start:raspberry:ssh
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
start:raspberry:ssh [2020/04/26 19:46] – [Authentification SSH par clés] gerardadmin | start:raspberry:ssh [2023/01/27 16:08] (Version actuelle) – modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 74: | Ligne 74: | ||
======= | ======= | ||
+ | |||
+ | [[https:// | ||
Ligne 85: | Ligne 87: | ||
- Clés asymétriques : http:// | - Clés asymétriques : http:// | ||
- | I. Génération de la clé | + | |
+ | __I. Génération de la clé__ | ||
Étant donné qu'un client SSH peut être un client Linux ou un client Windows, nous allons voir comment générer cette paire de clés sous Linux en ligne de commande, et sous Windows via PuttyGen. | Étant donné qu'un client SSH peut être un client Linux ou un client Windows, nous allons voir comment générer cette paire de clés sous Linux en ligne de commande, et sous Windows via PuttyGen. | ||
Ligne 120: | Ligne 123: | ||
Pour rappel, nous nous situons toujours ici sur un Linux client, on remarque l' | Pour rappel, nous nous situons toujours ici sur un Linux client, on remarque l' | ||
+ | |||
+ | |||
+ | ======= Comment se connecter en SSH sans mot de passe? | ||
+ | |||
+ | https:// | ||
+ | |||
+ | Le grand classique du « comment faire communiquer 2 machines en SSH sans mot de passe »? Souvent on a besoin pour des scripts d’automatisation de s’affranchir de l’authentification par mot de passe entre 2 machines. | ||
+ | Le SSH permet d’assurer la l‘authentification, | ||
+ | |||
+ | ==== Comment SSH fait il?==== | ||
+ | |||
+ | Il s’appuie sur la cryptographie asymétrique. Un nom bien pompeux derrière lequel se cache un mécanisme simple et rudement efficace. | ||
+ | |||
+ | ==Le principe:== | ||
+ | |||
+ | On va reprendre le fameux exemple du « bob et alice ». | ||
+ | |||
+ | BOB souhaite parler à ALICE de manière confidentielle. Pour ce faire, ils disposent chacun de 2 clés: | ||
+ | |||
+ | *1 clé privée et 1 clé publique. | ||
+ | *ALICE envoie en clair sa clé publique à BOB . Au passage, comme son nom l’indique , n’importe qui peut avoir accès à la clé publique d’ALICE. N’importe qui souhaitant communiquer avec elle utilise la clé publique d’ALICE. | ||
+ | |||
+ | La clé publique d’ALICE ,c’est en quelque sorte comme un cadenas que BOB va apposer sur son message. | ||
+ | |||
+ | ==chiffrement asymetrique== | ||
+ | |||
+ | Ok , maintenant que Bob possède la clé publique d’ALICE, il va pouvoir lui écrire et chiffrer son message . (mettre son petit cadenas dessus : – ) | ||
+ | |||
+ | Seule, ALICE avec sa clé privée pourra déchiffrer le contenu du message de BOB. La clé privée est en quelque sorte la clé qui ouvre le cadenas posé par BOB. | ||
+ | |||
+ | Scenario inverse: | ||
+ | |||
+ | *Alice veut répondre à BOB. | ||
+ | |||
+ | *Alice => | ||
+ | *BOB=> | ||
+ | *ALICE chiffre son message avec la clé publique de BOB | ||
+ | *BOB recoit le message et le déchiffre avec sa clé privée. | ||
+ | |||
+ | Concrètement, | ||
+ | |||
+ | On veut que la machine A se connecte sur la machine B sans mot de passe. | ||
+ | |||
+ | __1/ Générer les clés publiques (sur la machine A)__ | ||
+ | |||
+ | |||
+ | **ssh-keygen -t rsa** | ||
+ | |||
+ | Répondre « oui » et « rien » aux questions qui vous seront posées. | ||
+ | |||
+ | 2 fichiers sont générés dans le répertoire « ~/.ssh » | ||
+ | |||
+ | *id_rsa => c’est la clé privée. A conserver précieusement à l’abri des indiscrets sur sa machine. | ||
+ | *id_rsa.pub => c’est la clé publique. Que l’on peut transmettre à tous ceux qui veulent communiquer avec moi. | ||
+ | |||
+ | __2/ Copier la clé publique de la machine A__ | ||
+ | |||
+ | **ssh-copy-id user@machineB** | ||
+ | |||
+ | Vous devriez voir ces messages: | ||
+ | |||
+ | / | ||
+ | |||
+ | / | ||
+ | |||
+ | / | ||
+ | |||
+ | Rentrer le mot de passe habituel pour accéder à B. | ||
+ | |||
+ | Cette commande a pour effet de copier le contenu de la clé publique de A dans le fichier « ~/ | ||
+ | |||
+ | __3/ Tester la connexion de A vers B__ | ||
+ | |||
+ | **ssh user@machineB** | ||
+ | |||
+ | et là magie magie, vous êtes directement connecté sur la machine B. | ||
+ | |||
+ | NOTA BENE: | ||
+ | |||
+ | Si c’est la toute première connexion de A vers B alors un message du type: | ||
+ | The authenticity of host ' | ||
+ | Répondre « yes » , l’empreinte la machine B sera copié dans le fichier « ~/ | ||
+ | |||
+ | __4/ pour les curieux__ | ||
+ | |||
+ | Sur la machine B: | ||
+ | |||
+ | **cat / | ||
+ | |||
+ | on retrouve la clé publique de la machine A: | ||
+ | |||
+ | ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQDIAePqXozbqzerGr3jCj7nF2Vd2Bqi7BbQJXw/ | ||
+ | |||
+ | Si on supprimait cette clé du fichier authorized_keys de la machine B, à la prochaine tentative de connexion de A vers B, un mot de passe serait demandé. | ||
+ | |||
+ | Remarque: | ||
+ | |||
+ | Pour être plus précis, le protocole SSH utilise le chiffrement asymétrique pour que client et serveur s’échange une clé de session.(je simplifie au max et ne parle pas de toutes les étapes pour ne pas embrouiller). Cette clé de session va permettre ensuite de chiffrer le reste des communications entre les 2 machines. | ||
+ | |||
+ | __5/ sécurité? | ||
+ | |||
+ | *ne pas créer de connexions ssh automatique sans mot de passe pour Root. | ||
+ | *Conserver sa clé privée comme la prunelle de ses yeux . Au besoin la sauvegarder dans un lieu sûr. | ||
+ | *Du coup ,mettre des droits restrictifs sur la clé privée id_rsa. ( par exemple : chmod 600 id_rsa) | ||
+ | |||
+ | |||
+ | ===== Lien Web ===== | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | [[start: | ||
+ |
/home/chanteri/www/fablab37110/data/pages/start/raspberry/ssh.txt · Dernière modification : 2023/01/27 16:08 de 127.0.0.1