SSH : La connexion par clé ! Démo et explications
HTML-код
- Опубликовано: 19 апр 2024
- Lien :
Chapitre 4 de "Installer et Configurer un serveur OpenSSH"
www.linuxtricks.fr/wiki/ssh-i...
00:00 Introduction
00:28 A propos de l'authentification par clé
01:49 Génération de la paire de clés
03:55 Emplacement et format des clés générées
05:05 Comment se connecter avec une clé sur un serveur ?
05:30 Envoyer la clé publique sur le serveur
06:54 Se connecter avec la clé privée
07:40 La clé publique sur le serveur
08:17 La clé publique par serveur par utilisateur
09:26 Interdire la connexion par mot de passe est possible
09:45 Cas de clé privée sans mot de passe
09:57 Modifier la passphrase de la clé privée
10:28 Connexion avec une clé sans passphrase et sécurité
11:35 Certains environnements de bureaux vont mémoriser les passphrases
13:57 Retirer une autorisation de connexion par clé sur un serveur
15:28 Outro
--------
Effectuer un don : www.linuxtricks.fr/pages/fair...
Infos utiles comme d'hab :
Quelle distribution j'utilise ?
Fedora Linux avec GNOME
Quel est mon navigateur Internet : Vivaldi
Où me retrouver ? Tout est dans le bandeau de la page d'accueil de la chaine
Mon site web : www.linuxtricks.fr
Ma config PC Fixe :
Carte mère X470 GAMING PRO
AMD Ryzen 5 2600X
16Gb RAM DDR4
AMD Radeon RX 560 (pilote libre amdgpu)
SSD 860 EVO 500GB + SSD 860 QVO 2To
Micro BIRD UM1
PC de TESTS :
Toshiba Satellite C660
Intel Core i3 2330M
6Gb RAM DDR3
NVidia GeForce 315M
SSD Kingston A400 120GB 
Наука
![Eminem - Houdini [Official Music Video]](http://i.ytimg.com/vi/22tVWwmTie8/mqdefault.jpg)
Très bonne vidéo !
Peut-être juste ajouter que l'on peut désactiver l'authentification par mot de passe sur le serveur pour ne pouvoir s'y connecter qu'avec les clés, ceci lorsque le besoin se présente bien sûr.
Oui c'est possible, c'est précisé dans le lien.
Je ne voulais pas rentrer dans le paramétrage d'OpenSSH comme je l'ai dit, sinon, ça ferait une vidéo très longue !
Bonjour, superbe vidéo.
Merci beaucoup 👍
Merci pour cette vidéo,qui comme d'habitude est super explicative.
Merci à toi 😊
Simple et efficace
Merci
Top comme d’hab, merci
Merci
Merci j'ai enfin compris
:)
Super !
Merci pour votre Travail.
Comme d'hab, c'est top.🙂👍
Merci à toi 👍
Cool 👍🏻 Merci 😊
:)
Super ta video Adrien
Merci
Toujours clair.
Merci !
Merci.
Avec plaisir
Se connecter en local dans un terminal en tant que root, puis à la machine distante par clef privée / publique semble être la meilleure politique. Cette manière de faire nous rappel que l'on va être aussi root sur le serveur distant, donc d'être prudent tout en nous évitant le fardeau d'un double login. Si non tout en restant en rsa, on a l'option suivante que je conseillerai " ssh-keygen -t rsa -b 16384 " histoire d'avoir une clef à 16384 bits qui soit extrêmement difficile à casser. C'est un peu plus gourmand en CPU lorsque la clefs est générée mais bon. Aborder le thème de ssh-agent & ssh-add, de scp ainsi que de la config d'un pare-feu tel ufw pour pouvoir accéder par ssh tout en sécurisant un minimum son ou ses serveur serait sympa aussi :)
J'étais resté sur 4096 maxi en RSA, depuis je n'utilise que ecdsa ou ed25
Je note pour les autres sujets
Merci pour ces précieuses explications. Dans les sujets proche il y a les know host . As tu fait un vidéo sur ce sujet ?
C'est noté pour un prochain sujet !
Merci pour cette bonne vidéo. J'ajoute une petite question : est-il recommandé de générer une nouvelle clé pour chaque déclaration de connexion à un nouveau serveur ?
Non, tu peux utiliser la même clé sans soucis.
Merci pour la vidéo en tout cas
J'ai bien sûr déjà utilisé SSH mais jamais avec une authentification par clé.
Super, j'espère que tu as appris 2-3 trucs !
@@AdrienLinuxtricks Oui complètement !
Merci pour la video !
Petite question: est-ce que le serveur destination a aussi besoin d'avoir une paire de clé à lui ou ce n'est pas nécessaire ?
Non, ce n'est pas nécessaire.
Il y a juste besoin de déposer TA clé publique, c'est tout :)
Ouais super, merci pour ce point précis. mais comment tu gère ca quand il y a plusieurs serveur (dont certains que tu ne gère pas forcément) ?
Tu copies ta clé publique sur tous les serveurs sur lesquels tu veux te connecter. Tout simplement. Dès lors que tu peux te connecter sur un serveur, tu peux y copier la clé
Merci. Si on voudrait interdire la connexion par mot de passe sur le serveur, peut-on le faire avant ou après avoir copié notre clef sur ce même serveur depuis un client?
Il faut le faire évidemment APRÈS avoir copié la clé !
Mais attention, si on n'a pas sa clé à proximité, le seul accès possible sur la machine sera un accès physique.
Attention donc si c'est un serveur dans le cloud !
C’est bien ce que je pensais, merci.
En entreprise on a aussi des accès console distant si besoin (DRAC chez Dell, ILO chez HP...). Ce qui est bien c'est que les clé on peut les copier coller facilement depuis la console
A titre pro, as tu regardé les logiciels de gestion de ces clés avec monitoring , ajout de serveurs, ajout de role, ajout d'admin. J'imagine quand on atteint plusieurs 100aines de serveur et le recrutement et licenciements de personnel IT la maintenance des clés peuvent tourner au cauchemar...
Non, je n'ai pas regardé de tel logiciels?
Je ne suis pas confronté à ce type d'infrastructure et d'organisation.
As-tu des produits (libres, propriétaires, gratuits ou non) en tête ?
@@AdrienLinuxtricks jamais regardé ça de près car j'en ai pas l'utilité non plus. Example: bastillion
Depuis 2/3 ans openssh sait gerer les clé fido/yubikey sshgen -K
Cest assez sympa si vous voulez une sécu au top puisque la clé privée ne touche jamais un ordinateur...
Mais il faut acheter un yubikey?
@@jullien191 oui ou toute clé fido2 - y en a des moins cher. Et mieux en prendre deux comme ça tu en garde une en backup si tu perd ta clé (faut enregistrer les deux )
Oui, je n'ai pas de tels dispositifs pour faire une vidéo, mais ça pourrait être sympa !
J’en ai deux que j’utilise un peu partout mais je ne savais pas qu’on pouvait faire ça.merci pour l’info demain je teste,bonne soirée à tous
Petite question : gnome-keyring est bien présent sur ma fed39 mais je ne trouve pas l’interface graphique que tu as montré. Tu fais comment stp ?
Il faut installer si besoin "seahorse"
@@AdrienLinuxtricks merci beaucoup ;-). Si on veut pas de gnome keyring on procede comment ? Suppression du paquet ou arrêt d’un service .qu’est ce qui te semble mieux ?
Tu peux configurer pour qu'il ne se lance pas pour ta session.
cp /etc/xdg/autostart/gnome-keyring-ssh.desktop ~/.config/autostart/gnome-keyring-ssh.desktop
Et tu ajoutes la ligne dans le ~/.config/autostart/gnome-keyring-ssh.desktop :
X-GNOME-Autostart-enabled=false
Ensuite déco reco et ça doit être bon
@@AdrienLinuxtricks Salut, merci pour ta réponse . Malheureusement ça ne fonctionne pas , à la ré-ouverture de session il me demande de choisir un nouveau mot de passe. J'ai l'impression que les mots de passe sont persistent dans gnome keyring pas uniquement pour la session en cours. En fait j'utilise un gestionnaire de mot de passe et je ne souhaite pas stocker de mots de passe ailleurs, c'est pour moi une faille de sécurité, je ne sais pas ce que tu en penses mais je n'ai pas besoin de stocker mes mots de passe ailleurs que dans mon coffre bitwarden. C'est pour cette raison que j'essaye de le stopper.
@@AdrienLinuxtricks J'ai tenté le supression du paquet gnome-keyring.x86_64 mais ca ne passe pas :Problème: L’opération résulterait en la suppression des packages protégés suivants : gnome-shell , j'ai cherché si il y avait un service lié , pas trouvé avec systemctl list-unit-files. Je cale 🙂
First 🤔:)
Je pense que j'étais le vrai first (2s après la sortie de la vidéo) Mais je n'ai pas voulu écrire first.
@@zertyuerty2615Il y en a qui sont en manque de reconnaissance par ici :)
@@Phil995511 xD