Script de génération de clés SSH pour root

[Cool34000]

Voila un petit script pour générer un jeu de clé SSH sécurisée... Sans se fatiguer

Code: Tout sélectionner

# wget "http://mirror.contribs.org/contribs/sgomez/scripts/ssh/SSH.sh"
# sh SSH.sh

Suivre les instructions à l'écran !

La clé du client vous sera envoyée par mail sur la boite de l'admin avec les instructions nécessaires.
La création d'une passphrase forte est recommandée... PuTTY en version complète est nécessaire pour transformer la clé au format PuTTY sous Windows...
Attention, l'authentification par mot de passe est désactivée une fois la clé générée ! (Réactivation par la page web au cas ou...)

[Cool34000]

Petite précision : comment retirer l'avertissement RkHunter si l'utilisateur ROOT peut se connecter à SSH...

Editer le fichier /etc/rkhunter.conf (pas de template pour rkhunter !)
Et passer la ligne

Code: Tout sélectionner

ALLOW_SSH_ROOT_USER=no

à

Code: Tout sélectionner

ALLOW_SSH_ROOT_USER=yes

[dlalleme]

Salut Cool34000,

Je n'ai pas compris à quoi sert ce script .
J'avoue que je ne l'ai pas essayé

Cordialement

Denis

[Nemric]

Salut,

Je n'ai pas compris à quoi sert ce script Shocked .
J'avoue que je ne l'ai pas essayé Embarassed

hé hé ...

Il s'agit d'un moyen de te connecté a ta SME, avec putty/ssh, grâce à des certificats plutôt que par simple mot de passe.
C'est très bien expliqué sur le site de GrandPa.

A+

[dlalleme]

Hello,

C'est déjà ce que je fais si je ne m'abuse !!!
Puisque j'accepte le certificat par défaut fournit par la SME lors de son installation

Mais ma méthode est peut être pas la bonne


------------
Me serais-je fourvoyer dans des idées fausses ?

Cordialement

Denis

[Nemric]

Au temps pour moi, je n'ai peut être pas été assez précis ..

il ne s'agit pas vraiment d'un certificat (en même temps je ne suis pas une star de la certification) mais de clef, privée/publiques qui te permette d'être reconnu par le serveur comme étant bien toit même.

La diff ?
lorsque tu initie une connexion avec un serveur SSH, HTTPS, tu accepte ou non un certificat qui justifie l'identité du serveur grâce a une autorité de confiance (cacert.org ou versign par ex), ainsi tu choisi de faire ou non confiance au serveur ... ensuite, tu te connecte avec ton mot de passe qui circule crypté grace au chiffrement. Mais cette solution n'identifie que le serveur et l'accés se fait pas mot de passe.

Avec les paires de clef, il y a une clef (que j'appel peut être abusivement "certificat") qui t'identifie pour etablir la connexion, dans ce cas tu peut mettre "non" dans le "serveur manager"/"acces à distance"/"Autoriser l'authentification par SSH à l'aide de mots de passe standards" et l'authentification se fait de façon plus sécurisée.

++

[dlalleme]

Merci pour la précision ...

Est-ce ce que utilise AFFA pour se connecter pour les sauvegardes ?

Cordialement

Denis

[Cool34000]

Salut,

Ce script est basé sur cet article sur le Wiki de contribs.org
Vu qu'il s'exécute depuis SME, la logique veut que ca soit la méthode "OpenSSH" (d'ou la nécessité d'ailleurs de transformer la clé pour les utilisateurs de PuTTY/WinSCP sous Window$ !)


Pour AFFA, aucune idée car je ne l'utilise pas et je ne l'ai jamais testé...
Tu soulèves par contre un point interessant qui mérite précision : si un quelconque programme utilise le compte ROOT pour se connecter en SSH, il lui faudra la clé ! (et la passphrase s'il y en a une...)

[Gaston]

Tu soulèves par contre un point interessant qui mérite précision : si un quelconque programme utilise le compte ROOT pour se connecter en SSH, il lui faudra la clé ! (et la passphrase s'il y en a une...)

oui et non,
tu peux créer autant de couples de clef que tu veux pour un user.
Il n'y a donc pas de nécessité de partage de la passphrase : tu spécifies à la connexion laquelle tu veux utiliser
Concernant les usages en batch, il existe plusieurs solutions : la + simple un couple de clef "sans" pass phrase, à creuser aussi "pageant"

G.