Script de génération de clés SSH pour root

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Script de génération de clés SSH pour root

Messagepar Cool34000 » 01 Août 2008 19:13

Voila un petit script pour générer un jeu de clé SSH sécurisée... Sans se fatiguer :P

Code: Tout sélectionner
# wget "http://mirror.contribs.org/contribs/sgomez/scripts/ssh/SSH.sh"
# sh SSH.sh
Suivre les instructions à l'écran !

La clé du client vous sera envoyée par mail sur la boite de l'admin avec les instructions nécessaires.
La création d'une passphrase forte est recommandée... PuTTY en version complète est nécessaire pour transformer la clé au format PuTTY sous Windows...
Attention, l'authentification par mot de passe est désactivée une fois la clé générée ! (Réactivation par la page web au cas ou...)
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar Cool34000 » 03 Août 2008 09:14

Petite précision : comment retirer l'avertissement RkHunter si l'utilisateur ROOT peut se connecter à SSH...

Editer le fichier /etc/rkhunter.conf (pas de template pour rkhunter !)
Et passer la ligne
Code: Tout sélectionner
ALLOW_SSH_ROOT_USER=no
à
Code: Tout sélectionner
ALLOW_SSH_ROOT_USER=yes
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar dlalleme » 05 Août 2008 12:09

Salut Cool34000,

Je n'ai pas compris à quoi sert ce script :shock: .
J'avoue que je ne l'ai pas essayé :oops:

Cordialement

Denis
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois

Messagepar Nemric » 05 Août 2008 14:41

Salut,
dlalleme a écrit:Je n'ai pas compris à quoi sert ce script Shocked .
J'avoue que je ne l'ai pas essayé Embarassed


hé hé ...

Il s'agit d'un moyen de te connecté a ta SME, avec putty/ssh, grâce à des certificats plutôt que par simple mot de passe.
C'est très bien expliqué sur le site de GrandPa.

A+
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Messagepar dlalleme » 05 Août 2008 14:46

Hello,

C'est déjà ce que je fais si je ne m'abuse !!! :shock:
Puisque j'accepte le certificat par défaut fournit par la SME lors de son installation

Mais ma méthode est peut être pas la bonne


------------
Me serais-je fourvoyer dans des idées fausses ?

Cordialement

Denis
Cordialement
Denis

Une SME 7 toujours à jour mais dépassée !
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois

Messagepar Nemric » 05 Août 2008 15:23

Au temps pour moi, je n'ai peut être pas été assez précis ..

il ne s'agit pas vraiment d'un certificat (en même temps je ne suis pas une star de la certification) mais de clef, privée/publiques qui te permette d'être reconnu par le serveur comme étant bien toit même. :?

La diff ?
lorsque tu initie une connexion avec un serveur SSH, HTTPS, tu accepte ou non un certificat qui justifie l'identité du serveur grâce a une autorité de confiance (cacert.org ou versign par ex), ainsi tu choisi de faire ou non confiance au serveur ... ensuite, tu te connecte avec ton mot de passe qui circule crypté grace au chiffrement. Mais cette solution n'identifie que le serveur et l'accés se fait pas mot de passe.

Avec les paires de clef, il y a une clef (que j'appel peut être abusivement "certificat") qui t'identifie pour etablir la connexion, dans ce cas tu peut mettre "non" dans le "serveur manager"/"acces à distance"/"Autoriser l'authentification par SSH à l'aide de mots de passe standards" et l'authentification se fait de façon plus sécurisée.

++
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Messagepar dlalleme » 05 Août 2008 15:33

Merci pour la précision ...

Est-ce ce que utilise AFFA pour se connecter pour les sauvegardes ?

Cordialement

Denis
Cordialement
Denis

Une SME 7 toujours à jour mais dépassée !
Avatar de l’utilisateur
dlalleme
Vice-Amiral
Vice-Amiral
 
Messages: 521
Inscrit le: 02 Déc 2002 01:00
Localisation: Oise, bassin creillois

Messagepar Cool34000 » 05 Août 2008 20:01

Salut,

Ce script est basé sur cet article sur le Wiki de contribs.org
Vu qu'il s'exécute depuis SME, la logique veut que ca soit la méthode "OpenSSH" (d'ou la nécessité d'ailleurs de transformer la clé pour les utilisateurs de PuTTY/WinSCP sous Window$ !)


Pour AFFA, aucune idée car je ne l'utilise pas et je ne l'ai jamais testé...
Tu soulèves par contre un point interessant qui mérite précision : si un quelconque programme utilise le compte ROOT pour se connecter en SSH, il lui faudra la clé ! (et la passphrase s'il y en a une...)
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar Gaston » 05 Août 2008 21:31

Tu soulèves par contre un point interessant qui mérite précision : si un quelconque programme utilise le compte ROOT pour se connecter en SSH, il lui faudra la clé ! (et la passphrase s'il y en a une...)
oui et non,
tu peux créer autant de couples de clef que tu veux pour un user.
Il n'y a donc pas de nécessité de partage de la passphrase : tu spécifies à la connexion laquelle tu veux utiliser ;)
Concernant les usages en batch, il existe plusieurs solutions : la + simple un couple de clef "sans" pass phrase, à creuser aussi "pageant"

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité