Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 26/03/2007, à 11:23

bris

[résolu] sécuriser ssh via clé publique...

Bonjour à tous,
Je souhaite sécuriser une connection ssh via clé publique :

1 - J'ai donc commencé par créer un "user1" sur mon client et un "user1" sur mon serveur (meme nom, c'est fait exprès, y a-t-il d'autres solutions?)
2 - sur le client, création du couple de clés : ssh-keygen -t rsa -b 1024 , je me retrouve donc avec deux clés : /home/user1/.ssh/id_rsa et /home/user1/.ssh/id_rsa.pub
3 - j'ai copié la clé publique sur le serveur "scp /home/user1/.ssh/id_rsa.pub user1@IP_SERVEUR:/home/user1/.ssh/
4 - sur le serveur, j'ai renomé la clé publique : mv /home/user1/.ssh/id_rsa.pub /home/user1/.ssh/authorized_keys.

Jusque là, tout fonctionne bien (ssh IP_du_serveur OK!)

maintenant j'ai besoin de conseils pour la sécurité, quels sont les bons droits à accorder à :

sur le client :
/home/user1/.ssh/
/home/user1/.ssh/id_rsa
/home/user1/.ssh/id_rsa.pub

sur le serveur :
/home/user1/.ssh/
/home/user1/.ssh/authorized_keys

Ensuite, sur un tutorial, pour préciser dans quel cas utiliser le clé privée sur le client, j'ai créé un fichier :
/home/user1/.ssh/config qui contient ces lignes :

Host IP_du_serveur
User user1
Compression yes
Protocol 2
RSAAuthentication yes
StrictHostKeyChecking no
ForwardAgent yes
ForwardX11 yes
IdentityFile /home/user1/.ssh/id_rsa

En gros çà devrait faire en sorte que la clé ne puisse etre utilisée que par "user1" et sur le serveur "IP_du_serveur"...
Le problème est que j'ai essayé (pour tester) divers IP pour le serveur et il semble qu'il n'y ait aucune conséquences sur la limitation d'utiliser la clé (ssh IP_du_serveur fonctionne dans tous les cas..)

Merci d'avance pour votre aide ;-)

Dernière modification par bris (Le 28/03/2007, à 09:14)

un vaut mieu que deux ! CQFD

Hors ligne

#2 Le 26/03/2007, à 12:14

Uggy

Re : [résolu] sécuriser ssh via clé publique...

bris a écrit :

quels sont les bons droits à accorder à :
sur le client :

chmod 0600 ~/.ssh/*


bris a écrit :

quels sont les bons droits à accorder à :
sur le serveur :

c'est la clé publique qui est sur le serveur, alors c'est pas grave si tout le monde y a accès...

bris a écrit :

Ensuite, sur un tutorial, pour préciser dans quel cas utiliser le clé privée sur le client, j'ai créé un fichier :
/home/user1/.ssh/config qui contient ces lignes :

Non.. Ca fait en sorte que la clé utilisée sera celle indiquée , (nulle part cela indique que seule cette clé ne peut etre utilisée)
(en fait c'est la clé publique sur le serveur, qui fait que seule la clé privée associée pourra etre utilisée)

Si les droits sont bons sur la clé privée, seul root et le user ont acces au fichier, et seul le user connait le pass de la clé privée. Donc seul user peut utiliser la clé pour se connecter sur le serveur.

Hors ligne

#3 Le 26/03/2007, à 16:42

bris

Re : [résolu] sécuriser ssh via clé publique...

OK merci Uggy pour les précisions ;-)
Il y a juste...

Non.. Ca fait en sorte que la clé utilisée sera celle indiquée , (nulle part cela indique que seule cette clé ne peut etre utilisée)
(en fait c'est la clé publique sur le serveur, qui fait que seule la clé privée associée pourra etre utilisée)

mais alors à quoi sert ce fichier "config" ?

A +

un vaut mieu que deux ! CQFD

Hors ligne

#4 Le 26/03/2007, à 16:59

Uggy

Re : [résolu] sécuriser ssh via clé publique...

bris a écrit :

mais alors à quoi sert ce fichier "config" ?

Imagine tu veux utiliser clé1 pour le serveur1 et clé2 pour server2

Hors ligne

#5 Le 26/03/2007, à 18:24

bris

Re : [résolu] sécuriser ssh via clé publique...

donc çà sert juste (et meme uniquement) si on a plusieurs clés, plusieurs connections vers différents serveurs ssh? c'est bien çà

un vaut mieu que deux ! CQFD

Hors ligne

#6 Le 26/03/2007, à 18:28

Uggy

Re : [résolu] sécuriser ssh via clé publique...

Oui enfin le fichier config ne sert pas que pour les clés non plus...

Hors ligne

#7 Le 27/03/2007, à 09:15

bris

Re : [résolu] sécuriser ssh via clé publique...

Bonjour Uggy,
...et donc on peut mettre un fichier config pour chaque user? ou mieu la question serait : le daemon sshd reconnait comme fichier de config tous les fichiers qui s'appèlent /home/user_alpha/.ssh/config?

un vaut mieu que deux ! CQFD

Hors ligne

#8 Le 27/03/2007, à 10:04

Uggy

Re : [résolu] sécuriser ssh via clé publique...

bris a écrit :

...et donc on peut mettre un fichier config pour chaque user?

oui

bris a écrit :

ou mieu la question serait : le daemon sshd reconnait comme fichier de config tous les fichiers qui s'appèlent /home/user_alpha/.ssh/config?

Le daemon sshd -> Non.
Le client ssh -> Oui

Je te suggère de lire le man qui répondra probablement a toutes tes questions

man ssh_config

Hors ligne

#9 Le 28/03/2007, à 09:14

bris

Re : [résolu] sécuriser ssh via clé publique...

bon OK, c'est compris wink

un vaut mieu que deux ! CQFD

Hors ligne

Pages : 1