« Trucs:Connection SSH sans mot de passe » : différence entre les versions
(conversion de la documentation originale de Léa par HTML::WikiConverter) |
m (restitution de la dernière modification de Spirt) |
||
(2 versions intermédiaires par 2 utilisateurs non affichées) | |||
Ligne 33 : | Ligne 33 : | ||
ne demandera pas de mot de passe. Mais ce ne sera pas pour autant trop "désécurisée", puisque pour se connecter sans mot de passe sur frodon il faudra réussir à se connecter avec mot de passe sur gandalf et réciproquement. | ne demandera pas de mot de passe. Mais ce ne sera pas pour autant trop "désécurisée", puisque pour se connecter sans mot de passe sur frodon il faudra réussir à se connecter avec mot de passe sur gandalf et réciproquement. | ||
<div class="note">Note (1) : Si vous voulez seulement vous connecter sur frodon sans mot de passe depuis gandalf, il n'est pas nécessaire générer la clé sur | <div class="note">Note (1) : Si vous voulez seulement vous connecter sur frodon sans mot de passe depuis gandalf, il n'est pas nécessaire générer la clé sur frodon.</div><div class="note">Note (2) : Si vous avez plusieurs "authorized_keys" il suffit de les concaténer.</div> | ||
=== solution avec ssh-agent === | === solution avec ssh-agent === |
Dernière version du 11 avril 2007 à 12:16
Vous allez me demander : "Une connection SSH (sécurisée) sans mot de passe (non sécurisé), à quoi cela peut-il servir ?".
Supposons que vous ayez 2 postes "sûrs" (c'est-à-dire dont vous n'avez pas spécialement peur qu'on puisse prendre le contrôle), si vous avez réussi a vous connecter sur le premier, c'est pénible de devoir taper un mot de passe pour faire un truc sur le second. Surtout que si quelqu'un vient de prendre possession de votre compte sur le premier poste, de toute façon, le second sera en sa possession dans pas longtemps.
solution avec une clef ssh sans mot de passe
Le but n'est pas de se passer de sécurité (au contraire). La solution du problème est la suivante. Nous avons deux postes : frodon.tux et gandalf.tux. Sur les deux postes sshd tourne et est correctement configuré. Sur chacun des postes on génére des clés :
(entrez une passe-phrase vide), et :
(entrez aussi une passe-phrase vide). Ensuite, il suffit de copier la clé publique d'un poste sur l'autre dans la liste des clés autorisées :
et :
(il peut falloir remplacer : authorized_keys2 par authorized_keys). Et voilà, à partir de maintenant, une connection :
ou
ne demandera pas de mot de passe. Mais ce ne sera pas pour autant trop "désécurisée", puisque pour se connecter sans mot de passe sur frodon il faudra réussir à se connecter avec mot de passe sur gandalf et réciproquement.
solution avec ssh-agent
Ajout de point bonnet chez 9online point fr Michel Bonnet
Personnellement, je trouve que c'est dangereux de laisser une clef privée sans mot de passe, car si quelqu'un arrive à accéder au répertoire où elle est stockée, il peut utiliser immédiatement la clé.
Il est donc préférable de passer par un agent d'authentification.
il faut générer les clés de façon identique (mais avec un mot de passe, ce qui permet de crypter la clé privée).
Pour les utiliser :
ssh-agent screen
(lancement de l'agent)ssh-add <ma liste de clés privée>
(il va demander le mot de passe pour chacune des clés s'il est différent, ou une seule fois, si c'est le même)
pour se connecter :
ssh bibi@gandalf
marchera automatiquement sans retaper le mot de passe, et ce tant que l'agent tourne.
Pour terminer,
la sécurité est un vaste sujet, qui au fond dépend de son appréciation du risque, ce qui est éminemment très personnel.