From 4c643603186cb302c15194aa5f21dcb254517d0a Mon Sep 17 00:00:00 2001
From: Thomas Constans <thomas@opendoor.fr>
Date: Tue, 28 Jun 2022 11:45:34 +0200
Subject: [PATCH] enonce

---
 Readme.md | 46 ++++++++++++++++++++++++++++++++++++++++++++++
 1 file changed, 46 insertions(+)
 create mode 100644 Readme.md

diff --git a/Readme.md b/Readme.md
new file mode 100644
index 0000000..7cadce8
--- /dev/null
+++ b/Readme.md
@@ -0,0 +1,46 @@
+# TP SSH
+
+## Objectif
+
+Renforcer la sécurité des accès
+
+## Prérequis:
+
+Le compte formation doit avoir été créé (tp prise en main) et disposer d'un mot de passe
+
+
+## Authentification par clé
+
+On va faire en sorte que la connexion ssh en tant qu'utilisateur formation
+se fasse par clé publique et non pas par mot de passe.
+
+_sur votre machine_: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée.
+
+_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~formation/.ssh/authorized_keys*
+
+Il sera peut-être nécessaire de créer le répertoire ~formation/.ssh
+
+Attention au permissions: ce répertoire doit appartenir à formation et avoir les permissions 700 le fichier authorized_keys doit appartenir à formation et avoir les permissions 600
+
+### Validation:
+
+Garder votre connexion ssh active.
+
+Ouvrez une nouvelle connexion ssh: on doit vous demander la passphrase protégeant votre clé privée, si vous en avez définie une.
+
+Si on vous demande un mot de passe de connexion vous avez raté une étape.
+
+
+## Renforcer la sécurité de ssh
+
+Une fois que l'authentification par clé fonctionne, modifiez la configuration du serveur ssh ( fichier /etc/ssh/sshd_config, page de man sshd_config) pour:
+
+  * Directive PermitRootLogin: n'autoriser que les connexions en root sans mot de passe.
+  * Directives AllowGroups et AllowUser:  n'autoriser que les membres des groupes et root wheel à se connecter ET l'utilisateur root depuis l'adresse 100.0.0.1
+  * Directives PasswordAuthentication: interdir l'authentification par mot de passe
+
+### Validation:
+
+Vous devez toujours pouvoir vous connecter en tant qu'utilisateur formation
+
+La connexion en root doit être refusée
\ No newline at end of file