Clés ssh : juste pour etre sur ....

usky · Le 03/01/2010, à 18:21

J'ai mis en place mes serveurs ssh, mais parfois j'ai de gros doutes sur leur config.
J'ai suivi la page de doc du site.

Ce post est donc juste pour me rassurer et résumer ce que j'ai fait. Car j'ai vu des tuto qui parlent de copier la clé privée du serveur, je trouve ca louche.

La clé publique privée est générée sur le poste client

La clé publique du client est envoyée sur le serveur, elle est stocké sur le serveur dans le fichier : authorized_keys

J'ai tout bon ?

freaxmind · Le 03/01/2010, à 18:25

Les termes publics et privés sont assez précis.

Quand tu génères une paire de clé sur un poste client, il faut que ta clé privée reste sur le client et que tu envois la clé publique au serveur en l'ajoutant dans le fichier authorized_keys.

Tu dois renouveler cela pour chaque client.

usky · Le 03/01/2010, à 19:23

Merci, c'est ce que j'ai fait.

Juste pour en finir avec ce sujet, la clé publique qui est dans authorized_keys sert en fait de mot de passe ?

nesthib · Le 03/01/2010, à 22:23

en gros c'est cela. Lorsque tu te connectes au serveur il créé un challenge avec ta clé publique (.ssh/authorized_keys) que seul toi peut résoudre avec ta clé privée.

En aucun cas ta clé privée ne doit quitter ta machine cliente

pour voir les étapes qui se passent lors d'une authentification tu peux ajouter l'option -v à ta commande ssh (-vv ou -vvv pour plus d'infos)

si tu es rassuré tu peux passer ton sujet en [résolu] en éditant ton 1er message

Tomzz · Le 03/01/2010, à 22:32

Bonsoir,
Tiens cette réflexion:

En aucun cas ta clé privée ne doit quitter ta machine cliente

Me fait me poser, à moi aussi , une question existentielle.
J'ai plusieurs PC que je suis le seul à utiliser et je connecte à plusieurs serveurs SSH avec.
Du coup, par facilité, j'ai copier la même clef privée sur tout mes clients.
Je me demande si ça a d'autres conséquences que de rendre impossible les révocations sélectives.

nesthib · Le 03/01/2010, à 22:53

non aucun problème de mettre ta clé sur des machines différentes du moment que tu garantis leur intégrité (plus tu as de postes avec ta clé privée plus tu as de risque de la perdre c'est tout).
Pour ce qui est de la révocation, il n'existe (à ma connaissance) pas de mécanisme de révocation à proprement parler, vu que tu ne diffuses pas ta clé publique comme tu le ferais pour GPG ou SSL. Si ta clé privée est corrompue, il te suffit de retirer ta clé publique du .ssh/authorized_keys de tes machines sur lesquelles tu te connectes.

Pour les structures de grande envergure (plusieurs dizaines/centaines de postes), je suppose qu'il est possible de mettre en place un mécanisme d'authentification complémentaire en cas de compromission de clé (LDAP par ex. mais je ne suis pas spécialiste)

Tomzz · Le 03/01/2010, à 23:02

Merci nesthib,
ce que j'entendais par révocations sélectives c'est que si j'ai une clef privée par PC client, je peux virer la clef publique d'un PC sur un serveur sans interdire l'accès aux autres clients.

Là, chez moi, si je vire la clef publique du .ssh/authorized_keys d'un serveur, plus aucun de mes clients ne pourra y accéder parce qu'ils ont tous la même clef privé.

nesthib · Le 03/01/2010, à 23:25

tout à fait d'accord

Tomzz · Le 03/01/2010, à 23:32

Oui, j'ai choisi la facilité par fainéantise, je vérifiait juste que je n'ai pas zapper un autre inconvénient.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 03/01/2010, à 18:21

Clés ssh : juste pour etre sur ....

#2 Le 03/01/2010, à 18:25

Re : Clés ssh : juste pour etre sur ....

#3 Le 03/01/2010, à 19:23

Re : Clés ssh : juste pour etre sur ....

#4 Le 03/01/2010, à 22:23

Re : Clés ssh : juste pour etre sur ....

#5 Le 03/01/2010, à 22:32

Re : Clés ssh : juste pour etre sur ....

#6 Le 03/01/2010, à 22:53

Re : Clés ssh : juste pour etre sur ....

#7 Le 03/01/2010, à 23:02

Re : Clés ssh : juste pour etre sur ....

#8 Le 03/01/2010, à 23:25

Re : Clés ssh : juste pour etre sur ....

#9 Le 03/01/2010, à 23:32

Re : Clés ssh : juste pour etre sur ....

Pied de page des forums