Kerhost
Installation
Interfaces
Modules de gestion
Divers
Kerhost
Installation
Interfaces
Modules de gestion
Divers
Un certains nombre de réglages sont définis pour l'accès SSH au serveur côté administrateur. Pour l'utilisateur, la gestion au serveur SSH ce fait ici :
MON ⇒ Ma boîte à outils ⇒ Accès SSH
Selon les réglages définis, l’utilisateur auras accès à différents blocs.
MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Liste de mes adresses IP autorisées à se connecter en SSH
Si le réglage ADMIN ⇒ Tableaux de bord ⇒ Réglages SSHS ⇒ Réglages de SSHD ⇒ Variables : ssh_block est activé, l'utilisateur devra déclarer une adresse IP pour pouvoir se connecter au serveur SSH de manière permanente ou pour une durée de temps limitée (sshd_block_time réglé à 120 minutes par défaut). Il peut alors accéder à la liste de ses adresses ip autorisées avec les options possibles :
MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Autoriser mon adresse IP à se connecter en SSH de manière temporaire
Permet tout simplement d'ajouter une adresse ip.
Noter que seul un administrateur peut définir une adresse ip a se connecter en SSH de manière permanente. Cette option est d’ailleurs conseillée uniquement pour les administrateurs.
MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Authentification par clé SSH obligatoire
Si le réglage ADMIN ⇒ Tableaux de bord ⇒ Réglages SSHS ⇒ Réglages de SSHD ⇒ Variables : sshd_auth_key est activé, l'utilisateur devras fournir en plus une clé publique pour se connecter. La procédure est décrite dans le bloc. Cette méthode complexifie la connexion au serveur SSH mais améliore considérablement la sécurité du serveur.
Procédure sous linux : à partir de son ordinateur perso, lancez un terminal et générer sa paire de clé SSH publique et privée avec la commande suivante :
ssh-keygen -b 4096 -N “votre_passphrase” -C “domaine_de_l_instance”
Voici le détail des options de cette commande :
Le processus de génération de la clé prend un certain temps, il faut être patient. Une fois fait, on retrouve à la racine de son dossier personnel de son ordinateur un répertoire .ssh contenant sa clé publique (id_rsa.pub) et sa clé privée (id_rsa). Il ne reste plus qu'a envoyer cette clé publique (et uniquement elle, surtout pas la clé privée) via ce formulaire.
Voila c'est fait, pour se connecter en ssh sur l'instance, il suffit juste dans un terminal de taper ssh login@domaine_de_l_instance
et on se retrouve automatiquement authentifié sans avoir à saisir ses identifiants.
Pour aller plus loin, on peut faire une copie de sa clé publique et clé privée dans un lieu sur (clé USB par exemple ou un coffre fort numérique) et qui permettra également d'être directement utilisées sur un autre ordinateur. Notez qu'il est très important de ne jamais donner sa clé privée à quiconque. Seul la clé publique peut être transmise à un tier. Et il est également possible si on utilise un passphrase pour sa clé privé de faire enregistrer celui-ci par son environnement de travail (trousseau de mot de passe propre à son environnement) afin de ne pas a voir à saisir celui-ci à chaque utilisation, c'est le trousseau une fois déverrouillé qui le fera à votre place.
Içi l'utilisateur peut voir toutes ses clés publiques autorisées à se connecter au serveur. Il peut également directement les supprimer :
MON ⇒ Ma boîte à outils ⇒ Accès SSH ⇒ Supprimer mes clés publique du serveur
Permet de supprimer toutes les clés publiques d'un utilisateur en cas de problème ou de compromission.
Si sshd_block_user activé et service terminal activé, l'utilisateur auras toujours la possibilité de se connecter via ce service.
Si l'utilisateur est administrateur et que sshd_block_user est activé, alors l'utilisateur aura l'option de connexion par clé publique.