# TP SSH

## Objectif

Renforcer la sécurité des accès

## Prérequis:

Le compte epsi doit avoir été créé (tp prise en main) et disposer d'un mot de passe


## Authentification par clé

On va faire en sorte que la connexion ssh en tant qu'utilisateur epsi
se fasse par clé publique et non pas par mot de passe.

_sur votre machine_: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée.

_sur le container_: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur *votre* machine) dans le fichier *~epsi/.ssh/authorized_keys*

Il sera peut-être nécessaire de créer le répertoire ~epsi/.ssh

Attention au permissions: ce répertoire doit appartenir à epsi et avoir les permissions 700 le fichier authorized_keys doit appartenir à epsi et avoir les permissions 600

### Validation:

Garder votre connexion ssh active.

Ouvrez une nouvelle connexion ssh: on doit vous demander la passphrase protégeant votre clé privée, si vous en avez définie une.

Si on vous demande un mot de passe de connexion vous avez raté une étape.


## Renforcer la sécurité de ssh

Une fois que l'authentification par clé fonctionne, modifiez la configuration du serveur ssh ( fichier /etc/ssh/sshd_config, page de man sshd_config) pour:

  * interdir les connexions en root
  * n'autoriser que les membres du groupe wheel à se connecter
  * interdir l'authentification par mot de passe

### Validation:

Vous devez toujours pouvoir vous connecter en tant qu'utilisateur epsi

La connexion en root doit être refusée