Connexion SSH

Solution avec mot de passe

il vaudrait mieux toujours avoir un passphrase pour protéger ses clés, sinon un hacker qui entrerait dans ~/.ssh pourrait piquer les clés

pam-keyring

utiliser pam-keyring pour ne pas avoir à entrer la passphrase à chaque fois

apt-get install libpam-ssh libpam-keyring

http://ubuntu-tutorials.com/2007/07/12/automatically-unlocking-the-default-gnome-keyring-pam-keyring/

puis

http://b.twidi.com/index.php/2007/05/26/78-connexion-linux-ubuntu-avec-passphrase-ssh-pm-ssh

si on a déjà une clé ssh (voir ci-dessous) mais qu'elle n'est pas protégée par un passphrase, voici la procédure

http://sysadmin.gnome.org/users/security.html

You can also add a passphrase to an existing key without a passphrase by using ssh-keygen -p. However, only do it if you have just generated the key, or if you are absolutely sure the said key had been totally safe until then. If you cannot be completely sure, your key might have been compromised meanwhile, in which case setting a passphrase will not help, and it should be immediately replaced.

Solution sans mot de passe

pratique mais semble-t-il pas assez solide pour bon hacker

solution avec une clef ssh sans mot de passe

Le but n'est pas de se passer de sécurité (au contraire). 
La solution du problème est la suivante. 
Nous avons deux postes : frodon.tux et gandalf.tux. 
Sur les deux postes sshd tourne et est correctement configuré. 
Sur chacun des postes on génére des clés :
[fred@frodon ~]$ ssh-keygen -t rsa

(entrez une passe-phrase vide), et :
[bibi@gandalf ~]$ ssh-keygen -t rsa

(entrez aussi une passe-phrase vide). 
Ensuite, il suffit de copier la clé publique d'un poste sur l'autre dans la liste des clés autorisées :
[fred@frodon ~]$ scp ~fred/.ssh/id_rsa.pub bibi@gandalf.tux:~bibi/.ssh/authorized_keys2

et :
[bibi@gandalf ~]$ scp ~bibi/.ssh/id_rsa.pub fred@frodon.tux:~fred/.ssh/authorized_keys2

(il peut falloir remplacer : authorized_keys2 par authorized_keys). 
Et voilà, à partir de maintenant, une connection :
[bibi@gandalf ~]$ ssh fred@frodon

ou
[fred@frodon ~]$ ssh bibi@gandalf

ne demandera pas de mot de passe. 
Mais ce ne sera pas pour autant trop "désécurisée", puisque pour se connecter 
sans mot de passe sur frodon il faudra réussir à se connecter
 avec mot de passe sur gandalf et réciproquement.
source: http://lea-linux.org/cached/index/Trucs:Oldid=168.html
 cd ~
 mkdir .ssh
 chmod 700 ./
 chmod 600 authorized_keys

voir https://www.infomaniak.com/fr/support/faq/2054/se-connecter-a-votre-hebergement-a-laide-dune-cle-ssh

si on veut lancer des logiciels X sur le serveur, il faut:

sur ubuntu, utiliser l'option -X dans la commande ssh, ex:

#!/bin/bash
xhost +
gnome-terminal --tab-with-profile=fredox -x ssh -X fred@www.fredox.ch

ancienne solution

  • mentionner xhost+ avant la connection ssh
  • vérifier dans /etc/ssh/sshd_config qu'on a bien X11Forwarding yes
  • vérifier dans $HOMEDIR/.ssh/config qu'on a bien ForwardX11 yes

Pour forcer l'identification par clés

Si on veut interdire l'accès avec un mot de passe (forcer l'usage des clés):

man sshd_config

sudo vi /etc/ssh/sshd_config
PasswordAuthentication no
/etc/init.d/ssh restart

http://geekosphere.org/43/safer-ssh-passwordauthentication-no/

https://help.ubuntu.com/community/SSH/OpenSSH/Configuring http://www.cyberciti.biz/faq/force-ssh-client-to-use-given-private-key-identity-file/

  • info/connection_ssh_sans_mot_de_passe.txt
  • Dernière modification: 2018/07/18 09:45
  • par radeff