<\/span><\/h4>\n\n\n\nNous allons maintenant voir l’authentification par clef et non plus par mot de passe.<\/p>\n\n\n\n
Par d\u00e9faut l’authentification par clef est activ\u00e9e. Dans le fichier de configuration la cl\u00e9 est la suivante :<\/p>\n\n\n\n
#PubkeyAuthentication yes<\/code><\/pre>\n\n\n\nOpenssh va v\u00e9rifier la pr\u00e9sence ou non d’une clef autoris\u00e9e dans le r\u00e9pertoire ~\/.ssh\/authorized_keys<\/strong><\/p>\n\n\n\nIl faut donc connaitre sur le serveur l’emplacement HOME de l’utilisateur \u00ab\u00a0test\u00a0\u00bb :<\/p>\n\n\n\n
cat \/etc\/passwd | grep test\ntest:x:1000:0::\/home\/ubuntu:\/bin\/bash<\/code><\/pre>\n\n\n\nAinsi nous allons cr\u00e9er le r\u00e9pertoire .ssh ainsi que le fichier de cet utilisateur (test):<\/p>\n\n\n\n
mkdir \/home\/ubuntu\/.ssh\ntouch \/home\/ubuntu\/.ssh\/authorized_keys\nchmod 700 \/home\/ubuntu\/.ssh\nchmod 600 \/home\/ubuntu\/.ssh\/authorized_keys\nchown test:root \/home\/ubuntu\/.ssh\/authorized_keys\nchown test:root \/home\/ubuntu\/.ssh<\/code><\/pre>\n\n\n\nLe respect du positionnement de ces droits est impos\u00e9 par la directive \u00ab\u00a0StrictModes yes<\/strong>\u00a0\u00bb dans le fichier de configuration. Il n’est pas du tout conseiller de mettre cette directive \u00e0 no (sauf pour debugger par ex.)<\/p>\n\n\n\nIl faut maintenant copier la clef pulique sur le serveur. Nous allons la mettre dans le r\u00e9pertoire ~\/.ssh.<\/p>\n\n\n\n
Puis nous allons ajouter cette clef dans le fichier \u00ab\u00a0authorized_keys\u00a0\u00bb :<\/p>\n\n\n\n
cat id_rsa.pub >> authorized_keys\nrm id_rsa.pub<\/code><\/pre>\n\n\n\nAinsi une connexion ressemblera \u00e0 celle-ci :<\/p>\n\n\n\n
ssh test@127.0.0.1<\/strong>\nBienvenue sur le serveur via SSH.\nL'acc\u00e8s au serveur est r\u00e9serv\u00e9 aux ayants droits !\n\n----------------------------------------\n- Acc\u00e8s au serveur : soyez prudent !!!-\n----------------------------------------\nLast login: Sun Mar 14 11:05:34 2021 from 192.168.80.1\ntest@5c4aae25376b:~$ \n<\/code><\/pre>\n\n\n\nComme aucune passphrase n’a \u00e9t\u00e9 renseign\u00e9e dans la clef, pas d’identification suppl\u00e9mentaire a \u00e9t\u00e9 demand\u00e9e. N\u00e9anmoins il faut une passphrase pour plus de s\u00e9curit\u00e9 notemment en cas de vol de la clef priv\u00e9e…<\/p>\n\n\n\n
<\/span>II.2.3 Enlever le mode d’authentification par mot de passe<\/span><\/h4>\n\n\n\nMaintenant que nous avons vu l’authentification par clef, il est maintenant de s\u00e9curiser l’acc\u00e8s SSH en supprimant la possibilit\u00e9 de se connecter par mot de passe.<\/p>\n\n\n\n
Pour cela, dans le fichier de configuration \/etc\/ssh\/sshd_config, indiquer cette directive :<\/p>\n\n\n\n
# To disable tunneled clear text passwords, change to no here!\nPasswordAuthentication no<\/strong><\/span><\/code><\/pre>\n\n\n\nCe qui donne ce r\u00e9sultat si aucune clef est \u00e0 fourni :<\/p>\n\n\n\n
ssh test@127.0.0.1\nBienvenue sur le serveur via SSH.\nL'acc\u00e8s au serveur est r\u00e9serv\u00e9 aux ayants droits !\n\ntest@127.0.0.1: Permission denied (publickey).\n<\/code><\/pre>\n\n\n\n<\/span>II.2.4 N’authoriser que certains types de clefs<\/span><\/h4>\n\n\n\nNous allons voir comment n’accepter que certains types de clefs. <\/p>\n\n\n\n
A ce jour et par d\u00e9faut un serveur SSH accepte que ces types de clefs :<\/p>\n\n\n\n
ecdsa-sha2-nistp256-cert-v01@openssh.com,\n ecdsa-sha2-nistp384-cert-v01@openssh.com,\n ecdsa-sha2-nistp521-cert-v01@openssh.com,\n sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,\n ssh-ed25519-cert-v01@openssh.com,\n sk-ssh-ed25519-cert-v01@openssh.com,\n rsa-sha2-512-cert-v01@openssh.com,\n rsa-sha2-256-cert-v01@openssh.com,\n ssh-rsa-cert-v01@openssh.com,\n ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,\n sk-ecdsa-sha2-nistp256@openssh.com,\n ssh-ed25519,sk-ssh-ed25519@openssh.com,\n rsa-sha2-512,rsa-sha2-256,ssh-rsa<\/code><\/pre>\n\n\n\nNous allons voir comment r\u00e9duire l’utilisation de clef que de type \u00ab\u00a0ed25519\u00a0\u00bb par exemple.<\/p>\n\n\n\n
Pour cela il faut modifier le fichier \/etc\/ssh\/sshd_config et ajouter les directives suivantes :<\/p>\n\n\n\n
PubkeyAcceptedKeyTypes<\/strong> ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,sk-ssh-ed25519@openssh.com<\/code><\/pre>\n\n\n\nCe qui a pour effet imm\u00e9diat avec une clef RSA :<\/p>\n\n\n\n
ssh test@127.0.0.1\nBienvenue sur le serveur via SSH.\nL'acc\u00e8s au serveur est r\u00e9serv\u00e9 aux ayants droits !\n\ntest@127.0.0.1: Permission denied (publickey).<\/code><\/pre>\n\n\n\nCe qui se comprend dans les fichiers log par les lignes suivantes :<\/p>\n\n\n\n
Mar 14 11:46:06 5c4aae25376b sshd[467]: userauth_pubkey: key type ssh-rsa not in<\/span><\/strong> PubkeyAcceptedKeyTypes [preauth]\nMar 14 11:46:06 5c4aae25376b sshd[467]: Connection closed by authenticating user test 192.168.80.1 port 56042 [preauth]<\/code><\/pre>\n\n\n\nEn revanche avec une clef ed25519 :<\/p>\n\n\n\n
ssh test@127.0.0.1\nBienvenue sur le serveur via SSH.\nL'acc\u00e8s au serveur est r\u00e9serv\u00e9 aux ayants droits !\n\n----------------------------------------\n- Acc\u00e8s au serveur : soyez prudent !!!-\n----------------------------------------<\/code><\/pre>\n\n\n\nEt on analysant les log, on voit bien que c’est une clef ed25519 qui a \u00e9t\u00e9 utilis\u00e9e, bien que le client et sur le serveur la clef RSA soit aussi pr\u00e9sente pour l’utilisateur test.<\/p>\n","protected":false},"excerpt":{"rendered":"
Quelques notes sur l’installation d’un serveur OpenSSH et comment g\u00e9n\u00e9rer ses clefs… I G\u00e9n\u00e9ration de clefs et emplacement I.1 Introduction L’authentification par clef n\u00e9cessite d’avoir une clef priv\u00e9e et une clef publique. La clef priv\u00e9e est \u00e0 garder pr\u00e9cieusement. En<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2215","post","type-post","status-publish","format-standard","hentry","category-_systeme"],"_links":{"self":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts\/2215","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2215"}],"version-history":[{"count":41,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts\/2215\/revisions"}],"predecessor-version":[{"id":2284,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=\/wp\/v2\/posts\/2215\/revisions\/2284"}],"wp:attachment":[{"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2215"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2215"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogperso.union31.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2215"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}