Blog de Victor Héry - Comments: Connexion SSH par cléhttps://blog.victor-hery.com/2012/08/connexion-ssh-par-cle.html/2012-08-18T20:13:00+01:00Posted by: Victor2012-08-18T20:13:00+01:002012-08-18T20:13:00+01:00Victortag:blog.victor-hery.com,2012-08-18:/2012/08/connexion-ssh-par-cle.html//comment_1md<p>Iniative intéréssée je l'avoue, j'en avais marre de toujours chercher les commandes quand j'ai cette manip à faire, alors j'ai rédigé un tuto propre selon mes critères :)</p>
<p>Effectivement on peut rajouter les options dont tu parles. Cependant, ce n'est pas obligatoire pour l'accès par clé, donc je ne l'ai pas …</p><p>Iniative intéréssée je l'avoue, j'en avais marre de toujours chercher les commandes quand j'ai cette manip à faire, alors j'ai rédigé un tuto propre selon mes critères :)</p>
<p>Effectivement on peut rajouter les options dont tu parles. Cependant, ce n'est pas obligatoire pour l'accès par clé, donc je ne l'ai pas mis (l'article est déjà bien assez conséquent)
Je ferai peut être un article sur la sécurisation de ssh un de ces jours !</p>
<p>Du côté de ssh-copy-id, l'avantage pou moi est que cela rajoute directement à la fin du fichier authorized_keys du serveur la clé du client. En scp, il faut envoyer la clé, puis faire un cat à la main pour le recopier la clé à la fin du fichier. Moyennement pratique je trouve.
Le -i (man ssh-copy-id) permet de spécifier le fichier clé à envoyer (qui est déjà par défaut ~./ssh/id_dsa.pub). Il n'est donc pas forcément nécessaire de le mettre, mais ça ne mange pas de pain :)</p>
<p>Par contre avec ma commande, je n'ai chmodé que le fichier authorized_keys, pas le contenu de tout le dossier ssh/. Je l'ai fait parce que ce sont les droits par défaut du fichier sur mes serveurs, et que j'ai eu un souci de connexion un jour à cause de ça ("Uncorrect rights set on authorized_keys" dans les logs de mémoire)</p>Posted by: Thibaud2012-08-18T19:56:00+01:002012-08-18T19:56:00+01:00Thibaudtag:blog.victor-hery.com,2012-08-18:/2012/08/connexion-ssh-par-cle.html//comment_0md<p>Article intéressant. Je salue l'iniative cher binôme. :-)</p>
<p>Quelques petites remarques/questions :</p>
<p>Dans un souci de sécurité accrue, tu peux ajouter la ligne "PasswordAuthentication no" dans /etc/ssh/sshd_config pour n'autoriser que l'authentification par clefs asymétriques (tu peux en profiter aussi pour mettre "PermitRootLogin no").</p>
<p>Sinon, si tu te fais piquer …</p><p>Article intéressant. Je salue l'iniative cher binôme. :-)</p>
<p>Quelques petites remarques/questions :</p>
<p>Dans un souci de sécurité accrue, tu peux ajouter la ligne "PasswordAuthentication no" dans /etc/ssh/sshd_config pour n'autoriser que l'authentification par clefs asymétriques (tu peux en profiter aussi pour mettre "PermitRootLogin no").</p>
<p>Sinon, si tu te fais piquer ta clef publique lors du transfert vers ton serveur, ça n'est pas très grave puisqu'elle est… publique. ^^ Tu peux même utiliser la même sur plusieurs serveurs différents. Ce qui est important, c'est qu'elle ne soit pas été altérée lors du transfert.</p>
<p>Petite question, entre ssh-copy-id et un simple scp, il y a quoi comme différence? Le "-i" c'est pour rajouter à la suite du fichier?</p>
<p>Sinon pourquoi chmoder en 600 et pas en 644 le contenu de ton dossier .ssh (ce qui est le cas par défaut)? Je suis d'accord pour le faire sur id_rsa (ou id_dsa) qui est la clef privée mais sur le reste, je ne vois pas bien l'intérêt.</p>