mise au point enonce
This commit is contained in:
@@ -6,21 +6,21 @@ Renforcer la sécurité des accès
|
||||
|
||||
## Prérequis:
|
||||
|
||||
Le compte epsi doit avoir été créé (tp prise en main) et disposer d'un mot de passe
|
||||
Le compte formation doit avoir été créé (tp prise en main) et disposer d'un mot de passe
|
||||
|
||||
|
||||
## Authentification par clé
|
||||
|
||||
On va faire en sorte que la connexion ssh en tant qu'utilisateur epsi
|
||||
On va faire en sorte que la connexion ssh en tant qu'utilisateur formation
|
||||
se fasse par clé publique et non pas par mot de passe.
|
||||
|
||||
_sur votre machine_: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée.
|
||||
|
||||
_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~epsi/.ssh/authorized_keys*
|
||||
_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~formation/.ssh/authorized_keys*
|
||||
|
||||
Il sera peut-être nécessaire de créer le répertoire ~epsi/.ssh
|
||||
Il sera peut-être nécessaire de créer le répertoire ~formation/.ssh
|
||||
|
||||
Attention au permissions: ce répertoire doit appartenir à epsi et avoir les permissions 700 le fichier authorized_keys doit appartenir à epsi et avoir les permissions 600
|
||||
Attention au permissions: ce répertoire doit appartenir à formation et avoir les permissions 700 le fichier authorized_keys doit appartenir à formation et avoir les permissions 600
|
||||
|
||||
### Validation:
|
||||
|
||||
@@ -41,6 +41,6 @@ Une fois que l'authentification par clé fonctionne, modifiez la configuration d
|
||||
|
||||
### Validation:
|
||||
|
||||
Vous devez toujours pouvoir vous connecter en tant qu'utilisateur epsi
|
||||
Vous devez toujours pouvoir vous connecter en tant qu'utilisateur formation
|
||||
|
||||
La connexion en root doit être refusée
|
||||
12
eval.sh
12
eval.sh
@@ -1,12 +0,0 @@
|
||||
#! /bin/bash
|
||||
# this script is meant to be run by ansible
|
||||
|
||||
source functions.sh
|
||||
# check that alias has been tried
|
||||
addHeader
|
||||
fileMustContain ~epsi/.ssh/authorized_keys 'ssh-rsa'
|
||||
fileMustContain ~epsi/.ssh/authorized_keys 'tom@workine'
|
||||
fileMustContain /etc/ssh/sshd_config ' Allow(Groups|Users)'
|
||||
fileMustContain /etc/ssh/sshd_config "^PermitRootLogin no"
|
||||
fileMustContain /etc/ssh/sshd_config "^PasswordAuthentication no"
|
||||
|
||||
36
eval.yml
36
eval.yml
@@ -1,36 +0,0 @@
|
||||
---
|
||||
- hosts:
|
||||
- b2
|
||||
gather_facts: false
|
||||
vars:
|
||||
result_file: "tp_ssh.csv"
|
||||
|
||||
pre_tasks:
|
||||
- name: insert header
|
||||
lineinfile:
|
||||
path: "{{ result_file }}"
|
||||
line: "machine\tuser\tauth keys etu\tauth key tom\tallow groups/user\tpermit root login\tpassword auth"
|
||||
state: present
|
||||
create: true
|
||||
delegate_to: localhost
|
||||
|
||||
tasks:
|
||||
- name: copy script
|
||||
copy:
|
||||
src: "{{ item }}"
|
||||
dest: /root
|
||||
mode: 0700
|
||||
loop:
|
||||
- functions.sh
|
||||
- eval.sh
|
||||
|
||||
- name: exec script
|
||||
command: /root/eval.sh
|
||||
register: result
|
||||
|
||||
- name: get result
|
||||
lineinfile:
|
||||
path: "{{ result_file }}"
|
||||
line: "{{ result.stdout }}"
|
||||
create: true
|
||||
delegate_to: localhost
|
||||
Reference in New Issue
Block a user