From c21c1589dee4b190a99b4a0b9a456f082d1a597c Mon Sep 17 00:00:00 2001 From: Thomas Constans Date: Wed, 22 Oct 2025 17:20:54 +0200 Subject: [PATCH] version sub3 --- Readme.md | 22 +++++++++++++--------- 1 file changed, 13 insertions(+), 9 deletions(-) diff --git a/Readme.md b/Readme.md index f246436..84a99af 100644 --- a/Readme.md +++ b/Readme.md @@ -4,23 +4,27 @@ Renforcer la sécurité des accès -## Prérequis: +## Compte utilisateur dédié aux opération d'administration -Le compte formation doit avoir été créé (tp prise en main) et disposer d'un mot de passe +Créer un compte utilisateur standard +- login: sub3 +- répertoire personnel (doit exister) /home/sub3 +- mot de passe: de votre choix ( -1 point à chaque demande de réinitialisation) +- membre du groupe _sudo_ ## Authentification par clé -On va faire en sorte que la connexion ssh en tant qu'utilisateur formation +On va faire en sorte que la connexion ssh en tant qu'utilisateur sub3 se fasse par clé publique et non pas par mot de passe. _sur votre machine_: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée. -_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~formation/.ssh/authorized_keys* +_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~sub3/.ssh/authorized_keys* -Il sera peut-être nécessaire de créer le répertoire ~formation/.ssh +Il sera peut-être nécessaire de créer le répertoire ~sub3/.ssh -Attention au permissions: ce répertoire doit appartenir à formation et avoir les permissions 700 le fichier authorized_keys doit appartenir à formation et avoir les permissions 600 +Attention au permissions: ce répertoire doit appartenir à sub3 et avoir les permissions 700 le fichier authorized_keys doit appartenir à sub3 et avoir les permissions 600 ### Validation: @@ -36,18 +40,18 @@ Si on vous demande un mot de passe de connexion vous avez raté une étape. Une fois que l'authentification par clé fonctionne, modifiez la configuration du serveur ssh ( fichier /etc/ssh/sshd_config, page de man sshd_config) pour: * Directive PermitRootLogin: n'autoriser que les connexions en root sans mot de passe. - * Directives AllowGroups et AllowUser: n'autoriser que les membres des groupes et root wheel à se connecter ET l'utilisateur root depuis l'adresse 100.0.0.1 + * Directives AllowGroups : n'autoriser que les membres des groupes root et sudo à se connecter * Directives PasswordAuthentication: interdir l'authentification par mot de passe ### Validation: -Vous devez toujours pouvoir vous connecter en tant qu'utilisateur formation +Vous devez toujours pouvoir vous connecter en tant qu'utilisateur sub3 La connexion en root doit être refusée ## Finalisation -Mettez au point au format md la procédure décrivant : +Mettez au point au format md dans ~/sub3/ssh.md la procédure décrivant : * la création d'une paire de clés * les conséquences d'avoir une clé privée non protégée par une passphrase * les étapes à réaliser pour que l'utilisateur puisse se connecter avec cette paire de clés sur une machine distante.