23 sept. 2011

SSH - Clé publique/privée

1.    PRESENTATION

Face au problème d’hétérogénéité des mots de passe root, nous avons souhaité par soucis de rapidité dans nos tâche d’administration, mettre en place un système d’authentification par clé.
L'authentification par clé fonctionne grâce à 3 composants :
•    Une clé publique : elle sera exportée sur chaque hôte sur lequel on souhaite pouvoir se connecter.
•    Une clé privée : elle permet de prouver son identité aux serveurs.
•    Une passphrase : Permet de sécuriser la clé privée (notons la subtilité, passphrase et pas password ... donc « phrase de passe » et non pas « mot de passe »).
La sécurité est vraiment accrue car la passphrase seule ne sert à rien sans la clé privée, et vice-versa. Cependant, nous utiliserons une passphrase vide ce qui ne constitue pas un trou de sécurité. En effet, les clés en elle-même ont déjà un indice de sécurité plus important que l’authentification par mot de passe.


2.    SERVEUR
Les actions à mener sur le serveur ssh sont les suivantes :
Package à installer :
•    openssh-server
Configuration :
Vérifié la présence des valeurs suivantes dans le fichier /etc/ssh/sshd_config :
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
StrictModes yes
AuthorizedKeysFile      .ssh/authorized_keys
Vérifié les droits sur les répertoires :
700 sur /root/.ssh
644 sur /root/.ssh/authorized_keys

3.    CLIENT
Les actions à mener sur le client ssh sont les suivantes :
Si le jeu de clé n’est pas crée la commande ci-dessous permettra sa création. Sinon nous utiliserons le jeu de clé existant.
Pour savoir si un jeu de clé existe, il faut vérifier que les fichiers suivant sont présent:
/root/.ssh/id_rsa et /root/.ssh/id_rsa.pub
Ou
 /root/.ssh/id_dsa et /root/.ssh/id_dsa.pub
Pour crée la paire de clé :
ssh-keygen -b 2048 -t dsa
On copie ensuite la clé publique sur le serveur :
scp root@bruns:/root/.ssh/id_dsa.pub /root/.ssh/
cd /root/.ssh
cat id_dsa.pub >> authorized_keys
rm –rf id_dsa.pub

4.    CONNEXION PAR CLE
Pour ce connecté il suffit désormais de taper la commande suivante :
ssh root@serveur
ssh root@ip

Aucun commentaire:

Enregistrer un commentaire