tom/tp_ssh
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

mise au point enonce

Browse Source
This commit is contained in:
Thomas Constans
2022-06-28 11:39:34 +02:00
parent 66c94e096b
commit 61a36a11c0
3 changed files with 6 additions and 54 deletions
Download Patch File Download Diff File Expand all files Collapse all files

12
tp_ssh.md → Readme.md
View File

@@ -6,21 +6,21 @@ Renforcer la sécurité des accès
## Prérequis: ## Prérequis:
Le compte epsi doit avoir été créé (tp prise en main) et disposer d'un mot de passe Le compte formation doit avoir été créé (tp prise en main) et disposer d'un mot de passe
## Authentification par clé ## Authentification par clé
On va faire en sorte que la connexion ssh en tant qu'utilisateur epsi On va faire en sorte que la connexion ssh en tant qu'utilisateur formation
se fasse par clé publique et non pas par mot de passe. se fasse par clé publique et non pas par mot de passe.
_sur votre machine_: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée. _sur votre machine_: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée.
_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~epsi/.ssh/authorized_keys* _sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~formation/.ssh/authorized_keys*
Il sera peut-être nécessaire de créer le répertoire ~epsi/.ssh Il sera peut-être nécessaire de créer le répertoire ~formation/.ssh
Attention au permissions: ce répertoire doit appartenir à epsi et avoir les permissions 700 le fichier authorized_keys doit appartenir à epsi et avoir les permissions 600 Attention au permissions: ce répertoire doit appartenir à formation et avoir les permissions 700 le fichier authorized_keys doit appartenir à formation et avoir les permissions 600
### Validation: ### Validation:
@@ -41,6 +41,6 @@ Une fois que l'authentification par clé fonctionne, modifiez la configuration d
### Validation: ### Validation:
Vous devez toujours pouvoir vous connecter en tant qu'utilisateur epsi Vous devez toujours pouvoir vous connecter en tant qu'utilisateur formation
La connexion en root doit être refusée La connexion en root doit être refusée

12
eval.sh
View File

@@ -1,12 +0,0 @@
#! /bin/bash
# this script is meant to be run by ansible
source functions.sh
# check that alias has been tried
addHeader
fileMustContain ~epsi/.ssh/authorized_keys 'ssh-rsa'
fileMustContain ~epsi/.ssh/authorized_keys 'tom@workine'
fileMustContain /etc/ssh/sshd_config ' Allow(Groups|Users)'
fileMustContain /etc/ssh/sshd_config "^PermitRootLogin no"
fileMustContain /etc/ssh/sshd_config "^PasswordAuthentication no"

36
eval.yml
View File

@@ -1,36 +0,0 @@
---
- hosts:
- b2
gather_facts: false
vars:
result_file: "tp_ssh.csv"
pre_tasks:
- name: insert header
lineinfile:
path: "{{ result_file }}"
line: "machine\tuser\tauth keys etu\tauth key tom\tallow groups/user\tpermit root login\tpassword auth"
state: present
create: true
delegate_to: localhost
tasks:
- name: copy script
copy:
src: "{{ item }}"
dest: /root
mode: 0700
loop:
- functions.sh
- eval.sh
- name: exec script
command: /root/eval.sh
register: result
- name: get result
lineinfile:
path: "{{ result_file }}"
line: "{{ result.stdout }}"
create: true
delegate_to: localhost