KERHOST

Solution d'auto-hébergement simple est libre !

Outils pour utilisateurs

Outils du site

Piste: sshd_user

Panneau latéral

Kerhost

Installation

Interfaces

Modules de gestion

Divers

kerhost:sshd_user

Table des matières

ACCÈS SSH UTILISATEUR

Un certains nombre de réglages sont définis pour l'accès SSH au serveur côté administrateur. Pour l'utilisateur, la gestion au serveur SSH ce fait ici :
 MON ⇒ Ma boîte à outils ⇒ Accès SSH 
Selon les réglages définis, l’utilisateur auras accès à différents blocs. kerhost:mon:ssh_01.png

Liste de mes adresses IP autorisées à se connecter en SSH

 MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Liste de mes adresses IP autorisées à se connecter en SSH 
Si le réglage  ADMIN ⇒ Tableaux de bord ⇒ Réglages SSHS ⇒ Réglages de SSHD ⇒ Variables : ssh_block  est activé, l'utilisateur devra déclarer une adresse IP pour pouvoir se connecter au serveur SSH de manière permanente ou pour une durée de temps limitée (sshd_block_time réglé à 120 minutes par défaut). Il peut alors accéder à la liste de ses adresses ip autorisées avec les options possibles :

  • indique si l'accès est temporaire
  • indique si l'accès est permanent
  • permet de supprimer l'adresse ip

kerhost:mon:ssh_02.pngkerhost:admin:ssh_01.png

Autoriser mon adresse IP à se connecter en SSH de manière temporaire

 MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Autoriser mon adresse IP à se connecter en SSH de manière temporaire 
Permet tout simplement d'ajouter une adresse ip.

Noter que seul un administrateur peut définir une adresse ip a se connecter en SSH de manière permanente. Cette option est d’ailleurs conseillée uniquement pour les administrateurs.

kerhost:mon:ssh_03.pngkerhost:admin:ssh_02.png

Authentification par clé SSH obligatoire

 MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Authentification par clé SSH obligatoire 
Si le réglage  ADMIN ⇒ Tableaux de bord ⇒ Réglages SSHS ⇒ Réglages de SSHD ⇒ Variables : sshd_auth_key  est activé, l'utilisateur devras fournir en plus une clé publique pour se connecter. La procédure est décrite dans le bloc. Cette méthode complexifie la connexion au serveur SSH mais améliore considérablement la sécurité du serveur.

Procédure sous linux : à partir de son ordinateur perso, lancez un terminal et générer sa paire de clé SSH publique et privée avec la commande suivante :
ssh-keygen -b 4096 -N “votre_passphrase” -C “domaine_de_l_instance”
Voici le détail des options de cette commande :

  • -b 4096 détermine le niveau d'encodage de la clé. Içi, 4096 bit est recommandé
  • -N “votre_passphrase” permet de protéger sa clé privée. Il s'agit donc d'un mot de passe qui va protéger sa clé privée et qui sera demandé à chaque utilisation de celle-ci. On peut ne rien mettre (seulement -N ““) et dans ce cas la aucun passphrase ne sera demandé à chaque utilisation, mais cela rend vulnérable sa clé privé en cas de vol de cette dernière. Il est donc fortement conseillé de mettre un passphrase, et si possible le plus compliqué. Surtout ne pas utiliser son mot de passe utilisateur de l'instance !
  • -C “domaine_de_l_instance” est un commentaire que l'on peut ajouter afin de mieux identifier sa clé si on en en utilise plusieurs. Cette option n'est pas obligatoire

Le processus de génération de la clé prend un certain temps, il faut être patient. Une fois fait, on retrouve à la racine de son dossier personnel de son ordinateur un répertoire .ssh contenant sa clé publique (id_rsa.pub) et sa clé privée (id_rsa). Il ne reste plus qu'a envoyer cette clé publique (et uniquement elle, surtout pas la clé privée) via ce formulaire.

Voila c'est fait, pour se connecter en ssh sur l'instance, il suffit juste dans un terminal de taper ssh login@domaine_de_l_instance et on se retrouve automatiquement authentifié sans avoir à saisir ses identifiants.

Pour aller plus loin, on peut faire une copie de sa clé publique et clé privée dans un lieu sur (clé USB par exemple ou un coffre fort numérique) et qui permettra également d'être directement utilisées sur un autre ordinateur. Notez qu'il est très important de ne jamais donner sa clé privée à quiconque. Seul la clé publique peut être transmise à un tier. Et il est également possible si on utilise un passphrase pour sa clé privé de faire enregistrer celui-ci par son environnement de travail (trousseau de mot de passe propre à son environnement) afin de ne pas a voir à saisir celui-ci à chaque utilisation, c'est le trousseau une fois déverrouillé qui le fera à votre place.

kerhost:mon:ssh_04.png

Liste de toutes mes clés publiques

Içi l'utilisateur peut voir toutes ses clés publiques autorisées à se connecter au serveur. Il peut également directement les supprimer :

  • permet de supprimer la cé

kerhost:mon:ssh_05.png

Supprimer toutes clés publiques du serveur

 MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Supprimer mes clés publique du serveur 
Permet de supprimer toutes les clés publiques d'un utilisateur en cas de problème ou de compromission. kerhost:mon:ssh_06.pngkerhost:admin:ssh_04.png

Cas particuliers

Si sshd_block_user activé et service terminal activé, l'utilisateur auras toujours la possibilité de se connecter via ce service.
Si l'utilisateur est administrateur et que sshd_block_user est activé, alors l'utilisateur aura l'option de connexion par clé publique.

kerhost/sshd_user.txt · Dernière modification: 2022/03/18 10:18 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki