Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
fr:ssh [2018/10/07 14:19] – [Générer une clé] Tycho Brahe | fr:ssh [2023/08/14 11:31] (Version actuelle) – [Exemple de fichier sshd_config] zatalyz | ||
---|---|---|---|
Ligne 41: | Ligne 41: | ||
Si vous n' | Si vous n' | ||
- | Pour la " | + | Pour la " |
Ligne 50: | Ligne 50: | ||
L' | L' | ||
ssh-keygen -p -o -f chemin/ | ssh-keygen -p -o -f chemin/ | ||
- | === RSA ou ECDSA ? === | + | === RSA, ECDSA ou Ed25519 |
- | Il existe différents protocoles pour générer une clé, en suivant la syntaxe '' | + | Il existe différents protocoles pour générer une clé, en suivant la syntaxe '' |
- | * DSA n'est plus accepté partout, | + | * DSA n'est plus accepté partout |
- | * ECDSA est théoriquement accepté partout à présent et son empreinte est moins longue, donc plus rapide | + | * RSA est la référence par défaut, acceptée sur tous les serveurs. Cependant, afin de rester sûr il est nécessaire de générer des clés très grandes et sa conception fait que nous atteignons actuellement une limite de taille, [[https:// |
- | * Enfin, RSA est la référence, acceptée sur tous les serveurs. | + | * ECDSA est une variante de DSA qui, contrairement |
+ | * Ed25519, aussi appelé EDDSA, est, tout comme ECDSA, une variante de DSA utilisant | ||
- | Y' | + | Actuellement |
- | + | ||
- | (edit 07/2018) Actuellement | + | |
==== Le fichier / | ==== Le fichier / | ||
Ce fichier permet de personnaliser ses accès à ssh de façon extrêmement pratique. | Ce fichier permet de personnaliser ses accès à ssh de façon extrêmement pratique. | ||
Ligne 108: | Ligne 107: | ||
- | Imaginons qu'on ait généré deux clefs RSA comme indiqué au-dessus. Il suffit d' | + | Imaginons qu'on ait généré deux clefs RSA comme indiqué au-dessus. Il suffit d' |
- | * cle1 pour aller sur le serveur 1 | + | * clepriv1 |
- | * cle2 pour aller sur le serveur 2 | + | * clepriv2 |
<code txt config> | <code txt config> | ||
host serveur1 | host serveur1 | ||
HostName serveur1.fr | HostName serveur1.fr | ||
- | IdentityFile ~/.ssh/cle1 | + | IdentityFile ~/.ssh/clepriv1 |
User totor | User totor | ||
| | ||
host serveur2 | host serveur2 | ||
HostName 202.127.12.13 | HostName 202.127.12.13 | ||
- | IdentityFile ~/.ssh/cle2 | + | IdentityFile ~/.ssh/clepriv2 |
User roxxor | User roxxor | ||
</ | </ | ||
- | Ensuite quand on se connectera avec SSH, le système saura que pour aller sur serveur1.fr, | + | Ensuite quand on se connectera avec SSH, le système saura que pour aller sur serveur1.fr, |
===== Se connecter à un serveur avec sa clé ===== | ===== Se connecter à un serveur avec sa clé ===== | ||
Ligne 188: | Ligne 187: | ||
===== Configurer SSH sur ses serveurs ===== | ===== Configurer SSH sur ses serveurs ===== | ||
- | <WRAP center round todo 60%> | ||
- | En brouillon. | ||
- | </ | ||
- | |||
La connexion par mot de passe doit être désactivée partout. La seule façon de se connecter est d' | La connexion par mot de passe doit être désactivée partout. La seule façon de se connecter est d' | ||
Ligne 251: | Ligne 246: | ||
Cela garantit que le serveur vérifie les modes et droits des fichiers de l' | Cela garantit que le serveur vérifie les modes et droits des fichiers de l' | ||
- | UsePrivilegeSeparation sandbox # si dispo sinon | + | |
# UsePrivilegeSeparation yes | # UsePrivilegeSeparation yes | ||
- | La première option, si elle est supportée par votre version de SSH, permet de bien séparer les privilèges et est à privilégier. Si vous avez une version SSH un peu plus ancienne ou ≥7.5((Dans OpenSSH en version 3.2.2 '' | + | <del>La première option, si elle est supportée par votre version de SSH, permet de bien séparer les privilèges et est à privilégier. Si vous avez une version SSH un peu plus ancienne ou ≥7.5((Dans OpenSSH en version 3.2.2 '' |
+ | |||
+ | Cette option est dépréciée depuis la 7.5 car la séparation des privilèges est maintenant par défaut (et depuis un moment). Cette option n'a de sens que sur de très vieux serveurs, qui feraient mieux de ne pas être exposés à internet. | ||
AllowUsers Pseudo1 Moi Toiaussi | AllowUsers Pseudo1 Moi Toiaussi | ||
Ligne 268: | Ligne 265: | ||
Interdit purement et simplement à tous les utilisateurs de se connecter via ssh avec un mot de passe : il faut forcément une clé ssh enregistrée sur le serveur. | Interdit purement et simplement à tous les utilisateurs de se connecter via ssh avec un mot de passe : il faut forcément une clé ssh enregistrée sur le serveur. | ||
- | | + | |
- | Cela va avec le paramètre précédent et le complète. La meilleure explication (en anglais) est [[https:// | + | Cela va avec le paramètre précédent et le complète. La meilleure explication (en anglais) est [[https:// |
PermitEmptyPasswords no | PermitEmptyPasswords no | ||
Ligne 285: | Ligne 282: | ||
UsePAM yes | UsePAM yes | ||
- | En complément de '' | + | En complément de '' |
Ligne 334: | Ligne 331: | ||
PermitRootLogin no | PermitRootLogin no | ||
StrictModes yes | StrictModes yes | ||
- | UsePrivilegeSeparation sandbox # si dispo sinon | ||
- | # UsePrivilegeSeparation yes | ||
PasswordAuthentication no | PasswordAuthentication no | ||
- | ChallengeResponseAuthentication | + | KbdInteractiveAuthentication |
PubkeyAuthentication yes | PubkeyAuthentication yes | ||
UsePAM yes | UsePAM yes | ||
Ligne 370: | Ligne 365: | ||
* [[https:// | * [[https:// | ||
- | {{tag> | + | {{tag> |