pour vous connecter à une machine distante de façon sécurisée.
Lorsque vous lancez Pageant, une icône apparaît dans la zone de notification, en bas à droite
de l'écran, qui représente un ordinateur portant un chapeau. Le programme reste là sans rien
faire jusqu'à que vous l'utilisiez pour charger une clé privée.
Si vous faites un clic droit sur l'icône de Pageant, un menu appraît. Choisissez la commande
'View Keys' ( voir les clés ) dans ce menu. La fenêtre principale de Pageant apparaît ( vous
pouvez aussi faire un double-clic avec le bouton gauche, à la place, le résultat est le même ).
La fenêtre de Pageant contient une liste déroulante, qui affiche les clés privées que Pageant
gère pour vous. Lorsque vous lancez Pageant, il ne détient aucune clé, et la liste est vide. Une
fois que vous aurez ajouté une ou plusieurs clés, c'est ici qu'elles apparaîtront.
Pour ajouter une clé dans Pageant, cliquez sur le bouton 'Add Key'. Pageant affiche une boîte
de dialogue d'ouverture de fichier intitulée 'Select Private Key File'. Utilisez cette boîte de
dialogue pour localiser votre fichier de clé privée, et cliquez sur 'Open'.
Pageant charge alors la clé privée. Si elle est protégée par une phrase de passe, Pageant vous
demande de taper cette phrase de passe. Une fois que la clé est chargée, elle apparaît dans la
liste des clés, dans la fenêtre de Pageant.
Lancez maintenant PuTTY et connectez-vous par SSH à un site qui accepte votre clé. PuTTY
va s'apercevoir que Pageant est en cours d'exécution, il va récupérer automatiquement la clé
auprès de Pageant, et il va l'utiliser pour vous authentifier. Vous pouvez dès lors ouvrir autant
de sessions PuTTY que vous le souhaitez, sans avoir à retaper votre phrase de passe.
Il est possible de configuer PuTTY pour qu'il n'utilise pas Pageant, mais c'est ce qu'il fait par
défaut. Veuillez vous reporter à la section 4.20.2 et à la section 3.8.3.9 pour plus
d'informations à ce sujet.
Pour arrêter Pageant, faites un clic droit sur son icône, dans la zone de notification en bas à
droite de l'écran, et choisissez 'Exit' dans le menu. Il est à noter que le fait de fermer la fenêtre
principale de Pageant n'arrête pas le programme.
77

Logiciel d’administration pour IPCOP 1.4.x
II. La fenêtre principale de Pageant
La fenêtre principale de Pageant apparaît à l'écran lorsque vous faites un double-clic avec le
bouton gauche sur l'icône de Pageant dans la zone de notification, en bas à droite, à côté de
l'horloge, ou si vous faites un clic droit sur cette même icône et que vous choisissez 'View
Keys' dans le menu contextuel. Vous pouvez vous servir de cette fenêtre principale pour
garder trace des clés qui sont chargées en mémoire à un instant donné, pour en ajouter de
nouvelles ou pour en enlever ( cela les décharge de la mémoire, sans supprimer quoi que ce
soit sur le disque dur, bien entendu ).
II.1 La liste déroulante des clés
La liste déroulante qui occupe la quasi-totalité de la fenêtre principale de Pageant recence les
clés privées actuellement chargées dans Pageant. Cette liste pourrait par exemple ressembler à
ceci :
ssh1 1024 22:c3:68:3b:09:41:36:c3:39:83:91:ae:71:b2:0f:04 k1
ssh-rsa 1023 74:63:08:82:95:75:e1:7c:33:31:bb:cb:00:c0:89:8b k2
Pour chacune des clés, la liste vous indique :
• Le type de la clé. Actuellement, ce peut être ssh1 ( une clé RSA à utiliser avec le
protocole SSH-1 ), ssh-rsa ( une clé RSA à utiliser avec le protocole SSH-2 ), ou
encore ssh-dss ( une clé DSA à utiliser avec le protocole SSH-2 ).
• La taille de la clé ( en nombre de bits ).
• L'empreinte de la clé publique. Ce doit être la même empreinte que celle donnée par
PuTTYgen, et ( espérons-le ) aussi la même empreinte que celle affichée par des
utilitaires distants tels que ssh-keygen lorsque vous les appliquez à votre fichier
authorized_keys.
• Le commentaire associé à la clé.
II.2 Le bouton 'Add Key' ( ajouter une clé )
Pour ajouter une clé dans Pageant en la prenant dans un fichier local, cliquez sur le bouton
'Add Key' dans la fenêtre principale de Pageant, ou alors faites un clic droit sur l'icône
Pageant dans la zone de notification système, et choisissez 'Add Key' dans le menu.
Pageant affiche une boîte de dialogue d'ouverture de fichier intitulée 'Select Private Key
File'. Utilisez cette boîte de dialogue pour localiser votre fichier de clé privée. Si vous voulez
ajouter plus d'une clé à la fois, c'est possible : il suffit de sélectionner les différents fichiers de
clés en cliquant dessus tout en maintenant la touche Maj enfoncée ( pour sélectionner des
fichiers adjacents ) ou la touche Ctrl ( pour sélectionner des fichiers non adjacents ).
Pageant charge alors la ( ou les ) clé(s) privée(s). Si elle est protégée par une phrase de passe,
Pageant vous demande de taper cette phrase de passe.
Ce n'est pas la seule façon de faire pour ajouter une clé privée dans Pageant. Vous pouvez
aussi en ajouter une qui se trouve sur une autre machine, grâce au système du transfert
d'agent. Veuillez vous reporter à la section 9.4 pour plus d'informations à ce sujet.
II.3 Le bouton 'Remove Key' ( retirer la clé )
78

Logiciel d’administration pour IPCOP 1.4.x
Si vous souhaitez que Pageant cesse d'utiliser une clé pour vous authentifier auprès des
machines distantes, il vous suffit de sélectionner cette clé dans la liste et de cliquer sur le
bouton 'Remove Key'. Pageant déchargera cette clé de son espace mémoire.
Vous pouvez faire cela avec les clés que vous avez chargées en cliquant sur le bouton 'Add
Key' ( [NdT] ou que vous avez chargées depuis la ligne de commande, cf. section 9.3.1, cidessous
), mais vous pouvez aussi le faire avec les clés que vous avez ajoutées à distance,
grâce au système de transfert d'agent, cela ne fait aucune différence ( pour plus d'informations
au sujet du transfert d'agent, veuillez vous reporter à la section 9.4, ci-dessous ).
III. La ligne de commande de Pageant
Pageant peut être configué de façon à faire un certain nombre de choses automatiquement
lorsqu'il se lance. Il suffit pour cela de lui indiquer quoi faire en ligne de commande. Si vous
démarrez Pageant à partir de l'interface utilisateur graphique de Windows, il vous suffit de
modifier les propriétés du raccourci Windows qui vous sert à lancer Pageant.
Si Pageant est déjà en cours d'exécution, le fait de relancer la commande avec les options cidessous
impacte l'instance actuelle de Pageant ( cela n'en lance pas une nouvelle ).
III.1 Faire en sorte que Pageant charge automatiquement des clés
au démarrage
Pageant peut charger automatiquement une ou plusieurs clés privées en mémoire lorsqu'il se
lance, si vous les lui passez en paramètre. La ligne de commande utilisée pour lancer Pageant
pourrait par exemple ressembler à ceci :
C:\PuTTY\pageant.exe d:\ma_premiere_clé.ppk d:\ma_deuxième_clé.ppk
Si les clés sont stockées sur le disque sous forme cryptée, Pageant vous demandera bien sûr de
saisir au clavier les phrases de passe correspondantes au démarrage.
Si Pageant est déjà en cours d'exécution, cette commande a pour effet de charger les clés
indiquées dans l'instance actuelle de Pageant ( cela n'en démarre pas une autre ).
III.2 Faire en sorte que Pageant lance un autre programme
Vous pouvez faire en sorte que Pageant démarre un autre programme une fois qu'il a fini de
s'initialiser lui-même, et qu'il a chargé les clés qu'on lui a demandé de charger ( d:\main.ppk,
dans l'exemple ci-dessous ). Ce programme ( ce peut être PuTTY, WinCVS qui fait appel à
Plink, ou n'importe quoi d'autre ) sera alors en mesure d'utiliser les clés que Pageant a
chargées en mémoire.
Pour ce faire, il vous suffit d'indiquer le nom du programme que vous voulez lancer, précédé
de l'option -c, comme ceci :
C:\PuTTY\pageant.exe d:\main.ppk -c C:\PuTTY\putty.exe
79

Logiciel d’administration pour IPCOP 1.4.x
IV. Utilisation du transfert d'agent ( "agent forwarding" )
Le transfert d'agent est un mécanisme qui permet aux applications fonctionnant sur le serveur
SSH, donc sur la machine distante, de s'adresser à l'agent lancé sur la machine cliente ( votre
PC ).
Veuillez notez que pour l'instant, le transfert d'agent de SSH-2 n'est utilisable que si le serveur
SSH qui tourne sur la machine distante est OpenSSH. Le serveur SSH de ssh.com utilise un
protocole agent différent, que PuTTY ne gère pas encore.
Pour activer le transfert d'agent, commencez par lancer Pageant. Ensuite, configurez une
session PuTTY, en SSH, dans laquelle vous activerez 'Allow agent forwarding' ( pour plus
de détails à ce sujet, veuillez vous reporter à la section 4.20.5 ). Ouvrez la session comme
vous le feriez normalement ( vous pouvez aussi utiliser l'option -A, en ligne de commande,
cf. section 3.8.3.10 ).
Si cela fonctionne correctement, alors les applications tournant sur la machine distante
devraient maintenant pouvoir accéder à un socket Unix que le serveur SSH va renvoyer vers
PuTTY, et que PuTTY va renvoyer à son tour vers l'agent. Pour vérifier que c'est bien ce qui
se passe, si la machine distante tourne sous Unix, vous pouvez essayer de lancer cette
commande dessus :
machine_unix:~$ echo $SSH_AUTH_SOCK
/tmp/ssh-XXNP18Jz/agent.28794
machine_unix:~$
Si cela renvoie une ligne vide, c'est que le transfert d'agent n'a pas été activé du tout.
Supposons que cela fonctionne correctement : si maintenant, vous lancez la commande ssh
sur la machine distante, et que vous vous en servez pour vous connecter en cascade à une
troisième machine qui accepte l'une des clés stockées dans Pageant, alors vous devriez
pouvoir ouvrir une session sur cette troisième machine sans taper de mot de passe :
machine_unix:~$ ssh -v autre_machine_unix
[...]
debug: next auth method to try is publickey
debug: userauth_pubkey_agent: trying agent key my-putty-key
debug: ssh-userauth2 successful: method publickey
[...]
Si vous activez aussi le transfert d'agent sur cette connexion SSH ( veuillez vous reporter au
manuel du client SSH qui est installé sur la machine distante pour savoir comment faire ), vos
clés d'authentification seront encore disponibles sur la prochaine machine à laquelle vous
vous connecterez - à deux connexions SSH de distance par rapport à votre PC local, sur lequel
elles sont effectivement stockées.
De plus, si vous avez une clé privée installée sur l'un des serveurs SSH ( autrement dit sur
l'une des machines auxquelles vous vous connectez par ce biais ), alors vous pouvez la
renvoyer jusqu'à Pageant ( donc lui faire faire tout le même chemin en sens inverse ), grâce à
la commande locale ssh-add :
machine_unix:~$ ssh-add ~/.ssh/id_rsa
Need passphrase for /home/fred/.ssh/id_rsa
Enter passphrase for /home/fred/.ssh/id_rsa:
Identity added: /home/fred/.ssh/id_rsa (/home/simon/.ssh/id_rsa)
80

machine_unix:~$
Logiciel d’administration pour IPCOP 1.4.x
Elle sera alors accessible à toute machine qui dispose du transfert d'agent ( pas uniquement
celles situées en aval de l'endroit où vous l'avez ajoutée ).
V. Considérations liées à la sécurité
Le fait d'utiliser Pageant dans le cadre d'un système d'authentification par clé privée a cela de
pratique que cela vous permet d'ouvrir plusieurs sessions SSH sans avoir à resaisir une phrase
de passe à chaque fois, et cela présente l'avantage, au niveau sécurité, que les clés privées ne
sont jamais écrites en clair sur le disque. De nombreuses personnes estiment que c'est un bon
compromis entre sécurité et facilité d'utilisation.
Cela dit, c'est un compromis. Garder vos clés privées, sous forme décryptée, dans l'espace
mémoire alloué à Pageant, cela vaut mieux que de les écrire en clair sur le disque dur, dans
des fichiers faciles à trouver, mais c'est tout de même moins sûr que de ne pas les stocker du
tout, et cela pour deux raisons :
• Windows ne fournit malheureusement aucun moyen d'empêcher que des zones de la
mémoire vive ne soient écrites dans le fichier de pagination. Donc si Pageant garde
vos clés en mémoire pendant un temps relativement long, il est possible que des
fragments de clé privée soient écrits en clair dans le fichier de pagination, et qu'un
pirate qui a réussi à accéder à votre disque dur puisse récupérer ces données plus tard.
Cela dit, si votre clé privée était stockée sur le disque dur, en clair dans un fichier,
alors il est certain qu'un pirate arriverait à la récupérer.
• Comme la plupart des systèmes d'exploitation modernes, Windows empêche les
programmes d'accéder par accident à l'espace mémoire alloué à d'autres programmes,
mais il leur permet en revanche d'y accéder de façon délibérée, pour des contextes
d'utilisation particuliers tels que la mise au point de programmes. Cela implique que si
un virus, un cheval de Troie, ou tout autre programme mal intentionné s'exécute en
même temps que Pageant sur votre machine Windows, il peut fort bien accéder à la
mémoire allouée à Pageant, en extraire vos clés d'authentification sous forme
décryptée, et les renvoyer à son « seigneur et maître ».
De la même manière, l'utilisation du transfert d'agent constitue un progrès en matière de
sécurité par rapport à d'autres méthodes d'authentification, mais ce n'est encore pas la
perfection. Le fait de garder vos clés dans Pageant, sur votre machine Windows, présente un
avantage, question sécurité, par rapport au fait de les garder sur la machine distante elle-même
( que ce soit dans un agent, ou en clair sur le disque ), parce que si jamais la machine distante
voit passer votre clé privée en clair, non cryptée, alors l'administrateur système, ou le premier
pirate venu qui réussit à s'introduire dans la machine, peut dérober ces clés et les utiliser pour
se faire passer pour vous, aussi longtemps qu'ils le veulent.
Toutefois, l'admin système de la machine distante peut toujours se faire passer pour vous sur
cette machine. Donc si vous transférez votre agent vers la machine distante, alors l'admin
système de cette machine peut accéder à la connexion d'agent transféré, et il peut obtenir des
signatures à partir de vos clés privées. Donc il peut ouvrir des sessions sur d'autres machines
en se faisant passer pour vous. Il ne peut toutefois le faire que dans certaines limites, puisque
quand le transfert d'agent est interrompu, l'admin indélicat perd la possibilité de se faire ainsi
passer pour vous, mais ce n'est pas le fait d'utiliser Pageant qui va vraiment empêcher
l'administrateur système ( ou un pirate qui a réussi à prendre la main sur la machine distante )
de jouer à ce petit jeu.
81

Logiciel d’administration pour IPCOP 1.4.x
Moralité : si vous n'avez pas confiance en l'admin système d'une machine à laquelle vous êtes
susceptible de vous connecter en SSH, alors n'utilisez jamais le transfert d'agent en direction
de cette machine ( bien entendu, ne stockez pas non plus de clés privées sur cette machine, n'y
tapez pas de phrases de passe, et ne vous connectez pas à d'autres machines à partir de celleci,
d'aucune façon que ce soit ( ce n'est pas une spécificité de Pageant, mais bel et bien une
mesure de prudence élémentaire ).
82

Logiciel d’administration pour IPCOP 1.4.x
Annexe A : Foire aux questions sur PuTY
Cette FAQ figure sur le site web de PuTTY, et elle est aussi fournie en annexe du manuel
( NdT : en anglais dans les deux cas ).
I. Introduction
I.1 PuTTY, c'est quoi, exactement ?
PuTTY est un programme client pour les protocoles réseaux SSH, Telnet et Rlogin.
Tous ces protocoles servent à lancer une session sur une machine distante, via le réseau.
PuTTY constitue la partie client de cette session, autrement dit l'extrémité de la liaison où les
commandes sont tapées, et où les résultats sont affichés, par opposition à celle où sont
exécutés les traitements.
Pour dire les choses plus simplement, vous lancez PuTTY sur une machine Windows, et vous
lui demandez de se connecter à une machine Unix ( par exemple ). PuTTY ouvre une fenêtre,
et à partir de là, tout ce que vous tapez au clavier dans cette fenêtre est envoyé directement à
la machine Unix, et tout ce que la machine Unix renvoie en retour est affiché dans la fenêtre
PuTTY. Cela vous permet d'utiliser la machine Unix comme si vous étiez assis devant, alors
qu'en fait, vous vous trouvez ailleurs.
II. Fonctionnalités de PuTTY
D'une façon générale, si vous voulez savoir si PuTTY sait faire telle ou telle chose, vous
devriez chercher dans le site web de PuTTY. En particulier, vous devriez :
• aller sur la page des modifications, et regarder si ce que vous cherchez y figure, ou
non. Si une fonctionnalité figure dans cette page, c'est qu'elle est implémentée dans le
logiciel. Si elle y est listée en tant que modification apportée depuis la dernière
version, alors c'est qu'elle doit figurer dans les pré-versions de développement ( les
« development snapshots », comme on dit en bon français ), auquel cas votre avis en
tant que testeur est le bienvenu.
• aller sur la page des desiderata, et regarder si ce que vous cherchez y figure, ou non. Si
vous l'y trouvez, mais pas dans la rubrique 'Recently fixed' ( corrigé récemment ),
alors c'est probablement que ce n'est pas encore implémenté.
II.1 Est-ce que PuTTY supporte le SSH-2 ?
Oui, depuis la version 0.50 de PuTTY.
L'authentification par clé publique SSH-2 ( aussi bien RSA que DSA ) a été ajoutée dans la
version 0.52.
83

Logiciel d’administration pour IPCOP 1.4.x
II.2Est-ce que PuTTY sait lire les fichiers de clés privées SSH-2 de
OpenSSH ou de ssh.com ?
Pas de façon native ( si vous voulez savoir pourquoi, lisez l'entrée correspondante dans la
page des desiderata ), mais depuis la version 0.53, PuTTYgen sait convertir les fichiers de
clés privées de ces deux formats dans le format de PuTTY.
II.3Est-ce que PuTTY supporte le SSH-1 ?
Oui. PuTTY a toujours supporté le SSH-1.
II.4 Est-ce que PuTTY supporte l'écho local ?
Oui. L'écho local est géré correctement depuis la version 0.52.
Dans la version 0.51 et les versions précédentes, l'écho local allait forcément de pair avec
l'édition locale de ligne ( quand on tape une ligne de texte en local, et qu'elle n'est pas envoyée
à la machine distante avant qu'on ait appuyé sur Entrée, cela permet de corriger d'éventuelles
fautes de frappe avant que la machine distante ne les voie, contrairement à ce qui se passe
quand les caractères tapés au clavier sont envoyés au fur et à mesure à la machine distante ).
Depuis la version 0.52, l'écho local et l'édition de ligne en local sont des options distinctes, et
par défaut, PuTTY essaie de déterminer automatiquement s'il y a ou non lieu de les activer, en
fonction du protocole sélectionné, et en fonction d'indications fournies par la machine
distante. Si les choix par défaut de PuTTY ne vous conviennent pas, vous pouvez modifier ces
réglages. Pour cela, allez dans le panneau de configuration Terminal, dans la partie intitulée
'Line discipline options'.
II.5 Est-ce que PuTTY conserve sa configuration d'une fois sur
l'autre, pour ne pas qu'il n'y ait besoin de tout refaire à chaque
utilisation ?
Oui, tous les réglages de PuTTY peuvent être enregistrés dans des profils de sessions, ou
sessions sauvegardées. Vous pouvez aussi modifier les réglages par défaut qui sont utilisés
pour les nouvelles sessions ( pour plus d'informations à ce sujet, veuillez vous reporter à la
section 4.1.2 ).
II.6 Est-ce que PuTTY sait stocker sa configuration dans un fichier
de configuration ?
Pas pour l'instant. Toutefois, dans la section 4.26, vous trouverez la marche à suivre pour
obtenir le même effet.
II.7Est-ce que PuTTY supporte le mode plein écran, comme les
fenêtres de commandes DOS ?
Oui, c'était l'une des nouveautés de la version 0.52.
84

Logiciel d’administration pour IPCOP 1.4.x
II.8 Est-ce que PuTTY sait se souvenir de mon mot de passe, pour
que je n'aie pas à le taper à chaque fois ?
Non, il ne sait pas faire cela, et c'est tant mieux. La mémorisation d'un mot de passe est une
mauvaise idée, pour d'évidentes raisons de sécurité : quiconque réussit à accéder à votre
machine en votre absence peut découvrir les mots de passe sauvegardés, les utiliser, en faire
mauvais usage, voire même les modifier dans votre dos.
De plus, PuTTY ne peut pas envoyer automatiquement votre mot de passe pour ouvrir une
session Telnet, parce que le protocole Telnet n'indique d'aucune manière au logiciel client à
quel moment précis il attend qu'on lui envoie le mot de passe. Il faudrait que PuTTY devine
cela, en surveillant par exemple l'apparition de mots tels que 'password' dans les données
échangées avec le serveur Telnet, lors de l'établissement de la session. Pour peu que le
programme à l'autre bout ne parle pas anglais, il faudrait surveiller aussi le mot 'mot de passe'
en français, 'Passwort' en allemand, etc., et on ne s'en sortirait pas.
Avec SSH, il serait théoriquement possible de mémoriser votre mot de passe, mais cela ne
présenterait pas grand intérêt, puisque SSH gère de toute façon l'authentification par clé
publique, qui est à la fois plus souple et plus sûre. Veuillez vous reporter au chapitre 8 pour
des explications complètes au sujet de l'authentification par clé publique.
II.9 Y'a t'il une option pour désactiver ces ennuyeux messages au
sujet des clés d'hôte ?
Non, il n'y en a pas. Et il n'y en aura pas. Même si vous écrivez vous-même le correctif
nécessaire, et que vous nous l'envoyez, nous ne l'accepterons pas.
Ces « ennuyeux messages au sujet des clés d'hôte » sont au coeur même de SSH. Sans eux,
toute la technologie cryptographique que SSH utilise pour sécuriser votre session ne servirait
à rien d'autre qu'à rendre le travail du pirate un peu plus difficile. Au lieu de simplement
s'intercaler entre vous et la machine distante avec un renifleur de paquets ( pour prendre
connaissance de votre mot de passe, même si celui-ci est crypté, et le décrypter après, tout à
loisir ), l'attaquant doit réussir à pirater un routeur et à modifier à la volée les paquets qui
transitent dans un sens et dans l'autre. Mais même ça, ce n'est pas beaucoup plus difficile que
de renifler des paquets, et sans vérification de la clé d'hôte, cela pourrait passer complètement
inaperçu, tant du côté du client ( vous ) que du côté du serveur ( la machine distante ).
La vérification de la clé d'hôte vous garantit que la méthode de chiffrement que vous utilisez
côté client est bien la même que ( ou l'inverse de ) celle qui est appliquée côté serveur, pour
récupérer les données en clair. Elle vous garantit que les données n'ont pas été décryptées en
cours de route, par une personne mal intentionnée, puis ré-encryptées ( après modification,
éventuellement ). La vérification de la clé d'hôte rend le travail du pirate incroyablement
difficile, comparé au reniflage de paquets, et même comparé au piratage de routeur. Au lieu
de faire preuve d'un minimum d'intelligence et de garder un oeil sur Bugtraq, le pirate doit
effectuer une attaque par force brute contre au minimum un chiffrement de classe militaire.
Vu sous cet angle, les « ennuyeux messages au sujet des clés d'hôte » sont bien peu de chose.
Si vous rencontrez un problème précis avec la vérification de la clé d'hôte, par exemple si
vous voulez utiliser PSCP ou Plink dans un script batch pour automatiser une connexion ou
un transfert, et que la vérification interactive de la clé d'hôte fait échouer le processus, alors la
bonne manière de procéder, pour régler le problème, consiste à ajouter la clé d'hôte de la
machine distante dans la Base de registres de Windows ( côté client, donc sur votre machine à
85

Logiciel d’administration pour IPCOP 1.4.x
vous ) avant de lancer le script. De cette façon, vous conservez ce qui fait tout l'intérêt de la
vérification de la clé d'hôte : la clé d'hôte de la machine distante sera acceptée, mais les clés
d'hôte que pourraient envoyer les machines utilisées par un pirate ne le seront pas. Ajouter
une option dans PuTTY pour désactiver complètement la vérification de la clé d'hôte n'est pas
la bonne solution, et nous ne le ferons pas.
Si vous avez des clés d'hôtes au format known_hosts, sachez que nous tenons à votre
disposition un script nommé kh2reg.py pour les convertir en un fichier Windows .REG, grâce
auquel vous pourrez inscrire ces clés d'hôtes dans la Base de registres, avant d'utiliser votre
script de connexion automatisée, soit en double-cliquant sur le fichier .REG, soit via l'outil
REGEDIT
II.10 Allez-vous écrire un serveur SSH, et le diffuser avec PuTTY,
pour aller avec le client ?
Non. La seule raison qui pourrait justifier cela serait qu'il nous soit possible de réutiliser
suffisament de code existant pour que cela diminue de façon sensible le travail de
développement. Nous ne pensons pas que ce soit le cas. Il n'y a tout simplement pas
suffisament de choses en commun entre un client SSH et un serveur SSH, pour que le jeu en
vaille la chandelle.
Si quelqu'un souhaite utiliser des parties du code source de PuTTY pour écrire un serveur
SSH pour Windows, il est tout à fait le bienvenu, bien sûr, mais je ne suis vraiment pas
persuadé que cela demande moins d'efforts que d'écrire un serveur SSH en partant de rien.
Nous n'avons ni le temps ni la motivation nécessaires pour le faire nous-mêmes, mais si
quelqu'un d'autre veut s'y essayer, notre code est à sa disposition.
II.11 PSCP et PSFTP savent-ils transférer des fichiers en mode
ASCII ?
Malheureusement non. Pendant longtemps, cela s'est expliqué par une limitation des
protocoles de transfert de fichiers : les protocoles SCP et SFTP ne savaient pas transférer un
fichier autrement qu'en binaire ( c'est d'ailleurs toujours le cas, en ce qui concerne SCP ).
Une spécification actuellement à l'étude du protocole SFTP propose une façon d'effectuer des
transferts en mode ASCII. Il n'est donc pas impossible que PSCP/PSFTP mettent cela en
oeuvre un jour ou l'autre.
III. Versions de PuTTY destinées à d'autres systèmes d'exploitation
Le but in fine est de faire de PuTTY un programme multi-plateformes, qui tourne au moins
sous Windows, MacOS et sous Unix.
Le portage vers d'autres systèmes deviendra plus facile une fois que PuTTY aura une couche
de portage globale, qui permettra de tirer un trait bien net entre le code spécifique à une
plateforme donnée et celui qui est commun à toutes.
86

Logiciel d’administration pour IPCOP 1.4.x
L'idée, c'était que cette couche de portage évolue petit à petit, au cours de la mise au point du
premier portage. Une version Unix est maintenant terminée, et il semble que notre plan
fonctionne, jusqu'ici.
III.1 Pour quels autres systèmes existe-t-il des versions de PuTTY,
en dehors de Windows 32 bits ?
Pour l'instant, les versions stables des outils PuTTY ne fonctionnent que sur les systèmes
Win32 et Unix. 'Win32', cela veut dire Windows 95, 98, et ME, Windows NT, Windows 2000
et Windows XP.
Parmi les versions en cours de développement, un portage partiel vers Mac OS est en cours
( cf. question A.3.6 ).
Actuellement, PuTTY ne fonctionne pas sous Windows CE ( cf. question A.3.4 ), et pas
vraiment bien avec l'environnement Win32s de Windows 3.1 ( cf. question A.3.5 ).
Nous n'avons pas de portages stables pour d'autres systèmes à l'heure actuelle. Si quelqu'un
vous a dit que nous avons une version EPOC, ou une version iPaq, ou n'importe quelle autre
version de PuTTY, cette personne s'est trompée. Nous n'en avons pas.
En revanche, il existe quelques versions destinées à différentes plateformes, qui ont été écrites
par d'autres personnes, et qui sont mentionnées dans cette page ici .
III.2 Y'a-t-il une version Unix ?
Depuis la version 0.54, il existe des versions Unix de la plupart des outils PuTTY
traditionnels, ainsi qu'une application entièrement nouvelle.
Si vous regardez dans la version qui inclut les codes sources, vous y trouverez un sousrépertoire
unix, avec dedans un fichier Makefile.gtk, qui sert à compiler les versions Unix
de Plink, de PuTTY lui-même, de PuTTYgen, PSCP, PSFTP, et aussi de pterm - un
programme de type xterm qui supporte le même type d'émulation de terminal que PuTTY.
Nous n'avons pas encore de version Unix de Pageant.
Si vous n'avez pas Gtk, vous pouvez tout de même compiler les versions en ligne de
commande des outils.
Veuillez noter que la version Unix de PuTTY a principalement été testée sous Linux jusqu'ici.
Il faut donc s'attendre à de possibles soucis de portabilité avec les ptys façon BSD, ou à ce
qu'il y ait besoin de fichiers d'entête différents.
87

Logiciel d’administration pour IPCOP 1.4.x
III.3 Quel est l'intérêt de la version Unix, puisqu'Unix a déjà
OpenSSH ?
La version Unix présente un intérêt pour différentes raisons. pterm, par exemple, est
directement utile pour les gens qui préfèrent l'émulation de terminal de PuTTY à celle de
xterm, et c'est le cas d'au moins un certain nombre de gens. La version Unix de Plink semble
avoir trouvé un public parmi les gens qui trouvent que la complexité d'OpenSSL le rend
difficile à installer, et que cela ne dérange pas que Plink n'ait pas autant de fonctionnalités.
Certaines personnes, enfin, apprécient de générer un grand nombre de clés SSH sous Unix et
veulent pouvoir les copier ensuite dans PuTTY, et la version Unix de PuTTYgen se doit de
leur permettre d'automatiser ce processus de conversion.
Il y a aussi des avantages pour nous, l'équipe de développement : le fait de porter PuTTY sous
Unix nous a demandé un travail qui bénéficiera directement aux autres portages, et cela nous
a permis d'utiliser l'excellent outil Linux de mise au point Valgrind, qui nous a déjà permis
d'améliorer la stabilité de PuTTY sur toutes les plateformes.
Cela étant, si vous utilisez Unix et que vous ne voyez aucune raison de passer de OpenSSH à
PuTTY et à Plink, ce n'est pas un problème. La version Unix de nos outils n'a pas l'ambition
d'être LA seule et unique réponse à tous les besoins de tout le monde.
III.4 Y'aura-t-il un jour une version Windows CE ou PocketPC ?
Nous avons travaillé un petit peu dessus, mais nous n'en sommes pas encore bien loin, et le
résultat est loin d'être utilisable. Pour l'instant, cela ne fait plus partie des choses sur lesquelles
nous travaillons activement. Cela dit, il existe un portage réalisé par une personne extérieure à
l'équipe de développement de PuTTY. Vous pouvez le trouver sur
http://www.pocketputty.net/.
III.5 Y'a-t-il une version Windows 3.1 ?
PuTTY est une application entièrement 32 bits, qui ne peut donc pas fonctionner sous
Windows 3.1 comme le ferait un programme 16 bits natif. Et il serait très difficile de le
modifier pour en faire un programme 16 bits, en raison des infâmes mécanismes d'allocation
mémoire de Windows 3.1.
Cependant, il reste théoriquement possible de compiler les sources de PuTTY, sans
modification, de telle façon que l'application puisse fonctionner sous Win32s ( une extension
de Windows 3.1 destinée à permettre l'utilisation de programmes 32 bits ). Pour cela, il vous
faudra un compilateur C qui sache générer des binaires compatibles avec Win32s, ce qui n'est
pas le cas des versions récentes de Visual C++. De plus, la dernière fois que vous avons
essayé, ça n'a pas très bien marché.
Donc, si vous êtes bien motivé(e), et que vous avez vraiment envie de faire tourner PuTTY
sous Windows 3.1, votre aide est la bienvenue !
88

Logiciel d’administration pour IPCOP 1.4.x
III.6 Y'aura-t-il un jour une version Mac ?
l y a plusieurs réponses à cette question :
• La version Unix/Gtk fonctionne déjà parfaitement sous Mac OS X en tant
qu'application X11.
• Une version MacOS X native ( Cocoa ) a été commencée. Elle est tout juste utilisable,
et comme elle se comporte parfois de façon, disons... inattendue, elle n'est
certainement pas prête à être diffusée. Dans l'état actuel des choses, elle a peu de
chances de voir le jour pour de bon, à moins que quelqu'un ne vienne rejoindre
l'équipe pour donner un coup de main.
• Une version distincte, destinée aux anciens Macs ( d'avant MacOS X ) est également
en cours. Elle n'est pas finie non plus.
III.7 Y'aura-t-il un jour une version EPOC ?
Je l'espère, mais étant donné que les portages n'avancent pas très vite, même sur les systèmes
que les développeurs maîtrisent déjà, il risque de passer de l'eau sous les ponts d'ici que l'un
d'entre nous arrive à prendre le temps d'apprendre ce nouveau système et de faire le portage
correspondant.
Toutefois, une partie du travail a déjà été faite par d'autres personnes, et une version bêta de
PuTTY pour la série Nokia 9200 Communicator est disponible ici :
http://s2putty.sourceforge.net/
IV. Intégration de PuTTY dans d'autres programmes
IV.1 Le code de SSH ou de Telnet est-t-il disponible sous forme de
DLL ?
Non. Cela demanderait un certain travail de réécriture pour faire en sorte que ce soit possible,
et comme les développeurs du projet PuTTY ne croient eux-mêmes pas aux DLL ( parce
qu'ils estiment qu'elles rendent l'installation des programmes sujette aux erreurs ), aucun
d'entre nous n'a pris le temps de le faire.
Cela dit, un nettoyage du code ne serait pas une mauvaise chose, donc si quelqu'un se sentait
prêt à donner un coup de main de ce côté-là, nous ne dirions pas non.
IV.2 Le code de SSH ou de Telnet est-t-il disponible sous forme de
composant Visual Basic ?
Non. Aucun des membres de l'équipe PuTTY n'utilise Visual Basic, et aucun d'entre nous n'a
besoin d'établir une connexion SSH depuis une application en Visual Basic. Sans compter
qu'il faudrait tout un travail préliminaire pour convertir le code correspondant en DLL. En
plus, nous ne savons même pas écrire des composants VB. Alors si quelqu'un se propose de le
89

Logiciel d’administration pour IPCOP 1.4.x
faire à notre place, ça peut s'envisager, mais dans le cas contraire, je n'arrive pas à imaginer
l'intégration PuTTY / Visual Basic ailleurs que tout en bas tout en bas de notre liste des
priorités.
IV.3 Comment puis-je utiliser PuTTY pour établir une connexion
SSH depuis un autre programme ?
La meilleure solution, dans votre cas, consiste probablement à utiliser Plink, l'outil de
connexion en ligne de commande. Si vous parvenez à démarrer Plink à partir de votre
programme, et à faire en sorte que votre programme puisse envoyer des données au processus
Plink, et en recevoir de lui, au travers de canaux ( « pipes » ), alors vous devriez pouvoir
établir des connexions SSH à partir de votre programme. C'est ce que fait CVS pour
Windows, par exemple.
V. Le fonctionnement de PuTTY en détail
V.1 Quel type de terminal PuTTY utilise-t-il ?
Dans la plupart des cas, PuTTY peut être considéré comme un terminal xterm.
PuTTY reconnaît aussi certaines séquences de contrôle de terminal que ne reconnaît pas le
vrai xterm, comme par exemple les séquences de contrôle de la console Linux qui permettent
de changer la palette de couleurs, et les séquences de contrôle de la barre de titre qu'utilise
DECterm ( ces séquences sont différentes de celles de xterm, et PuTTY les reconnaît toutes
les deux ).
Par défaut, PuTTY annonce son type de terminal à la machine distante en se présentant
comme un xterm. Si cela vous pose un problème, vous pouvez le reconfigurer pour qu'il
annonce quelque chose d'autre, comme vt220, par exemple.
V.2 Où PuTTY stocke-t-il ses données ?
Sous Windows, PuTTY stocke la plupart de ses données ( sessions sauvegardées, clés d'hôtes
SSH ) dans la Base de registres. L'emplacement exact est le suivant :
HKEY_CURRENT_USER\Software\SimonTatham\PuTTY
et, à l'intérieur de cette zone, les sessions sauvegardées sont stockées dans Sessions, tandis
que les clés d'hôtes se trouvent dans SshHostKeys.
PuTTY a aussi besoin d'un fichier dans lequel il stocke la graine destinée au générateur de
nombres pseudo-aléatoires, de façon à améliorer le caractère imprévisible des données
choisies au hasard qui sont requises dans le cadre du processus de cryptographie SSH. Cette
graine est stockée par défaut dans un fichier nommé PUTTY.RND dans votre répertoire
personnel Windows ( %HOMEDRIVE%\%HOMEPATH% ), ou dans le répertoire de Windows luimême
( par exemple C:\WINDOWS ) si vous n'avez pas de répertoire personnel, comme par
exemple si vous utilisez Windows 95. Si vous voulez changer l'emplacement du fichier de
graine du générateur de nombres pseudo-aléatoires, vous pouvez indiquer l'emplacement de
votre choix dans la Base de registres, en le mettant ici :
90

Logiciel d’administration pour IPCOP 1.4.x
HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\RandSeedFile
Vous pouvez demander à PuTTY de supprimer toutes ces données ( veuillez vous reporter à la
question A.8.2 pour plus d'informations ).
Sous Unix, PuTTY stocke toutes ses données dans le répertoire ~/.putty.
VI. Comment faire pour... ?
VI.1 Quel nom d'utilisateur et/ou quel mot de passe dois-je
utiliser ?
Ce n'est pas à nous que vous devriez poser cette question.
PuTTY est un outil de communication, qui sert à se connecter à d'autres ordinateurs. Nous,
nous maintenons l'outil. Nous n'administrons aucun des ordinateurs auxquels vous êtes
susceptible de vous connecter, de la même façon que les gens qui écrivent les navigateurs
Web ne sont en rien responsables du contenu que vous regardez avec leur programme. Nous
ne pouvons pas vous aider pour ce genre de questions.
Si vous connaissez le nom de la machine à laquelle vous voulez vous connecter, mais que
vous ne savez pas quel nom d'utilisateur ou quel mot de passe utiliser, vous devriez poser la
question à la personne ou aux personnes qui administre(nt) cette machine. Si vous ne savez de
qui il s'agit, regardez la question suivante, cela vous aidera à trouver la réponse.
VI.2 Quelles commandes puis-je taper dans ma fenêtre de terminal
PuTTY ?
Une fois encore, ce n'est pas à nous que vous devriez poser cette question. Il faut que vous
lisiez la documentation, ou que vous demandiez à l'administrateur, de la machine à laquelle
vous vous êtes connecté.
PuTTY ne traite pas les commandes que vous tapez. Ce n'est qu'un outil de communication. Il
établit la connexion avec un autre ordinateur, lui transmet les commandes que vous tapez dans
sa fenêtre, et il vous retransmet ce que l'autre machine renvoie comme réponse. C'est pourquoi
la gamme de commandes que vous pouvez utiliser ne dépend pas de PuTTY, mais du type
d'ordinateur auquel vous êtes connecté, et des logiciels qui fonctionnent dessus. L'équipe de
PuTTY ne peut pas vous aider là-dessus.
Dites-vous que PuTTY est une sorte de téléphone. Si vous appelez quelqu'un et que vous ne
savez pas en quelle langue lui parler pour vous faire comprendre, ce n'est pas à le travail de la
compagnie de téléphone de le trouver à votre place. Nous, nous fournissons juste le moyen de
communication. Arriver à vous faire comprendre, ce n'est pas notre travail à nous.
Si vous ne savez pas par où commencer, pour chercher l'administrateur de la machine distante
que vous souhaitez utiliser, ce peut être une bonne idée de commencer par vous demander
comment vous avez eu connaissance du nom de la machine distante. Si ce nom vous a été
indiqué dans un courrier électronique, par exemple, vous pourriez commencer par poser la
91

Logiciel d’administration pour IPCOP 1.4.x
question à la personne qui vous a envoyé ce courrier électronique. Si le service informatique
de votre société vous a fourni des sessions PuTTY sauvegardées toutes faites, alors ce même
service informatique peut probablement aussi vous en dire un peu sur les commandes que
vous pouvez/devez taper pendant ces sessions. Quoi qu'il en soit, l'équipe de développement
de PuTTY n'administre aucune des machines auxquelles vous êtes susceptible de vous
connecter, et ne peut donc pas vous aider à ce niveau-là.
VI.3 Comment faire pour que la fenêtre de PuTTY soit agrandie au
maximum dès le départ ?
Créez un raccourci Windows pour lancer PuTTY, et configurez-le pour que l'application
démarre en plein écran ( réglez la propriété 'Exécuter' du raccourci sur 'Agrandie' ).
VI.4 Comment puis-je créer un raccourci Windows pour démarrer
directement une session sauvegardée en particulier ?
Pour lancer une session PuTTY sauvegardée sous le nom 'ma_session', créez un raccourci
Windows qui invoque PuTTY avec une ligne de commande telle que celle-ci :
\chemin\d'accès\à\putty.exe -load "ma_session"
N.B. : avant la version 0.53, la syntaxe était @session. Cette syntaxe est maintenant obsolète,
et il se peut que nous retirions un jour ou l'autre la partie du programme qui assure la
reconnaissance de cette syntaxe.
VI.5 Comment faire pour démarrer une session SSH directement à
partir de la ligne de commande ?
Utilisez la ligne de commande putty -ssh host.name. Vous pouvez aussi créer une session
PuTTY sauvegardée qui indique d'utiliser le protocole SSH, et démarrer la session
sauvegardée comme cela est indiqué dans la question A.6.4.
VI.6 Comment puis-je faire des copier/coller entre PuTTY et
d'autres applications Windows ?
Le copier/coller fonctionne de la même manière dans PuTTY et dans le système X Window.
Utilisez le bouton gauche de la souris pour sélectionner du texte dans la fenêtre de PuTTY. Le
fait de sélectionner copie automatiquement ce texte dans le presse-papiers : il n'y a pas besoin
d'appuyer sur Ctrl-Ins, ou Ctrl-C, ou quoi que ce soit d'autre. Attention, d'ailleurs, si vous
appuyez sur Ctrl-C, cela va envoyer un caractère Ctrl-C à la machine distante, ce qui peut
avoir des effets indésirables. La seule chose que vous ayez à faire, pour copier du texte dans le
presse-papiers, c'est de le sélectionner ( avec le bouton gauche ).
Pour coller le contenu du presse-papiers dans la fenêtre de PuTTY, par défaut, il vous suffit
de cliquer avec le bouton droit. Si vous avez une souris à trois boutons, et que vous avez
l'habitude d'utiliser des applications X, vous pouvez configurer PuTTY pour que le 'coller' se
fasse avec le bouton du milieu, plutôt qu'avec le bouton droit, mais ce n'est pas le
comportement par défaut, parce que la plupart des souris utilisées sur les PC Windows n'ont
que deux boutons.
92

Logiciel d’administration pour IPCOP 1.4.x
Vous pouvez également coller le contenu du presse-papier en appuyant sur Maj-Inser ( Shift-
Ins ).
VI.7 Comment faire pour utiliser dans PSCP, PSFTP et dans Plink,
des fonctionnalités de PuTTY telles que les clés publiques, le
passage par un proxy, ou le choix du chiffrement, etc. ?
La plupart des fonctionnalités principales ( comme par exemple les clés publiques, ou le
transfert de port ) sont disponibles sous forme d'options de ligne de commande. Veuillez
consulter la documentation.
Cela étant, toutes les fonctionnalités ne sont pas encore disponibles à partir de la ligne de
commande, même si cela fait partie de nos objectifs. D'ici là, vous pouvez utiliser la plupart
des fonctionnalités de PuTTY en passant par une session PuTTY sauvegardée, puis en
utilisant le nom de cette session sauvegardée en ligne de commande, à la place du nom de la
machine distante. Cela fonctionne pour PSCP, PSFTP et Plink ( mais n'espérez pas faire du
transfert de port dans les applications de transfert de fichiers ! ).
VI.8 Comment dois-je faire pour utiliser PSCP.EXE ? Lorsque je
double-clique dessus, une fenêtre apparaît et disparaît
instantanément !
PSCP est une application en ligne de commande, pas une application dotée d'une interface
utilisateur graphique. Si vous lancez PSCP sans arguments, l'application affiche simplement
un message d'aide et se termine.
Pour utiliser PSCP correctement, lancez-le à partir d'une invite de commandes ( veuillez vous
reporter au chapitre 5 pour plus de détails ).
VI.9 Comment dois-je faire, avec PSCP, pour copier un fichier dont
le nom comporte des espaces ?
Si PSCP utilise le protocole SCP traditionnel, il faut faire attention, car plusieurs cas se
présentent : si le nom de fichier que vous indiquez correspond à un fichier situé en local, sur
votre PC à vous, alors mettez le nom du fichier entre quotes ( guillemets ), avec une seule
paire de quotes, comme vous le feriez en temps normal :
pscp "nom de fichier local avec des espaces" utilisateur@machine_distante:
pscp utilisateur@machine_distante:nom_de_fichier_distant_sans_espaces "nom
de fichier local avec des espaces"
Par contre, si le nom de fichier correspond à un fichier situé sur la machine distante, il faut
utiliser des barres obliques inverses et deux paires de quotes :
pscp utilisateur@machine_distante:"\"nom de fichier distant avec des
espaces\"" local_filename
pscp nom_de_fichier_local_sans_espaces utilisateur@machine_distante:"\"nom
de fichier distant avec des espaces\""
93

Logiciel d’administration pour IPCOP 1.4.x
Pire encore, dans le cas d'une copie depuis la machine distante vers le PC local, vous devez
indiquer explicitement le nom local du fichier, faute de quoi PSCP va se plaindre que les deux
noms ne correspondent pas ( sauf si vous ajoutez l'option -unsafe ). La commande suivante
donne donc un message d'erreur :
c:\>pscp utilisateur@machine_distante:"\"oo er\"" .
warning: remote host tried to write to a file called 'oo er'
when we requested a file called '"oo er"'.
Pour éviter cela, il faut que vous mettiez le nom local du fichier en entier :
c:\>pscp utilisateur@machine_distante:"\"oo er\"" "oo er"
En revanche, si PSCP utilise le protocole SFTP, plus récent, aucun de ces problèmes ne se
pose, puisqu'il suffit de mettre les noms comportant des espaces entre quotes ( une seule paire
de quotes ), comme on le ferait spontanément :
pscp "fichier local" utilisateur@machine_distante:
pscp utilisateur@machine_distante:"fichier distant" .
VII. Résolution de problèmes
VII.1 Pourquoi est-ce que j'ai le message 'Incorrect MAC received
on packet' ?
L'une des causes possibles d'apparition de ce message, qui était assez répandu, à une époque,
tient à un bug dans les anciens serveurs SSH-2 de ssh.com ( mais ce n'est pas la seule cause
possible, veuillez vous référer à la section 10.11 pour plus d'informations ). Les versions de
leur serveur SSH-2 jusqu'à la 2.3.0 fabriquaient de façon erronée les codes d'authentification
des messages, et attendaient de la part du client SSH qu'il en fasse autant. Par défaut, PuTTY
fabrique correctement ces codes d'authentification, ce qui explique les problèmes rencontrés
par les utilisateurs de PuTTY avec ces anciens serveurs.
Si vous utilisez PuTTY 0.52 ou une version plus récente, tout devrait fonctionner
correctement. En effet, maintenant, PuTTY doit normalement détecter ces anciens serveurs
buggés d'après le numéro de version qu'ils annoncent lors de l'établissement de la connexion,
et à partir de là, il se met à fabriquer les codes d'authentification des messages de la façon
erronée qu'attend l'autre machine, ce qui permet la communication avec ces anciennes
versions de serveurs.
Si vous utilisez encore PuTTY 0.51 ou une version plus ancienne, vous pouvez activer le
contournement de ce bug en allant dans le panneau de configuration SSH, et en cochant la
case intitulée 'Imitate SSH2 MAC bug'. Il se peut que vous deviez faire cela aussi avec la
version 0.52, ou une version plus récente, si jamais le serveur SSH de la machine distante
présente ce bug, mais qu'il n'est pas recensé comme tel dans PuTTY.
Dans ce contexte, les trois lettres MAC signifient Message Authentication Code ( code
d'authentification de message ). C'est un terme utilisé en cryptographie, qui n'a rien à voir
avec les adresses MAC ( dans le contexte d'un réseau Ethernet, MAC signifie Media Access
Control ).
94

Logiciel d’administration pour IPCOP 1.4.x
VII.2 Pourquoi est-ce que j'ai le message 'Fatal: Protocol error:
Expected control record' dans PSCP ?
Ceci se produit parce que PSCP s'attendait à recevoir du serveur des données faisant partie
des échanges liés au protocole PSCP, et qu'au lieu de cela, il a reçu des données qu'il n'a pas
compris, et dont il n'a su que faire. Ce message est presque toujours dû au fait que des scripts
de démarrage associés à votre compte sur la machine distante produisent des sorties qui sont
envoyées via la connexion PSCP au lieu d'être affichées à l'écran de la machine distante. Il est
impossible d'éviter cela, que ce soit pour PSCP ou pour un autre client SCP. Pour bien faire,
vous ne devriez jamais utiliser de scripts de démarrage ( .bashrc, .cshrc, etc. ) qui affichent
des choses pendant les sessions non-interactives.
Ce n'est pas réellement un problème lié à PuTTY. Si PSCP se comporte de cette manière,
alors il y a de bonnes chances que tous les autres clients SCP en fassent autant. Le problème
se situe côté serveur.
VII.3 J'ai cliqué sur une couleur dans le panneau de configuration
'Colours', et la couleur n'a pas changé dans mon terminal.
Il ne faut pas se méprendre sur le rôle de la liste déroulante de couleurs qui figure dans le
panneau de configuration 'Colours', où l'on trouve notamment des couleurs ANSI ( de 'ANSI
Black' jusqu'à 'ANSI White Bold' ).
Par défaut, PuTTY affiche le texte en blanc sur fond noir, mais il ne faut pas croire que la liste
des couleurs du panneau 'Colours' sert à choisir une autre couleur, pour que PuTTY affiche
son texte en vert sur fond noir au lieu de blanc sur fond noir, par exemple ( d'ailleurs, ce n'est
pas du vrai blanc, en réalité, mais du gris clair ). Ces couleurs sont des couleurs 'logiques',
aussi bien les couleurs ANSI que les six premières couleurs de la liste ( de 'Default
Foreground' à 'Cursor Colour' ). Et PuTTY peut toutes les utiliser au cours d'une session,
même si la plupart du temps, il n'en utilise que deux ( les couleurs d'avant-plan et d'arrièreplan
par défaut ).
Le panneau de configuration 'Colours' sert à vous permettre de choisir la nuance de couleur
( la couleur 'réelle' ) associée à chacune de ces couleurs 'logiques'. Pour changer la couleur du
curseur, par exemple, il faut choisir 'Cursor Colour', cliquer sur le bouton 'Modify', et
sélectionner une nouvelle couleur dans la boîte de dialogue qui apparaît à ce moment-là. De la
même manière, si vous voulez que le texte principal de votre session soit affiché en vert,
prenez 'Default Foreground', cliquez sur 'Modify', et choisissez une autre couleur. Mais le
fait de cliquer sur 'ANSI Green' ( autrement dit 'vert ANSI' ) ne va pas faire passer l'affichage
instantanément au vert. Cela vous permet uniquement de choisir la teinte de vert utilisée
lorsque PuTTY reçoit de la machine distante l'ordre d'afficher du texte en vert ANSI.
NdT : les explications d'origine ne me semblaient pas tout à fait limpides, donc je me suis
permis de reformuler ce paragraphe, plutôt que de le traduire simplement. J'espère que l'auteur
de cette partie de la documentation d'origine ne m'en voudra pas...
95

Logiciel d’administration pour IPCOP 1.4.x
VII.4 Sous Windows 95, Plink dit qu'il n'arrive pas à trouver
WS2_32.DLL.
Plink a besoin de la version étendue de la bibliothèque réseau Windows pour fonctionner, la
WinSock version 2. Celle-ci est installée en standard sous Windows 98 et les versions
suivantes, et sous Windows NT, ainsi que sur les dernières versions de Windows 95, mais les
premières versions de Windows 95 ne l'avaient pas.
Pour pouvoir utiliser Plink avec ces versions de Windows, il vous faut télécharger la mise à
jour WinSock 2 :
http://www.microsoft.com/windows95/downloads/contents/wuadmintools/s_wunetw
orkingtools/w95sockets2/
VII.5 Quand j'essaye d'établir une connexion SSH-2, PuTTY me dit
'Out of memory' et plante.
Si cela se produit juste lors de l'établissement de la connexion, c'est souvent l'indication que
pour une raison ou pour une autre, le client et le serveur n'ont pas réussi à se mettre d'accord
sur une clé de cryptage de la session. Ils ont effectués chacun de leur côté des calculs qui
auraient normalement dû leur donner la même clé, mais qui ont donné des résultats différents,
sans que l'on sache pourquoi. Résultat, les données cryptées par l'un et décryptées par l'autre,
ou l'inverse, ne ressemblent à rien d'autre que de la « bouillie ».
Cela provoque une erreur 'Out of memory' ( à court de mémoire ) parce que la première
donnée que PuTTY s'attend à trouver est la longueur du message SSH. Normalement, ce doit
être une valeur inférieure à 100 octets. Si le décryptage échoue, PuTTY se retrouve avec une
longueur de message complètement aléatoire, qui peut aller jusqu'à deux giga-octets, et va
essayer d'allouer suffisament de mémoire pour stocker ce message qui n'existe pas. Cela va
immédiatement lui faire croire qu'il n'a pas pas suffisament de mémoire, et le faire paniquer.
Si cela vous arrive, il est assez probable que ce soit un bug de PuTTY, et vous devriez le
signaler ( bien que cela puisse aussi être un bug dans le serveur SSH ). Mais cela ne veut pas
nécessairement dire que vous êtes réellement à court de mémoire.
VII.6 Quand j'essaye de transférer un fichier avec PSCP ou PSFTP,
le programme me dit 'Out of memory' et plante.
La cause de ce problème est presque toujours liée à un script d'ouverture de session, exécuté
côté serveur, qui affiche du texte ( en fait : qui vous envoie du texte via la connexion, pour
qu'il soit affiché sur votre PC à vous ). PSCP et PSFTP reçoivent ce texte, à un moment où ils
attendaient le début des échanges liés au protocole de transfert de fichiers, et ils essaient de
l'interpréter, alors que ça n'a aucun sens au niveau du protocole. Cela donne généralement lieu
à une erreur 'Out of memory' ( autrement dit « à court de mémoire », ou « mémoire
insuffisante » ) pour quasiment les mêmes raisons que celles expliquées dans la réponse à la
question A.7.5.
96

Logiciel d’administration pour IPCOP 1.4.x
Ceci est un problème de configuration au niveau de votre compte utilisateur sur la machine
distante, ce n'est pas un bug de PSCP ou PSFTP. Vos scripts d'ouverture de session ne
devraient jamais rien afficher pendant des sessions non interactives, et le transfert de fichiers
sécurisé n'est pas le seul genre d'applications qui peut « partir en vrille » dans un cas comme
celui-ci.
Sous Unix, une solution simple consiste à vérifier que toutes les commandes de votre script
d'ouverture de session qui pourraient éventuellement vouloir afficher du texte se trouvent dans
.profile ( si vous utilisez le shell Bourne ou l'une de ses variantes, telle que bash ) ou dans
.login ( si vous utilisez le shell C ). Le fait de placer ces commandes dans des fichiers plus
généraux tels que .bashrc ou .cshrc est susceptible de causer des ennuis.
VII.7 Les transferts de fichiers avec PSFTP sont bien plus lents
qu'avec PSCP.
Le débit de PSFTP devrait être bien meilleur depuis la version 0.54, par rapport à la 0.53b et
aux versions précédentes. Nous avons fait le nécessaire dans SFTP pour qu'il soit possible de
mettre plusieurs blocs de données en file d'attente, plutôt que d'attendre un acquittement pour
chacun d'entre eux ( le client SCP n'avait pas ce problème de performance, parce que le
protocole SCP est bien plus simple que SFTP ).
VII.8 Lorsque j'utilise des applications dont l'affichage est en
couleur, j'ai des zones noires là où il devrait y avoir de la couleur, ou
vice versa.
l faut probablement que vous changiez le réglage 'Use background colour to erase screen'
( [NdT] « Utiliser la couleur d'arrière-plan pour effacer l'écran » ), dans le panneau de
configuration Terminal. S'il y a trop de noir ( ce qui est le plus fréquent ), vous devriez cocher
la case, alors que s'il y a trop de couleurs, vous devriez la décocher ( veuillez vous reporter à
la section 4.3.4 ).
Dans les anciennes versions de PuTTY, ce réglage était désactivé par défaut, et les
changements n'étaient pas pris en compte tant qu'on ne redémarrait pas le terminal
( cf. question A.7.9 ). Depuis la version 0.54, ce réglage est activé par défaut, et les
changements sont pris en compte immédiatement.
VII.9 Lorsque je change certains réglages de mon terminal, rien ne
se passe.
Certaines options de terminal ( notamment 'Auto Wrap' et 'Background-colour screen
erase' ) sont en réalité les réglages par défaut, et non la valeur sélectionnée à un instant
donné. La machine distante peut envoyer des séquences de contrôle qui modifient ces options
en cours de session, mais lorsque le terminal est réinitialisé ( du fait du serveur, ou si vous,
vous choisissez 'Reset Terminal' dans le menu système ), les valeurs par défaut sont
restaurées.
97

Logiciel d’administration pour IPCOP 1.4.x
Dans PuTTY 0.53b et les versions précédentes, si vous changez l'une de ces options en cours
de session, vous constaterez que la modification n'est pas immédiate. Elle ne prend effet que
lorsque vous réinitialisez le terminal.
Depuis la version 0.54, les modifications apportées à ces options prennent effet
immédiatement.
VII.10 Mes sessions PuTTY se ferment toutes seules après une
période d'inactivité.
Certains types de pare-feu, et quasiment tous les routeurs qui font du NAT ( Network Address
Translation = IP masquerading = translation d'adresses réseau ), vont finir par « oublier » une
connexion qui transite par eux, si aucun échange n'a lieu pendant un certain temps. Résultat,
la connexion est interrompue brutalement au rétablissement du contact, lorsqu'il y a à nouveau
des échanges.
Vous pouvez essayer de lutter contre cela en demandant à PuTTY d'envoyer des signes de vie
( des « keepalives » ), autrement dit des paquets de données qui n'ont pas d'effet réel sur la
session, mais qui signalent au routeur ou au pare-feu que la connexion réseau est toujours
active, et qu'il faut en garder trace.
Les signes de vie ne sont toutefois pas LA solution miracle. Bien qu'ils permettent aux
connexions de mieux « résister » à ce genre de routeurs, ils provoquent également une
moindre robustesse contre les pertes de connexion réseau ( veuillez vous reporter à la
section 4.13.1 pour plus d'informations à ce sujet ).
VII.11 Les connexions réseau de PuTTY partent trop rapidement en
'time out' lorsque la liaison réseau est interrompue momentanément.
C'est un problème Windows, pas un problème PuTTY. La valeur du timeout ne peut pas être
réglée application par application, ou session par session. Pour augmenter globalement la
valeur du timeout TCP, il faut aller faire la modification dans la Base de registres.
Sous Windows 95, 98 ou Millenium, la clé de Base de registres que vous devez créer ou
modifier est celle-ci :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
MSTCP\MaxDataRetries
Cette clé doit être de type DWORD sous Win95, et de type String sous Win98/ME ( veuillez
vous reporter à l'article 158474 de la base de connaissance Microsoft, la « MS Knowledge
Base » pour plus d'informations à ce sujet ).
Sous Windows NT, 2000, et XP, la clé à créer ou modifier est celle-ci :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters\TcpMaxDataRetransmissions
98

Logiciel d’administration pour IPCOP 1.4.x
et elle doit être de type DWORD ( veuillez vous reporter aux articles 120642 et 314053 de la
« Knowledge Base » pour plus d'informations ).
Donnez à cette clé une valeur de l'ordre de 10. De cette façon, Windows s'efforcera de garder
les connexions ouvertes, au lieu de les abandon
VII.12 Quand je fais cat sur un fichier binaire, j'obtiens
'PuTTYPuTTYPuTTY' à répétition sur ma ligne de commande.
Eh bien, ne le faites pas, alors...
En fait, c'est un comportement tout à fait normal : lorsque PuTTY reçoit le caractère Control-
E de la machine distante, il l'interprète comme une demande d'identification, et c'est pour cela
qu'il renvoie la chaîne 'PuTTY', comme si cette chaîne avait été tapée au clavier. Le caractère
Control-E ne devrait normalement être émis que par les programmes qui sauront quoi faire de
la réponse. Il est probable que le fait d'afficher un fichier binaire sur votre terminal va
provoquer l'apparition de nombreux caractères Control-E, et induire ce résultat. Alors ne le
faites pas, ce n'est pas une bonne idée.
Pour limiter les effets indésirables, vous pourriez faire en sorte que la chaîne renvoyée en
réponse au caractère Control-E soit la chaîne vide ( pour plus d'infos à ce sujet, veuillez vous
reporter à la section 4.3.6 ), mais il est probable que le fait de faire afficher des fichiers
binaires sur votre terminal provoquera d'autres résultats déplaisants, donc ce n'est qu'un pisaller.
VII.13 Quand je fais cat sur un fichier binaire, le titre de la
fenêtre se met à afficher n'importe quoi.
Eh bien, ne le faites pas, alors...
PuTTY se doit de savoir modifier le titre de sa fenêtre en réponse à des instructions reçues de
la machine distante. Normalement, la séquence de caractères de contrôle qui provoque ce
résultat ne devrait être émise que volontairement, par des programmes qui savent ce qu'ils
font et qui souhaitent réellement modifier le titre de la fenêtre du terminal. Le fait de faire
afficher des fichiers binaires sur votre terminal induit le risque que cette même séquence de
contrôle soit émise par accident, et provoque des modifications inattendues dans le titre de la
fenêtre. Ne le faites pas.
99

Logiciel d’administration pour IPCOP 1.4.x
VII.14 Mon clavier cesse de fonctionner à partir du moment où
PuTTY affiche l'invite 'Password:' pour que je tape mon mot de
passe.
Rassurez-vous, votre clavier va très bien : c'est juste que PuTTY n'affiche strictement rien
quand vous tapez un mot de passe, même pas des étoiles ou des petits ronds noirs,
contrairement à ce qui se passe quand vous ouvrez votre session Windows. Comme cela, si
quelqu'un regarde par dessus votre épaule, il ne pourra rien voir, même pas le nombre de
caractères qu'il y a dans votre mot de passe, ce qui serait une information intéressante pour
quelqu'un de mal intentionné.
VII.15 Quand j'utilise une application qui tourne sur la machine
distante, certaines touches de fonction de mon clavier ne font pas
ce que je voudrais.
Si vous avez déjà essayé toutes les options appropriées dans le panneau de configuration
'Keyboard' de PuTTY, il se peut que vous ayez besoin d'envoyer un e-mail aux mainteneurs
de PuTTY et de leur soumettre votre problème.
Il n'est généralement pas utile de nous dire juste quelle application pose problème, avec quel
système d'exploitation côté serveur, et quelle est la touche qui ne fonctionne pas comme vous
le voudriez. Pour que nous puissions reproduire le problème, il faudrait que nous ayons un
exemplaire de chacun des systèmes d'exploitation, et de chacune des applications, au sujet
desquels quelqu'un s'est plaint ne serait-ce qu'une fois.
PuTTY réagit à l'appui sur les touches de fonction en envoyant une séquence de caractères de
contrôle à la machine distante. Si une touche de fonction ne fait pas ce que vous voudriez
qu'elle fasse, il y a des chances que la séquence de caractères que votre application s'attend à
recevoir ne soit pas la même que celle que PuTTY lui envoie. Par conséquent, ce que nous
avons réellement besoin de savoir, c'est quelle séquence l'application attend.
La façon la plus simple d'enquêter à ce sujet, c'est de trouver un autre environnement de
terminal, dans lequel cette touche de fonction fait effectivement ce que vous en attendez, et
partant de là, de chercher quelle séquence de caractères la touche de fonction émet dans cette
situation. Une façon raisonnablement facile de faire cela, sur un système Unix, consiste à
taper la commande cat, puis à appuyer sur la touche de fonction en question. Il y a des
chances que cela donne quelque chose du genre ^[[11~. Vous pouvez faire pareil dans
PuTTY, et voir ainsi quelle séquence de caractères la touche de fonction génère, pour
comparer. Une fois que c'est fait, vous pouvez envoyer un mail aux mainteneurs de PuTTY, et
nous dire ( en anglais, SVP ) « Je voudrais que la touche F1 ( par exemple ) envoie ^[[11~, et
au lieu de ça, elle envoie ^[OP, pouvez-vous jeter un coup d'oeil, SVP ? » ( « I wanted the F1
key to send ^[[11~, but instead it's sending ^[OP, can this be done, please? » ). Ou quelque
chose dans ce genre.
Vous devriez quand même lire la page Feedback du site web de PuTTY ( qui figure aussi dans
l'annexe B de cette documentation ), et suivre les indications qui y sont données.
100

Logiciel d’administration pour IPCOP 1.4.x
VII.16 Depuis que le serveur SSH de la machine distante a été mis à
jour en OpenSSH 3.1p1 / 3.4p1, je ne peux plus m'y connecter avec
PuTTY.
Il y a un problème connu qui se pose lorsque OpenSSH a été compilé avec une version
incorrecte de OpenSSL. Un contournement rapide à ce problème consiste à configurer PuTTY
pour qu'il utiliser la version 2 du protocole SSH et le cryptage Blowfish.
Ce n'est pas un problème spécifique à PuTTY. Si vous essayez de vous connecter à la
machine distante avec un autre client SSH, vous rencontrerez des problèmes similaires ( bien
que le cryptage par défaut de PuTTY diffère de celui de nombreux autres clients ).
Les configurations suivantes de OpenSSH 3.1p1 sont connues pour poser des problèmes, et
voici quels en sont les symptômes :
• SSH-2 avec cryptage AES ( PuTTY dit 'Assertion failed! Expression: (len & 15) ==
0' dans sshaes.c, ou 'Out of memory', ou plante )
• SSH-2 avec cryptage 3DES ( PuTTY dit 'Incorrect MAC received on packet' )
• SSH-1 avec cryptage Blowfish ( PuTTY dit 'Incorrect CRC received on packet' )
• SSH-1 avec cryptage 3DES
À partir de la version OpenSSH 3.4p1, seul le problème avec SSH-1 et Blowfish demeure.
Recompilez votre serveur, appliquez le correctif correspondant au bug 138 ci-dessus, ou
utilisez un autre cryptage, comme 3DES, par exemple.
En ce qui concerne les autres versions, on nous signale de temps à autre que les mêmes
symptômes se manifestent avec des versions plus anciennes de OpenSSH, et que les mêmes
contournements s'appliquent, mais il n'est pas établi que la cause sous-jacente soit
effectivement la même.
VII.17 Pourquoi est-ce que j'ai le message 'Couldn't load private key
from ...' ? Pourquoi PuTTY n'arrive-t-il pas à charger ma clé, alors
que PuTTYgen y arrive bien, lui ?
l est probable que vous avez généré une clé correspondant à la version 2 du protocole SSH
avec PuTTYgen, mais que vous essayez de l'utiliser dans une connexion SSH-1. Les clés
SSH-1 et SSH-2 ont des formats différents, et ( au moins dans la version 0.52 ) la façon dont
PuTTY signale que la clé n'est pas dans le bon format n'est pas optimale.
Pour vous connecter avec SSH-2 à un serveur qui accepte les deux versions, il faut que vous
le sélectionniez explicitement ( champ 'Prefered SSH protocol version' dans le panneau de
configuration 'SSH' ).
101

Logiciel d’administration pour IPCOP 1.4.x
VII.18 Quand je suis connecté à une machine en Linux Red Hat 8.0,
certains caractères ne s'affichent pas correctement.
On nous signale fréquemment que les tirets et autres traits d'union des pages de manuel Unix
sont remplacés à l'affichage par des a accent aïgu ( á ).
Au moment de la sortie de la version 8.0, Red Hat semble avoir fait d'UTF-8 le jeu de
caractères par défaut, mais les émulateurs de terminal tels que PuTTY n'ont pas de moyen de
le savoir ( pour autant que nous le sachions, la séquence d'échapement qui sert à passer en
mode UTF-8 n'est pas émise ).
Une solution consiste à configurer les sessions de connexion à des machines RH8 pour
qu'elles utilisent la traduction UTF-8 ( cf. section 4.10.1 ). Notez que si vous utilisez 'Change
Settings', les modifications peuvent ne pas être effectives immédiatement - voir à ce sujet la
question A.7.9.
Si vous voulez vraiment changer le jeu de caractères utilisé par la machine distante, c'est dans
/etc/sysconfig/i18n qu'il faut aller, mais cela ne devrait pas être nécessaire.
VII.19 Depuis que je suis passé à la version 0.54, le défilement en
arrière ne fonctionne plus lorsque j'utilise screen.
L'émulateur de terminal de PuTTY a toujours eu pour principe de ne rien ajouter au tampon
de défilement arrière lorsque l'écran secondaire ( cf. [NdT] ci-dessous ) est en cours
d'utilisation, parce que les programmes qui se servent habituellement de l'écran secondaire
sont des programmes du genre éditeur de texte, qui ont tendance à user et abuser du
défilement, dans un sens et dans l'autre, au sein d'un même document. Non seulement, si on
les laissait faire, ils rempliraient rapidement le tampon de défilement arrière avec de grandes
quantités de texte inutile et désordonné, mais en plus, ils contiennent leur propre méthode
pour permettre à l'utilisateur d'atteindre un endroit précis dans le document. Nous avons donc
décidé, par expérience, que c'était LA bonne chose à faire dans quasiment toutes les
situations.
[NdT] : l'écran secondaire dont il est question ici est une zone réservée, à l'intérieur de la
mémoire de l'ordinateur, qui permet d'avoir le contenu de deux écrans, présents en mémoire
en même temps, et de passer instantanément de l'un à l'autre : absolument rien à voir avec les
cartes graphiques récentes, qui sont capables de gérer deux moniteurs à la fois.
Malheureusement, screen est en quelque sorte l'exception qui confirme la règle, puisqu'il
utilise l'écran secondaire, mais que pendant l'utilisation de screen, il est quand même utile
que le défilement arrière de PuTTY continue de fonctionner. La solution la plus simple
consiste à aller dans le panneau de configuration 'Features', et à cocher la case 'Disable
switching to alternate terminal screen' ( autrement dit : désactiver le basculement vers
l'écran secondaire ). Veuillez vous reporter à la section 4.6.4 pour plus de détails. Autre
solution, vous pouvez dire à screen lui-même de ne pas utiliser l'écran secondaire. La Foire
102

Logiciel d’administration pour IPCOP 1.4.x
Aux Questions de screen suggère d'ajouter la ligne 'termcapinfo xterm ti@:te@' à votre
fichier .screenrc.
Si cela ne pose problème que depuis la version 0.54 de PuTTY, c'est parce que screen utilise
une séquence de contrôle inhabituelle pour basculer vers l'écran secondaire, et que les
versions de PuTTY antérieures à la 0.54 ne reconnaissaient pas cette séquence.
VII.20 Depuis que je suis passé en Windows XP Service Pack 2, je
ne peux plus utiliser des adresses comme 127.0.0.2.
Certaines personnes qui demandent à PuTTY d'écouter sur des adresses de type 'localhost'
autres que 127.0.0.1, pour faire transiter des services tels que SMB et Windows Terminal
Services, ont découvert que cela ne fonctionne plus après avoir installé le Service Pack 2 de
Windows XP.
Il semble que ce soit un problème lié au SP2 dont Microsoft fait état dans l'article 884020 de
la base de connaissance Microsoft ( MS Knowledge Base ). L'article comporte un lien qui
permet de télécharger un correctif.
Ceci dit, nous avons également entendu dire que le Service Pack 2 corrigeait aussi le bug qui
rendait nécessaire le recours à des adresses 'loopback' autres que 127.0.0.1 pour faire
transiter les connexions Terminal Services.
VII.21 On dirait qu'il manque un séparateur de répertoires ( un
slash ) aux commandes PSFTP.
Certaines personnes ont signalé le comportement suivant de PSFTP, qui est incorrect :
psftp> pwd
Remote directory is /dir1/dir2
psftp> get filename.ext
/dir1/dir2filename.ext: no such file or directory
Ceci n'est pas un bug dans PSFTP. Il y a un bug connu dans certaines versions de la variante
portable de OpenSSH ( bug 697 ) qui provoque ces symptômes. Il semblerait que ce bug ait
été introduit aux alentours de la version 3.7.x. Il ne se manifeste que sur certaines platesformes
( on nous l'a signalé sous AIX ).
Il y a un correctif pour OpenSSH correspondant à ce bug. Il est également résolu dans les
versions récentes de la variante portable de OpenSSH ( depuis aux alentours de la version
3.8 ).
VII.22 Vous voulez que je vous raconte celle du message 'Software
caused connection abort' ?
Dans la documentation des versions 0.53 et 0.53b de PuTTY, nous disions que nous
aimerions être tenus au courant quand cette erreur se produit. Depuis la sortie de PuTTY 0.54,
cependant, nous sommes convaincus que cette erreur n'est pas révélatrice d'un mauvais
103

Logiciel d’administration pour IPCOP 1.4.x
fonctionnement de PuTTY, et il n'est plus utile de nous signaler cette erreur si vous la
rencontrez. Veuillez vous reporter à la section 10.14 pour des informations à jour au sujet de
cette erreur.
VII.23 Ma session SSH-2 se bloque pendant quelques secondes de
temps à autre.
Les versions récentes de PuTTY lancent automatiquement un renouvellement des clés une
fois toutes les heures, pour augmenter la sécurité de la session. Si l'une des deux machines,
votre PC ou la machine distante, est un peu lent, il se peut que cela vous donne l'impression
d'un blocage d'environ une trentaine de secondes ( maximum ).
Ces délais sont malcommodes, c'est vrai, mais ils sont là pour votre protection. Si cela vous
cause vraiment un problème, vous pouvez désactiver volontairement le renouvellement
périodique des clés, en allant dans le panneau de configuration 'Kex' ( voir à ce sujet la
section 4.19 ), mais soyez bien conscient que c'est au détriment de la sécurité ( revenir à SSH-
1 aurait aussi pour effet de supprimer ces délais, mais cela serait encore bien plus gênant en
termes de sécurité ). Nous ne le recommandons pas.
VII.24 PuTTY ne se lance pas. Windows me dit que la configuration
de l'application est incorrecte.
C'est dû à un bug de certaines versions de Windows XP, qui se manifeste dans PuTTY 0.58.
Le problème a été corrigé dans la version 0.59. Pour plus de détails à ce sujet, veuillez
consulter l'entrée ‘xp-wont-run’ dans la page des desiderata de PuTTY.
VIII. Questions liées à la sécurité
VIII.1 Est-ce prudent de ma part de télécharger et d'utiliser
PuTTY sur un PC en libre accès ?
Tout dépend si vous pensez pouvoir utiliser ce PC en toute confiance, ou non. Si vous n'avez
pas confiance dans un PC, alors il ne faut utiliser dessus ni PuTTY, ni aucun autre logiciel
dans lequel vous pouvez avoir besoin de taper des mots de passe. Il se peut qu'un enregistreur
de frappes clavier ( un keylogger ) soit installé dessus, ou que "quelque chose" vienne
modifier le binaire de PuTTY que vous téléchargez. Il n'existe aucun programme
informatique qui soit suffisament sûr pour que vous puissiez l'utiliser et taper des mots de
passe dedans en toute confiance, s'il est installé sur un PC qui a été compromis par des
programmes mal intentionnés.
Si vous pensez pouvoir utiliser le PC en confiance, alors vous pouvez sans doute utiliser
PuTTY dessus sans problème ( mais si vous craignez que le réseau lui-même ne soit
compromis, et donc que le binaire de PuTTY que vous téléchargez ne risque d'avoir été
modifié par une personne mal intentionnée, alors il vaut sans doute mieux amener votre
propre exemplaire de PuTTY sur une disquette ou une clé USB ).
104

Logiciel d’administration pour IPCOP 1.4.x
VIII.2 PuTTY laisse-t-il « des choses » sur le PC ? Comment puis-je
faire le ménage après utilisation ?
PuTTY laisse quelques entrées dans la Base de registres, et un fichier graine pour le
générateur de nombres pseudo-aléatoires ( cf. question A.5.2 ). Si vous utilisez PuTTY sur un
PC public, ou sur la machine de quelqu'un d'autre, c'est une bonne idée de les effacer une fois
que vous avez fini. Vous pouvez le faire automatiquement, en lançant la commande putty -
cleanup ( N.B. : sur un système multi-utilisateurs, cela n'enlève ce fichier et ces entrées de
Base de registres que pour l'utilisateur courant ).
Si PuTTY a été installé avec le programme d'installation, il apparaît également dans la liste
'Ajout/Suppression de programmes'. Les versions anciennes du désinstalleur ne suppriment
pas ce fichier et ces entrées de Base de registres.
VIII.3 Comment se fait-il que PuTTY supporte maintenant le DSA,
alors que le site web a dit pendant longtemps à quel point ce
protocole est peu sûr ?
DSA présente un défaut de sécurité majeur s'il est mal implémenté : son fonctionnement est
beaucoup trop dépendant du générateur de nombres pseudo-aléatoires. Si ce générateur de
nombres pseudo-alétoires produit des séquences de nombres qu'un attaquant peut réussir à
prédire, alors la clé privée DSA est en danger - cela signifie que le pirate peut potentiellement
se faire passer pour vous sur tous les systèmes qui acceptent cette clé.
Nous avons changé d'avis au sujet du cryptage DSA lorsque nous avons appris qu'il existait
des moyens de l'implémenter, qui ne présentent pas ces défaut de sécurité, et qui ne reposent
d'ailleurs pas du tout sur des nombres pseudo-alétoires. C'est la raison pour laquelle nous
pensons que le cryptage DSA, tel qu'il est implémenté dans PuTTY, peut être utilisé sans
crainte. Cependant, si vous en avez la possibilité, nous vous recommandons d'utiliser plutôt le
cryptage RSA.
VIII.4 Pageant ne pourrait-il pas utiliser VirtualLock() pour
empêcher les clés privées d'être écrites sur le disque ?
Malheureusement non. La fonction VirtualLock() de l'API Windows ne convient pas pour
cela : elle peut effectivement empêcher que de petites parties de la mémoire allouée à un
processus ne soient 'swappées' sur le disque dur pendant que le processus est actif, mais elle
n'empêche pas que la totalité de la mémoire allouée au processus ne soit 'swappée' sur le
disque lorsque le processus reste longtemps inactif. Et Pageant passe le plus clair de son
temps à ne rien faire.
105

IX. Questions d'ordre administratif
Logiciel d’administration pour IPCOP 1.4.x
IX.1 Voulez-vous que je vous réserve un nom de domaine un peu plus
sympa, comme www.putty.com, ou www.putty.org ?
C'est gentil de proposer, mais non, merci. Même si vous arriviez à en trouver un ( la plupart
d'entre eux semblent avoir déjà été réservés, par des gens qui ne nous ont pas demandé si nous
les voulions ), l'adresse actuelle du site de PuTTY nous convient très bien comme elle est.
Elle n'est pas difficile à trouver ( il suffit de taper 'putty' dans Google, nous sommes le
premier résultat renvoyé ), et nous ne sommes pas convaincus que le travail administratif que
cela nous demanderait pour déplacer le site en vaille la peine.
De plus, même si nous voulions un nom de domaine personnalisé, nous voudrions le gérer
nous-mêmes, de façon à pouvoir être sûrs qu'il pointe bien toujours là où nous voulons qu'il
pointe, et qu'il ne risque pas de changer subitement, ou de faire des choses bizarres dans ce
genre-là. Faire enregistrer notre nom de domaine par une tierce personne, qui ferait cela pour
nous alors que nous ne connaissons même pas cette personne, n'est sans doute pas la
IX.2 Seriez-vous intéressés par de l'hébergement gratuit pour le
site web de PuTTY ?
Merci, mais le site de PuTTY est déjà hébergé gratuitement.
IX.3 Seriez-vous d'accord pour mettre sur le site de PuTTY un lien
qui pointe vers mon site à moi ?
Uniquement si le contenu de votre site présente un intérêt évident pour les utilisateurs de
PuTTY. Si son contenu n'a rien à voir avec PuTTY, ou seulement de loin, alors le lien que
vous nous demandez serait tout simplement de la pub pour votre site.
L'un des bons côtés du mécanisme de classement de Google ( le "pagerank" ), c'est que les
sites les plus populaires obtiennent les meilleurs classements, de loin. Cela veut dire que
quand une personne ordinaire fait une recherche ( par "personne ordinaire", nous voulons dire
"pas quelqu'un qui connaît à fond les moteurs de recherche, et qui sait comment influer sur les
résultats" ), le site qui apparaît tout en haut, dans les résultats, a de grandes chances d'être un
site de grande qualité, ou le site que cherche effectivement la personne, plutôt qu'un site qui a
dépensé plein d'argent pour obtenir un bon classement.
Le site web de PuTTY est tenu en haute estime par Google, précisément pour cette raison :
beaucoup de gens ont fait pointer des liens vers ce site, simplement parce qu'ils apprécient
PuTTY, sans que nous leur ayons jamais demandé quoi que ce soit. Nous considérons que ce
serait abuser de cette estime que de l'utiliser pour améliorer le classement Google des sites de
tel ou tel annonceur. Si vous voulez que votre site web ait un aussi bon classement Google
que le nôtre, faites plutôt comme nous : soyez assez bons dans votre domaine pour que les
gens mettent d'eux-mêmes des liens qui pointent chez vous, simplement parce qu'ils vous
apprécient.
106

Logiciel d’administration pour IPCOP 1.4.x
En particulier, cela ne nous intéresse pas de mettre en place des liens pour de l'argent ( cf. cidessus
), et encore moins de mettre en place des liens en échange d'autres liens ( dans la
mesure où il n'y a pas de publicités sur notre site, notre classement chez Google ne présente
même pas d'intérêt direct à nos yeux ). Si nous ne voulons pas mettre sur notre site de liens
pointant sur le vôtre à titre gratuit, alors il est probable que nous n'avons pas envie d'en mettre
du tout, indépendamment de toute histoire d'argent.
Si l'un de vos logiciels est basé sur PuTTY, ou conçu spécifiquement pour interagir avec
PuTTY, ou qu'il présente d'une façon ou d'une autre un réel intérêt pour les utilisateurs de
PuTTY, alors nous ajouterons sans doute volontiers un lien pointant chez vous sur notre page
'Links'. Et si vous avez un miroir du site web de PuTTY, alors là, oui, cela nous intéresse.
IX.4 Pourquoi ne mettez-vous pas PuTTY sur SourceForge ?
En partie parce que nous ne voulons pas changer l'adresse du site ( cf. question A.9.1 ). Mais
ce n'est pas la seule raison.
C'est aussi pour des raisons de sécurité. PuTTY est un logiciel qui a trait à la sécurité, et en
tant que tel, il est particulièrement important de protéger le code et le site contre toute
modification non autorisée, qui risquerait d'introduire de subtiles failles de sécurité. En
conséquence, nous préférons que le référentiel Subversion, le site web et le site FTP restent là
où ils sont, sous le contrôle direct d'administrateurs système que nous connaissons
personnellement et en qui nous avons confiance, plutôt que les faire administrer par une
grande organisation pleine de gens que nous n'avons jamais rencontrés, et dont on sait qu'elle
a reçu plusieurs fois la visite de pirates, par le passé. Que les gens de SourceForge ne le
prennent pas mal. Je pense qu'ils font un boulot super. Mais leur système d'hébergement ne
peut pas convenir pour tout le monde, et en particulier, il ne convient pas dans notre cas.
IX.5 Pourquoi est-ce que je n'arrive pas à m'inscrire à la liste de
diffusion 'putty-bugs' ?
Parce que vous ne faites pas partie de l'équipe de développement de PuTTY. La liste de
diffusion 'putty-bugs' n'est pas un forum de discussion façon newsgroup. C'est une adresse de
contact pour les développeurs qui sont au coeur de PuTTY, et une liste de diffusion à usage
interne pour que nous puissions discuter entre nous de choses et d'autres. Si nous l'ouvrions à
tout un chacun, cela deviendrait quelque chose comme un newsgroup, et nous serions
complètement dépassés par le volume des échanges. Nous avons déjà bien assez de mal pour
suivre les discussions sur la liste telle qu'elle est.
IX.6 Si 'putty-bugs' n'est pas une liste de diffusion publique, estce
qu'il en existe une ?
À notre connaissance, il n'y en a pas. Si quelqu'un veut mettre en place une liste de diffusion,
ou un forum de discussion, pour que les utilisateurs de PuTTY puissent s'entraider, cela ne
nous pose aucun problème. L'équipe de PuTTY n'aura toutefois sans doute pas le temps de la
lire. Il vaut sans doute mieux utiliser l'un des groupes de discussion qui existent déjà pour cela
( cf. section B.1.2 ).
107

Logiciel d’administration pour IPCOP 1.4.x
IX.7 Comment est-ce que je peux faire un don à l'équipe de
développement de PuTTY ?
S'il vous plaît, ne vous croyez pas obligé de le faire. Vraiment. PuTTY est gratuit, ce n'est pas
un shareware ( un "partagiciel", en bon français ). Nous estimons qu'il est très important que
quiconque souhaite utiliser PuTTY puisse le faire, que cette personne ait de l'argent ou non.
Nous ne souhaitons vraiment pas qu'un utilisateur de PuTTY se sente coupable de ne pas nous
avoir payé quoi que ce soit. Si vous voulez garder votre argent, il n'y a pas de problème,
gardez-le. Ce n'est pas là notre motivation.
Bon, ceci étant dit, si vous voulez quand même nous donner de l'argent, ce n'est pas un
problème non plus :-) Le plus commode pour nous, c'est si vous envoyez de l'argent à
via PayPal ( www.paypal.com ). Une autre possibilité, si vous n'avez
pas confiance en PayPal, consiste à passer par e-gold ( www.e-gold.com ) : déposez votre don
sur le compte n°174769, puis envoyez-nous un mail pour nous avertir, parce que sinon, il
risque de se passer plusieurs mois sans qu'on ne remarque quoi que ce soit.
Les petites sommes ( quelques dizaines de dollars ou d'euros ) seront probablement dépensées
en bière ou en bouffe indienne, histoire de motiver les troupes. Les dons plus importants
seront utilisés acheter quelque chose qui fasse réellement avancer le schmilblick, si nous
réussissons à trouver une idée ( peut-être du nouveau matériel, ou un exemplaire de Windows
XP ). Et si nous ne trouvons pas d'idée, alors l'argent sera sans doute distribué entre les
développeurs. Si vous voulez être sûr que votre don sera utilisé à quelque chose d'utile,
parlez-nous en avant. Si ce mode de fonctionnement ne vous convient pas, eh bien, ne faites
pas de don, ce n'est pas un souci.
IX.8 Est-ce que je peux mettre PuTTY dans un CD ou un DVD offert
avec un magazine, ou le distribuer conjointement avec d'autres
logiciels ?
Oui. Pour ce genre de choses, vous n'avez pas besoin de vous embêter à demander notre
permission explicite. Notre licence vous donne déjà la permission de le faire.
Veuillez vous reporter à la section B.7 pour plus d'informations à ce sujet.
Non !
IX.9 Pouvez-vous nous garantir par écrit contre d'éventuels
problèmes de sécurité dans PuTTY ?
Un marchand de produits de sécurité physiques, matériels, concrets, tels que des verrous, des
cadenas, ou des antivols, pourrait logiquement accepter une responsabilité financière si jamais
l'un de ses produits ne s'avérait pas conforme à ce qui est écrit sur l'emballage, ou à ce qui
108

Logiciel d’administration pour IPCOP 1.4.x
figure dans une publicité, et qu'il en résulte un tort causé à des utilisateurs de ce produit ( des
affaires volées, par exemple ). Il pourrait se le permettre parce qu'il vend un grand nombre
d'exemplaires de chacun de ses produits, et que sur la quantité, il y a de bonnes chances que
seuls un petit nombre d'entre eux s'avère défectueux. Il pourrait donc supporter cette
responsabilité financière, tout en ayant de bonnes chances de rester bénéficiaire, de par le
reste de ses ventes. La responsabilité financière est intrinsèquement liée au fait de vendre un
produit contre de l'argent.
Il y a deux raisons qui font que PuTTY n'est pas comparable à un cadenas ou à un verrou,
dans ce contexte. La première, c'est que les logiciels ne présentent pas de variations
aléatoires : quand PuTTY a un trou de sécurité ( ce qui arrive parfois, bien que nous fassions
de notre mieux pour l'éviter, et pour réagir au plus vite lorsque cela se produit ), chaque
exemplaire de PuTTY a ce même trou, et tous les utilisateurs de PuTTY risquent alors de se
trouver affectés en même temps. Donc même si les gens nous payaient pour pouvoir utiliser
PuTTY, nous ne pourrions pas leur verser, à tous en même temps, une compensation
financière qui aille au delà du prix qu'ils nous auraient versé à l'origine. Ce ne serait pas
possible.
L'autre raison, encore plus importante, c'est que les utilisateurs de PuTTY ne nous payent pas.
L'équipe de PuTTY ne retire pas de revenu de cette activité de développement. PuTTY résulte
de l'effort conjoint de personnes qui consacrent leur temps libre à essayer d'écrire des logiciels
utiles. Nous ne sommes pas une société, nous n'avons aucune forme de structure qui soit
reconnue sur le plan légal, comme une organisation ou une association. Nous sommes juste un
groupe de gens qui bricolons pendant notre temps libre.
C'est pourquoi nous demander d'assumer une responsabilité financière quant aux éventuels
défauts de PuTTY reviendrait pour nous à prendre le risque d'avoir à payer cette
compensation de notre poche, en prenant sur notre argent personnel, le même qui nous sert à
nous acheter à manger, à nous habiller, et à payer le loyer. C'est plus que ce que nous sommes
prêts à donner. Nous consacrons déjà une grande part de notre temps libre à développer des
logiciels sans que cela ne nous rapporte un kopeck, alors s'il fallait en plus qu'on paye de notre
poche pour le faire, il y aurait de quoi se demander à quoi bon...
Le logiciel libre ne repose fondamentalement pas sur la base de garanties financières. La seule
assurance que vous ayez, comme quoi le logiciel fonctionne correctement, c'est que le code
source est librement disponible, et que vous pouvez le vérifier avant d'utiliser le logiciel. Si
vous voulez être sûr qu'il n'y a pas de trous de sécurité, soumettez le code source de PuTTY à
un audit sécurité, ou embauchez un ingénieur sécurité pour le faire à votre place si vous
n'avez pas vous-même les compétences requises. Plutôt que de chercher à vous assurer une
compensation financière en cas de problème, essayez donc de commencer par vous assurer
qu'il n'y a pas de problème.
Si vous voulez vraiment une garantie financière, voyez si vous pouvez trouver un ingénieur
sécurité qui accepte de se porter garant - financièrement parlant - de la validité de son audit. À
défaut, voyez si vous pouvez convaincre une compagnie d'assurances de vous garantir contre
des incidents de sécurité, et si l'assureur l'exige, faites auditer notre code par un ingénieur
sécurité agréé par cet assureur
IX.10 Pouvez-vous nous accorder par écrit la permission d'utiliser
et de redistribuer PuTTY ?
Si le papier que vous voudriez nous faire signer comporte une phrase du genre « Je,
soussigné, [...], certifie et garantie que [...] », alors nous ne le signerons pas. Ceci est tout
particulièrement vrai s'il s'agit pour nous de garantir que PuTTY est sûr ( veuillez vous
109

Logiciel d’administration pour IPCOP 1.4.x
reporter à la question A.9.9 pour plus d'informations à ce sujet ). Mais en fait, peu importe ce
que nous sommes censés garantir : même s'il s'agit de quelque chose dont nous sommes
profondément convaincus, comme le fait que PuTTY ne viole aucun copyright tiers, nous ne
signerons aucun document qui entraînerait une responsabilité légale ou financière. Tout
simplement parce que le projet de développement de PuTTY n'a pas de revenus qui lui
permettraient d'assurer cette responsabilité, ou de payer les frais de justice, si jamais il devait
y en avoir besoin. Nous ne pouvons pas nous permettre d'être poursuivis en justice. Nous vous
promettons que nous avons fait de notre mieux. Si cela ne vous suffit pas, eh bien tant pis
pour vous.
La licence de PuTTY vous accorde d'ores et déjà, de façon très permissive, le droit d'utiliser et
de distribuer PuTTY. Il faut juste ne pas chercher à faire croire que c'est vous qui avez écrit le
logiciel, ni nous intenter un procès en cas de problème. Nous estimons que cela devrait
suffire.
Veuillez consulter la réponse à la question A.9.12 : nous y expliquons une autre raison pour
laquelle nous ne souhaitons pas signer ce genre de papiers.
IX.1 1 Pouvez-vous nous garantir par écrit, de façon formelle, que
nous avons le droit d'utiliser PuTTY ?
Nous pourrions le faire, en principe, mais il n'est pas évident que ce serait bien utile. Si vous
pensiez qu'il y a un risque réel pour que l'un des détenteurs du copyright de PuTTY vous
intente un procès ( même si ces craintes nous semblent infondées ! ), alors vous souhaiteriez
sans doute obtenir un accord écrit de chacun d'entre eux. Et nous ne serions pas en mesure de
vous le fournir, même si nous le voulions, parce que bon nombre des détenteurs du copyright
sont des gens qui ont contribué au projet par le passé, en fournissant du code, mais avec qui
nous avons perdu le contact, depuis lors. À partir de là, le mieux que nous pourrions faire
serait d'obtenir que toute l'équipe de développement principale vous signe un document, mais
cela ne vous garantirait pas qu'aucun autre détenteur du copyright de PuTTY ne vous
poursuivra jamais en justice.
Veuillez consulter la réponse à la question A.9.12 : nous y expliquons une autre raison pour
laquelle nous ne souhaitons pas signer ce genre de papiers.
IX.12 Pouvez-vous nous garantir quelque chose par écrit ?
Pas à moins qu'il y ait une vraiment très bonne raison.
D'une façon générale, nous ne souhaitons pas passer d'accords individuels avec des
utilisateurs de PuTTY, afin de ne pas créer de précédent. Nous évaluons le nombre des
utilisateurs de PuTTY à plusieurs millions, et nous n'avons certainement pas le temps de faire
le tour de ces utilisateurs, et de signer des accords au cas par cas avec chacun d'entre eux.
Alors si vous tenez à ce que nous vous signions quelque chose en particulier, vous gagnerez
du temps en cessant de croire que vous avez quelque chose en plus, qui vous distingue des
999.999 autres utilisateurs, et donc qu'il y a une raison pour laquelle nous devrions avoir
envie de vous signer quelque chose, sans que cela ne crée un tel précédent.
110

Logiciel d’administration pour IPCOP 1.4.x
Si la politique de la société dans laquelle vous travaillez exige de vous que vous ayez un
accord individuel avec l'éditeur de chacun des logiciels que vous utilisez, alors c'est que la
politique de votre société est tout simplement bien mal adaptée à l'usage de logiciels libres, et
nous vous encourageons à considérer cela comme un défaut dans cette politique.
Oui et non.
IX.1 3 Puisque vous ne voulez rien signer, pouvez-vous nous
promettre que PuTTY restera en open source à l'avenir ?
Si vous voulez avoir l'assurance qu'une certaine version de PuTTY, actuelle ou passée, que
vous avez déjà téléchargée, restera libre, alors vous l'avez déjà, de par la licence PuTTY ellemême.
Cette licence vous accorde le droit d'utiliser, de distributer et de copier le logiciel
auquel elle s'applique. Une fois que nous avons accordé cette permission ( ce qui est le cas ),
nous ne pouvons tout simplement pas la révoquer.
Par contre, si vous voulez avoir l'assurance que les futures versions de PuTTY ne seront pas
en sources fermés, c'est plus difficile. En principe, nous pourrions signer un document disant
que que nous ne sortirons jamais une version de PuTTY dont les sources seraient fermés, mais
ce ne serait pas pour autant une garantie que nous continuerions à sortir des versions de
PuTTY en sources ouverts : nous aurions toujours la possibilité d'arrêter complètement le
développement de PuTTY, ce qui serait encore pire, pour vous, que si nous sortions des
PuTTY en sources fermés ! Et il est quasiment certain que nous ne sommes pas prêts à signer
un document garantissant que nous continuerons à travailler indéfiniment sur PuTTY ( en tous
cas, si nous le faisions, ce ne serait sûrement pas à titre gratuit ! ). De tels documents portent
un nom ( cela s'appelle un contrat de travail ), et ne sont généralement pas signés sans un
salaire conséquent en échange.
Si nous étions sur le point d'arrêter le développement de PuTTY, ou de décider que toutes les
versions à venir seront en sources fermés, alors vous auriez encore la possibilité de prendre la
dernière version sortie en sources ouverts, conformément à la licence actuelle, et en
particulier, vous pourriez démarrer votre propre « fork », c'est à dire votre propre branche de
développement du projet, à partir de cette version. Si cela devait se produire, je pense pouvoir
prédire que quelqu'un le ferait, et que le PuTTY libre et gratuit que vous connaissez
continuerait à être développé. Il y a déjà eu des précédents dans le domaine du logiciel libre.
Nous ne pouvons pas garantir que quelqu'un d'autre que vous le ferait, bien entendu. Il se
pourrait que vous deviez le faire vous-même. Mais nous pouvons vous assurer qu'il n'y a rien
qui empêcherait quiconque de continuer le développement d'une version libre si jamais nous,
nous arrêtions.
Pour finir, nous pensons aussi pouvoir prédire que si jamais nous décidions de mettre PuTTY
en sources fermés, et que quelqu'un en commençait une branche parallèle en sources ouverts,
la plupart des utilisateurs adopteraient cette nouvelle branche. Ce serait donc tout à fait
stupide de notre part.
IX.1 4 Pouvez-vous nous fournir des informations sur le contrôle des
exportations, ou une certification FIPS de PuTTY ?
Certaines personnes nous ont demandé un numéro ECCN pour PuTTY ( [NdT] ECCN =
Export Control Classification Number : il s'agit d'un numéro de classification délivré par
l'administration américaine dans le cadre du contrôle des exportations ). Nous ne savons pas si
111

Logiciel d’administration pour IPCOP 1.4.x
nous en avons un, et vu que nous sommes une équipe de développeurs de logiciels libres, et
que nous sommes situés au Royaume Uni, nous n'avons ni le temps, ni l'argent nécessaires
pour creuser la question, et pas de temps à perdre avec l'administration américaine. Nous
croyons savoir que PuTTY appartient à la catégorie 5D002 sur la liste américaine du contrôle
du commerce, mais cette information est à prendre avec précaution. Si vous avez besoin d'en
savoir plus, vous devriez consulter un conseiller juridique. Il en va de même pour les
exigences légales et les restrictions imposées par tous les autres pays.
De la même façon, certaines personnes nous ont demandé une certification FIPS pour les
outils PuTTY. À moins que quelqu'un d'autre ne soit prêt à faire le travail nécessaire, et à
payer ce que cela coûtera, nous ne sommes pas en mesure de fournir cette certification.
X Questions diverses
X.1 Est-ce que PuTTY est un portage d'OpenSSH ? Est-il dérivé
d'OpenSSH d'une manière ou d'une autre ?
Non. Le code source de PuTTY a presque entièrement été écrit « from scratch », en partant de
rien. La seule partie de code que nous ayons en commun avec OpenSSH, c'est le détecteur
d'attaques par compensation CRC sur SSH-1, qui a été écrit par la société CORE SDI S.A.
X.2 Où est-ce que je peux acheter le jouet « Putty » ?
Ah, là vous n'êtes pas sur le bon site. Le seul PuTTY dont il est question ici est un programme
d'ordinateur. Si vous êtes à la recherche de « putty », le jouet pour passer ses nerfs et se
détresser, l'équipe de développement de PuTTY est bien placée pour vous conseiller
« Thinking Putty », que vous pouvez vous procurer sur le site Crazy Aaron's Putty World
( www.puttyworld.com ).
X.3 Que signifie le nom 'PuTTY' ?
Rien de particulier. PuTTY, c'est le nom d'un client SSH et Telnet bien connu. Pour le reste,
c'est vous qui voyez. Des rumeurs prétendent que 'PuTTY', c'est le contraire de 'getty', ou
que c'est ce qui rend Windows utile, ou encore que c'est un sorte de télétype au plutonium
( [NdT] le symbole chimique du plutonium est Pu, et 'télétype' est souvent écrit TTY, en
abrégé ). Nous ne ferons aucun commentaire là-dessus.
[NdT] accessoirement, 'putty' est aussi un nom commun, en anglais, qui signifie 'mastic'.
X.4 Comment faut-il prononcer le nom 'PuTTY' ?
Exactement comme le mot anglais 'putty', que nous prononçons / pȜti/.
[NdT] : en français, on prononce tout simplement 'pouti'.
112