How to generate a ssh key ? -
HTML-код
- Опубликовано: 6 фев 2025
- 📽️ Abonnez-vous : bit.ly/2UnOdgi
🖥️ Devenir membre VIP : bit.ly/3dItQU9
SSH est un outil indispensable pour administrer des serveurs. Il permet une connexions sécurisés aux serveurs à la différence de ses prédécesseurs (telnet...). Cette série de tutorials vise à apprendre à utiliser ssh avec des notions et des cas d'usages.
Tutorials #ssh fr : gitlab.com/xav...
Sommaire de plus de 1400 vidéos :
sur github : bit.ly/2P5x8Xj
sur gitlab : bit.ly/2BvYouO
➡️ ➡️ Vous voulez m'encourager likez la vidéo, commentez-là et abonnez-vous ! 😃 
Наука
Intéressant l explication entre useradd er adduser car cest tres confus quand on connaît pas la nuance :)... Et thanks pour les clauses from quon peu ajouter au fichier authorizedkeys... Heyyy bonne soirée
Merci ah oui effectivement c'est une différence sur la création de user
Ahahah sérieusement j'étais persuadé que ça dépendait de la distro 😝 (20 ans sous linux… on en apprend tous les jours). Bêtement je faisais alors un useradd -m … -s … Équivalent (quoique).
👍Merci aussi.
Merci pour ces vidéos pleines de savoir !
Cependant j'avais lu qu'un des avantages de ANSIBLE c'est qu'il n'avait pas besoin de faire quoi que soit sur les serveurs clients ?
Donc pour moi : 1/ Création d'un utilisateur, 2/ Création d'une clé et 3/ Connection et basta. Ce n'est pas le cas ?
Bonjour c'est pratiquement ça je t'invite à découvrir la playlist ansible 😉
Hello et merci pour ta vidéo. Petite contribution que j'apporterai en retour à ce qui est indiqué entre de mémoire environ 3 min et 3 min 30, et même si je n'utilise personnellement que de l'authentification par clef, effectuée depuis un bastion : ***non*** ce n'est pas "facile" de hacker un compte SSH parce qu'il utilise une authentification par mot de passe. Et ce n'est pas pour rien que ce système n'a pas disparu après autant d'années d'utilisation. Si le mot de passe est suffisamment solide (sans compter que généralement il y a des mesures de base de type blacklistage après un nombre d'essai infructueux), c'est même plus que fortement improbable.
De plus sur un parc de machine, la compromission d'un mot de passe n’entraînera la compromission que d'un seul host : la compromission d'une clef SSH peut entraîner la compromission immédiate de milliers de machines. En ce qui me concerne, lors de pen test de type "red team", c'est très souvent via une compromission d'éléments tels que bastion ou accès VPN que je compromettais des SI complets. Donc attention, l'authentification par clef c'est très bien, le risque de compromission est faible, mais par contre, en cas de compromission, le risque sur un SI est souvent beaucoup plus élevé que la compromission d'un login/pass, fussent-ils ceux du root.
Excellente continuation
Je penses que tu mélanges en peu les concepts, peu importe l’authentification, un compte compromis permet à l’attaquant d’avoir accès à toutes les machines une fois la méthode d’authentification compromise. Je veux dire, les machines sur lesquelles il y a le compte en question. Donc, non, tu n’a pas accès seulement sur une machine. Après l’impact sera différent s’il s’agit d’un compte de service car souvent ce genre de compte est créé pas mal sur la totalité des machines
@@TheJoBlackos Sur un parc standard, les mots de passes sont différents sur chaque host et générés de manière (pseudo) aléatoire : donc la compromission hypothétique d'un mot de passe que ce soit via bruteforce, vol, etc. ne compromettra que le compte correspondant. La compromission d'une clef entrainera quant à elle la compromission de l'ensemble des comptes / hosts utilisant la clef. En effet en général on ne génère pas une clef privée pour chaque connexion.
Merci
intéressante vidéo. j'ai une petite remarque.
Il n'est pas nécessaire de mettre l'option -i pour indiquer ou se trouve la clef ssh à utiliser si celle-ci se trouve dans le répertoire par défaut (.ssh) du répertoire home
Bonjour. Tout à fait, là je le fais dans le but d'apprendre aux gens quelques options utiles à connaitre. Merci ++
svp je ne parviens pas à rejoindre votre chaine pour devenir membre afin d'avoir accès à toutes les videos, le lien d'integration n'apparait plus, que faire?
Bonjour. Cette fonctionnalité youtube n'est pas présente dans tous les pays. Désolé
Salut Xav, très intéressante série, ça rafraichit les idées. Par contre, je ne comprends pas pourquoi on utilise la clé privée avec le -i lors des connexions. Cela me semble un peu contre-intuitif, non ?
Hello je vois pas trop pourquoi c'est pas contre intuitif dsl ? Dis moi en plus
@@xavki Merci de la réponse. Je me suis peut-être mal exprimé. Je veux dire que tu disais que la clé privée devait rester cachée et là, on lance une ligne de commande avec elle. Mais en fait, c'est surtout la ligne que je ne comprends pas (ssh -i /tmp/video_ssh xavki@172.17.0.2) et ce que tu dis à partir de 8'35. A quoi sert le clé privée ici ?
Alors en fait d'une part c'est un très mauvais exemple de l'avoir mis dans /tmp mais bon j'ai pas trop fait attention. La clef privée est nécessaire si tu te souviens la vidéo sur la présentation de ssh. On passe d'abord par un chiffrement asymétrique c'est la première étape et donc forcément par une clef privée. Le -i permet de spécifier où tu l'as de stocké par défaut dans ta HOME dans le répertoire .ssh . La je l'ai mis dans /tmp juste pour montrer que ça peut être ailleurs. Donc il n'y a pas de connections ssh sans clef privée celle que tu dois garder soigneusement. Elle va de paire avec la clef public que tu ajoutes sur les serveurs à joindre pour la connexion. Est-ce que tu vois le truc ?
@@xavki Oui Xav, je vois le truc. Lorsqu'on fait un ssh "normal", effectivement, il cherche un fichier de clé privée par défaut... Merci pour l'éclaircissement.
@@Jojo-nf1yk sinon c'est une très belle occasion de découvrir strace (d'ailleurs ya une playlist 😁)
c'est quoi le "personal access token" que donne githib ?
Bonjour, c'est un moyen d'éviter de taper et d'utiliser ton password.
@@xavki ok merci
Bonjour Xavki et merci pour tes vidéos très instructives.
J'ai une question concernant cette vidéo.
Une fois une paire de clef générée sur une machine A et la clef publique de celle-ci sur un serveur B, peut-on utiliser la clef privée (copiée de A vers une autre machine C) pour accéder à B à partir de C ? Ou une autre paire doit-elle générée à partir de la machine C à chaque fois ?
Bonjour Nicolas, la réponse est dans l'une des vidéos suivantes avec l'utilisation de l'agent. Il te faut embarquer avec toi ta clef privée pour accéder à une machine qui dispose de ta clef publique. ++
Re-bonjour @xavki
Et merci pour ta réponse. Je ne l'ai lue que récemment.
Il semblerait que je me sois mal exprimé dans ma première question.
Je ne souhaite pas faire de forwarding d'agent, ou de rebond de A -> C -> B. Je parlais plutôt du cas "physique" C -> B, cad celui où j'aurais copié sur une clef USB ma clé privée issue de A, puis inséré cette clef USB sur C afin de de me connecter sur B avec ssh -i /lien/vers/usb-de-C. Est-ce plus clair ?
Je me demandais si, à partir du moment où une clef privée se retrouvait sur un serveur C, quel que soit le moyen d'y parvenir, l'on pouvait se connecter sur un serveur B avec la clef publique correspondant déjà dessus.
@@nicolasbrosse1141 bonjour oui dans ce cas tu peux l'utiliser sans pb.
OK. Merci. Parce que j'avais déjà fait la manoeuvre décrite plus haut et je n'arrivais pas à me connecter. J'ai pensé que les clefs générées dépendaient aussi de la machine sur laquelle elles avaient été crées.
J'ai dû faire une erreur dans la copie à un moment ou à un autre, ou une mauvaise manip.
J'en profite pour te remercier à nouveau pour tes vidéos que j'apprécie bcp.
@@nicolasbrosse1141 merci avec plaisir
comment prendre la clé pour l'utilisé avec putty dans windows
Hello désolé je ne pratique pas windows et putty. La dernière fois que j'en ai utilisé un pour cela je suis passer par ssh -i mais je suis sûr que putty permet d'ajouter sa clef.
Un truc tout bête : comment ajouter intelligemment un nouvel utilisateur ? Niveau client, activation temporaire de "PasswordAuthentication" et "ChallengeResponseAuthentication" (par un admin) + envoi de la clef pub + désactivation (admin) ? Envoi de la clef pub à un admin qui l'ajoute à authorized_keys ? Comment tu fais ?
Bonne question. Perso hors de question de réactiver même ponctuellement le password. Ansible déploiement de la clef par un autre user ou comme tu le dis par un admin.
@@xavki Ah ouai tu vois je pensais ma question vraiment idiote… finalement…
Parce qu'en sécurité c'est toujours le maillon le plus faible qui doit avoir toute notre intention et là… parce qu'imaginons tu es sur Discord, tu demandes la clef public de ton pote. Sauf qu'un vilain en fufu MITM génère sa part à la vitesse de la lumière et post la sienne à la place… tu lui file les clefs de chez toi avec une impression de sécurité (ce qui est pire)
@@NRichard Alors il y a tout de même quelque précautions à prendre néanmoins https sur une dernière version tu ne peux pas faire du MITM facilement. Perso je passerais pas par discord c'est sur. Je passerais par un mail correct au niveau sécurité ou encore par le système de ticketing interne s'agissant de la clef puclique bien sûr
hello, j'ai vu quelqu'un faire un paramètre dans un script faire un truc du genre:
ssh xavki = ssh -i /tmp/video-ssh xavki@172.17.0.2
comme ça dans le terminal il écrivais seulement la commande ssh xavki
pour gagné du temps.
si vous savez où mettre se genre de parametre je suis prenneur
Juste une conf dans le /etc/hosts et à côté une modif du ssh config
@@xavki cool merci parceque avec aws c'est trop long a chaque fois...
@@fantomas7587 tu me fais penser qu'il faut que je montre un tricks pour les frimeurs. Comment ne plus taper ssh mais le nom du serveur tout en tabulant. Bon c'est un peu du fun mais bon c'est rigolo
@@xavki moi je serais prenneur d'une video avec plein de racourcis comme ça pour avoir du gain de temps sur son poste de travail.
@@xavki il y des raccourcis pour qui ça peut être évident, mais pour des débutants pationnés comme moi ce serais le top 😁
je n arrive pas a comprendre
😪
salut xavki trouve pas le script deploy.sh
Bonjour je te laisse regarder la vidéo 14 de ansible.