Si vous effectuez un travail à distance sur des serveurs (ou des conteneurs) Linux, vous le faites probablement via un shell sécurisé (SSH). Et même si le titre du logiciel contient « sécurisé », vous ne devez pas supposer qu’il est verrouillé par défaut. Bien sûr, il est bien plus sécurisé que, disons, le telnet à l’ancienne, mais de nos jours, vous devez toujours faire un effort supplémentaire pour garantir la sécurité de vos systèmes et de vos données.
Hors de la boîte, Enveloppe de protection fonctionne exactement comme vous pourriez l’attendre : avec un nom d’utilisateur et un mot de passe. Vous émettez donc la commande ssh [email protected] et vous serez invité à saisir le mot de passe de l’utilisateur ralph sur le serveur associé à example.com.
Il existe une meilleure façon de procéder, bien moins susceptible de conduire à des intrusions sur les serveurs. Cette méthode est l’authentification par clé SSH.
L’authentification par clé SSH fonctionne avec une paire de clés SSH générée sur votre ordinateur local. La paire de clés est composée d’une clé privée et d’une clé publique. La clé privée reste en sécurité sur votre ordinateur local et la clé publique est envoyée au serveur vers lequel vous souhaitez vous connecter à distance. Une fois la paire de clés en place, chaque fois que vous vous connectez à la machine, les clés effectuent une poignée de main pour vérifier qu’elles correspondent. Si ces clés correspondent, vous avez accès au serveur. Si les clés ne correspondent pas, vous n’avez pas de chance.
Cette configuration est beaucoup plus sécurisée que l’authentification traditionnelle par nom d’utilisateur/mot de passe et doit être utilisée pour chaque serveur Linux que vous utilisez.
Laissez-moi vous montrer comment faire de l’authentification par clé SSH une réalité.
De quoi as-tu besoin
Pour cette démonstration, vous aurez besoin d’au moins deux machines Linux : une locale et une distante. Puisque tout cela se fait via la ligne de commande, vous n’avez pas besoin de configurer un environnement de bureau. Bien entendu, vous aurez besoin de l’adresse IP ou du domaine du serveur distant et la machine locale doit pouvoir accéder à distance au serveur distant.
Créer une paire de clés SSH
La première chose à faire est de générer votre paire de clés SSH. Cela se fait sur votre client local. Connectez-vous à cette machine et créez la paire de clés avec la commande :
Il vous sera demandé où stocker la clé (l’emplacement par défaut est ~/.ssh) et sera ensuite invité à saisir et à vérifier un mot de passe pour la paire de clés. Assurez-vous d’utiliser un mot de passe fort/unique pour cela.
La commande ci-dessus générera deux fichiers : id_rsa (la clé privée) et id_rsa.pub (la clé publique).
Copiez votre clé sur la machine distante
L’étape suivante consiste à copier votre clé publique sur la machine distante. Heureusement, SSH dispose d’une fonctionnalité intégrée pour faciliter cette tâche. Pour copier la clé, exécutez simplement la commande suivante :
Où USER est votre nom d’utilisateur Linux et SERVER est l’adresse IP ou le domaine du serveur distant. Vous serez d’abord invité à saisir le mot de passe SSH de l’utilisateur distant. Une fois l’authentification réussie, la clé publique sera enregistrée dans le ~/.ssh répertoire sur le serveur distant.
Vous pouvez ensuite tester l’authentification par clé SSH en tentant de vous reconnecter à la machine distante, avec :
ssh UTILISATEUR@SERVEUR
Où USER est le nom d’utilisateur et SERVER est soit l’adresse IP, soit le domaine du serveur distant. Cette fois, vous serez invité à saisir le mot de passe de la clé SSH (et non votre mot de passe utilisateur).
Félicitations, l’authentification par clé SSH fonctionne désormais.
Cependant, nous pouvons renforcer encore davantage la sécurité.
Configurer le serveur SSH pour une sécurité renforcée
Avant de passer à l’étape suivante, assurez-vous de générer des paires de clés et de copier la clé publique sur le serveur sur tous les ordinateurs clients devant avoir accès au serveur distant. Si vous ne prenez pas soin de cette étape, vous constaterez que ces machines ne pourront pas se connecter (même avec des comptes d’utilisateurs valides). La seule façon de contourner ce problème serait de copier/coller manuellement le contenu de la clé publique SSH de la machine client vers le ~/.ssh/authorized_keys fichier sur le serveur.
Ce que nous allons faire maintenant, c’est nous assurer que l’authentification par clé publique est activée et que l’authentification par mot de passe est désactivée (tous deux sur le serveur distant).
Ouvrez le fichier de configuration du démon SSH (sur le serveur distant) pour le modifier avec la commande :
sudo nano /etc/ssh/sshd_config
Tout d’abord, recherchez la ligne :
#PubkeyAuthentification oui
Remplacez cette ligne par :
PubkeyAuthentification oui
Ensuite, recherchez la ligne :
#PasswordAuthentication oui
#PasswordAuthentication oui
Remplacez cette ligne par :
Mot de passeAuthentification non
Mot de passeAuthentification non
Enregistrez et fermez le fichier.
Redémarrez SSH avec la commande :
sudo systemctl redémarrer sshd
sudo systemctl redémarrer sshd
Avant de quitter la connexion actuelle, ouvrez une autre fenêtre de terminal (sur une machine sur laquelle vous avez copié la clé publique sur le serveur) et essayez de vous connecter via SSH. Si vous êtes autorisé à accéder, vous avez réussi à vous assurer que le seul moyen de vous connecter via SSH est l’authentification par clé.
À ce stade, toute personne tentant de se connecter à votre serveur Linux sans paire de clés correspondante sera refusée.
YOUTUBE.COM/THENEWSTACK
La technologie évolue vite, ne manquez aucun épisode. Abonnez-vous à notre chaîne YouTube pour diffuser tous nos podcasts, interviews, démos et bien plus encore.
S’ABONNER
Groupe créé avec Sketch.
Jack Wallen est ce qui arrive lorsqu’un esprit de la génération Xer se fusionne avec le snark d’aujourd’hui. Jack est un chercheur de vérité et un écrivain de mots avec un crayon mécanique quantique et un rythme disjoint de son et d’âme. Bien qu’il réside…
Lire la suite de Jack Wallen
2024-01-20 17:07:12
1705763416
#Connexions #sécurisées #serveur #Linux #distant #avec #lauthentification #par #clé #SSH
