tom/tp_ssh
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
Files
sub3
tp_ssh/Readme.md
Thomas Constans c21c1589de version sub3
2025-10-22 17:20:54 +02:00

2.5 KiB
Raw Permalink Blame History

TP SSH

Objectif

Renforcer la sécurité des accès

Compte utilisateur dédié aux opération d'administration

Créer un compte utilisateur standard

  • login: sub3
  • répertoire personnel (doit exister) /home/sub3
  • mot de passe: de votre choix ( -1 point à chaque demande de réinitialisation)
  • membre du groupe sudo

Authentification par clé

On va faire en sorte que la connexion ssh en tant qu'utilisateur sub3 se fasse par clé publique et non pas par mot de passe.

sur votre machine: utiliser la commande ssh-keygen (ou le programme puttygen) si votre windows n'est pas équipé d'un client ssh natif pour générer une paire de clé publique / clé privée.

sur le container: il faut rajouter la clé publique (le contenu du fichier id_rsa.pub se trouvant sur votre machine) dans le fichier ~sub3/.ssh/authorized_keys

Il sera peut-être nécessaire de créer le répertoire ~sub3/.ssh

Attention au permissions: ce répertoire doit appartenir à sub3 et avoir les permissions 700 le fichier authorized_keys doit appartenir à sub3 et avoir les permissions 600

Validation:

Garder votre connexion ssh active.

Ouvrez une nouvelle connexion ssh: on doit vous demander la passphrase protégeant votre clé privée, si vous en avez définie une.

Si on vous demande un mot de passe de connexion vous avez raté une étape.

Renforcer la sécurité de ssh

Une fois que l'authentification par clé fonctionne, modifiez la configuration du serveur ssh ( fichier /etc/ssh/sshd_config, page de man sshd_config) pour:

  • Directive PermitRootLogin: n'autoriser que les connexions en root sans mot de passe.
  • Directives AllowGroups : n'autoriser que les membres des groupes root et sudo à se connecter
  • Directives PasswordAuthentication: interdir l'authentification par mot de passe

Validation:

Vous devez toujours pouvoir vous connecter en tant qu'utilisateur sub3

La connexion en root doit être refusée

Finalisation

Mettez au point au format md dans ~/sub3/ssh.md la procédure décrivant :

  • la création d'une paire de clés
  • les conséquences d'avoir une clé privée non protégée par une passphrase
  • les étapes à réaliser pour que l'utilisateur puisse se connecter avec cette paire de clés sur une machine distante.

La procédure distinguera clairement sur quelle machine (client ou distante) chaque opération doit être faite.

Elle précisera les points de vigilance à avoir pour éviter toute erreur (et les pistes pour diagnostiquer et corriger ces erreurs)

Reference in New Issue View Git Blame Copy Permalink