From 61a36a11c03b269c06edf372197721bdfb590625 Mon Sep 17 00:00:00 2001 From: Thomas Constans Date: Tue, 28 Jun 2022 11:39:34 +0200 Subject: [PATCH] mise au point enonce --- tp_ssh.md => Readme.md | 12 ++++++------ eval.sh | 12 ------------ eval.yml | 36 ------------------------------------ 3 files changed, 6 insertions(+), 54 deletions(-) rename tp_ssh.md => Readme.md (75%) delete mode 100644 eval.sh delete mode 100644 eval.yml diff --git a/tp_ssh.md b/Readme.md similarity index 75% rename from tp_ssh.md rename to Readme.md index cce6311..7cadce8 100644 --- a/tp_ssh.md +++ b/Readme.md @@ -6,21 +6,21 @@ Renforcer la sécurité des accès ## Prérequis: -Le compte epsi doit avoir été créé (tp prise en main) et disposer d'un mot de passe +Le compte formation doit avoir été créé (tp prise en main) et disposer d'un mot de passe ## Authentification par clé -On va faire en sorte que la connexion ssh en tant qu'utilisateur epsi +On va faire en sorte que la connexion ssh en tant qu'utilisateur formation se fasse par clé publique et non pas par mot de passe. _sur votre machine_: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée. -_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~epsi/.ssh/authorized_keys* +_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~formation/.ssh/authorized_keys* -Il sera peut-être nécessaire de créer le répertoire ~epsi/.ssh +Il sera peut-être nécessaire de créer le répertoire ~formation/.ssh -Attention au permissions: ce répertoire doit appartenir à epsi et avoir les permissions 700 le fichier authorized_keys doit appartenir à epsi et avoir les permissions 600 +Attention au permissions: ce répertoire doit appartenir à formation et avoir les permissions 700 le fichier authorized_keys doit appartenir à formation et avoir les permissions 600 ### Validation: @@ -41,6 +41,6 @@ Une fois que l'authentification par clé fonctionne, modifiez la configuration d ### Validation: -Vous devez toujours pouvoir vous connecter en tant qu'utilisateur epsi +Vous devez toujours pouvoir vous connecter en tant qu'utilisateur formation La connexion en root doit être refusée \ No newline at end of file diff --git a/eval.sh b/eval.sh deleted file mode 100644 index 2645218..0000000 --- a/eval.sh +++ /dev/null @@ -1,12 +0,0 @@ -#! /bin/bash -# this script is meant to be run by ansible - -source functions.sh -# check that alias has been tried -addHeader -fileMustContain ~epsi/.ssh/authorized_keys 'ssh-rsa' -fileMustContain ~epsi/.ssh/authorized_keys 'tom@workine' -fileMustContain /etc/ssh/sshd_config ' Allow(Groups|Users)' -fileMustContain /etc/ssh/sshd_config "^PermitRootLogin no" -fileMustContain /etc/ssh/sshd_config "^PasswordAuthentication no" - diff --git a/eval.yml b/eval.yml deleted file mode 100644 index 9974bca..0000000 --- a/eval.yml +++ /dev/null @@ -1,36 +0,0 @@ ---- -- hosts: - - b2 - gather_facts: false - vars: - result_file: "tp_ssh.csv" - - pre_tasks: - - name: insert header - lineinfile: - path: "{{ result_file }}" - line: "machine\tuser\tauth keys etu\tauth key tom\tallow groups/user\tpermit root login\tpassword auth" - state: present - create: true - delegate_to: localhost - - tasks: - - name: copy script - copy: - src: "{{ item }}" - dest: /root - mode: 0700 - loop: - - functions.sh - - eval.sh - - - name: exec script - command: /root/eval.sh - register: result - - - name: get result - lineinfile: - path: "{{ result_file }}" - line: "{{ result.stdout }}" - create: true - delegate_to: localhost \ No newline at end of file