Forum Astuces.divers [Terminal] Ne plus taper ses mots de passe avec ssh

Posté par Jar Jar Binks (site web personnel) le 09 juin 2001 à 16:01.

Étiquettes : aucune

juin

2001

Pour vous loguer facilement et en toute sécurité sur une machine distante, deux étapes suffisent :
- Sur votre machine, faites ssh-keygen. Si vous avez confiance dans la machine (et dans root), vous pouvez laisser la passphrase vide.
- Copiez le contenu du fichier ~/.ssh/identity.pub dans un fichier nommé ~/.ssh/authorized_keys sur la machine distante.
Si vous avez opté pour une passphrase, il vous faudra lancer ssh-agent à chaque login (je vous recommande la lecture de la page de man). Sinon, ssh machine_distante marchera sans demander de mot de passe, mais sans altérer la sécurité comme le fait le .rhosts.

# ssh-copy-id : un petit script pour copier facilement ses clefs

Posté par syntaxerror le 04 juillet 2002 à 18:26. Évalué à 1.

ssh-copy-id iouseure@machine_distante s'occupe de copier les clefs sur la machine distante.
On peut lui préciser les clefs à copier, mais par défaut le script prendra les clefs stockées par ssh-agent (ssh-add -L)
# Re: Ne plus taper ses mots de passe avec ssh

Posté par Netsabes le 20 octobre 2002 à 12:44. Évalué à 1.

Attention à ne pas trop utiliser ce genre de choses avec le cvs de daCode, particulièrement si vous vous appelez w**f.
# Re: Ne plus taper ses mots de passe avec ssh

Posté par Anonyme le 12 novembre 2002 à 13:44. Évalué à 1.

« Si vous avez confiance dans la machine (et dans root), vous pouvez laisser la passphrase vide. »

Ce qui semble parfaitement stupide : une machine crackée permetterait de cracker les autres dans la foulée.
- [^] # Re: Ne plus taper ses mots de passe avec ssh
  
  Posté par EppO (site web personnel) le 10 mars 2003 à 22:53. Évalué à 1.
  
  Mais bien sur, il faut interdire de se logguer en root en ssh avec: AllowRootLogin = false Sinon, c'est vrai que c'est une sacré faille de sécurité. On ne doit pas se logguer en ssh en root, c mal !! =)
  - [^] # Re: Ne plus taper ses mots de passe avec ssh
    
    Posté par drac le 12 mai 2003 à 11:49. Évalué à 1.
    
    On ne doit pas se logguer en root tout simplement.
    - [^] # Re: Ne plus taper ses mots de passe avec ssh
      
      Posté par Maillequeule le 27 janvier 2004 à 20:26. Évalué à 1.
      
      On ne doit pas se logguer tout simplement.
      
      M
      - [^] # Re: Ne plus taper ses mots de passe avec ssh
        
        Posté par yoconono le 29 janvier 2004 à 19:53. Évalué à 1.
        
        On ne doit pas tout simplement
        
        [^] # Re: Ne plus taper ses mots de passe avec ssh
        
        Posté par N-Mi le 02 mai 2004 à 14:06. Évalué à 1.
        
        On ne doit pas
# Pub : les pages man de ssh existent désormais en français

Posté par Laurent GAUTROT le 19 novembre 2002 à 08:52. Évalué à 1.

Voir http://www.delafond.org/traducmanfr/ Au 19-11-02, toute la partie relative au client est traduite. scanssh.1 scp.1 sftp.1 ssh.1 ssh-add.1 ssh-agent.1 ssh_config.5 ssh-copy-id.1 ssh-keygen.1 ssh-keyscan.1 x11-ssh-askpass.1 Pour la partie serveur, attendre un peu ... ;) ssh-keysign.8 est déjà traduit Restent sshd.8 et sshd_config.5 (ça arrive !)
# Re: Ne plus taper ses mots de passe avec ssh

Posté par Mathieu Pillard (site web personnel) le 09 décembre 2002 à 14:27. Évalué à 1.

et pour ceux qui trouvent ca trop difficile a gerer, keychain est votre ami.
http://www.gentoo.org/proj/en/keychain.xml(...)
# Re: Ne plus taper ses mots de passe avec ssh

Posté par Bertrand Delépine le 25 juillet 2003 à 15:45. Évalué à 1.

Venant de passer une journée à rendre compte de ça, je tiens à vous partager ma découverte :

Il faut que les fichiers authorized_keys* soient en rw pour le owner uniquement (600), sinon ça ne fonctionne pas, la clef n'est pas acceptée.

Voilà.
- [^] # Re: Ne plus taper ses mots de passe avec ssh
  
  Posté par Salagnac le 02 décembre 2003 à 08:57. Évalué à 1.
  authorized_keys* en go-rw : pas forcément ; pour ma part ça marche alors que:
```
-rw-r--r--    1 salagnac kronos        606 Dec  2 08:45 authorized_keys
```
  - [^] # Re: Ne plus taper ses mots de passe avec ssh
    
    Posté par Krunch (site web personnel) le 08 mai 2004 à 18:58. Évalué à 1.
    
    Ya une option dans le fichier de configuration global qui permet d'activer ou non le refus de connection si les fichiers de configuration utilisateur n'ont pas les bons droits je pense.
    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Quelques remarques....

Posté par Jérôme Pouiller (site web personnel) le 30 novembre 2004 à 21:05. Évalué à 1.
Quelques remarques sur l'utilisation de ssh:
- Toutes les clés devraient avoir une passphrase. Un vol de clés ssh est vité arrivé.
- En théorie, on ne devrait avoir qu'un seul ssh-agent ouvert à la fois. Ne lancer surtout pas votre agent dans le fichier de configuration de votre shell. Lancez le dans votre .xsession avec une commande du genre ssh-agent winmanager. Ainsi tous les nouveaux sous-processus (tous les shell donc) utiliseront le même agent ssh. Utilisez toujours l'option -A de ssh pour faire suivre (forwarder) votre agent (mettre un alias est une bonne idée). Ainsi, il n'y qu'un agent ssh lancé (sur la machine ou vous êtes physiquement connecté), mais il est utilisé sur toutes les machine distantes sur lesquelles vous êtes connecté.
- En respectant les règles ci-dessus, vous remarquerez que vous n'avez besoin de taper votre passphrase qu'une seule fois pour toute votre session (le matin en arrivant). Si ca n'est pas le cas, c'est qu'il y a un problème dans votre système (plusieurs ssh-agents lancés, ssh-agent pas forwardé).
- ssh-add permet d'enregistrer les identités locales sur votre agent. Une bonne idée est de lancer cette commande dès que vous vous connectez. Il existe des outils graphiques qui permettre d'avoir une fenêtre toute jolie pour ca. Ssh-askpass par exemple.
- Correctement utilisé, votre agent retient vos identités. Imaginons que vous vous connectez physiquement sur A. Pour vous connectez sur C, vous avez besoin d'une clé se trouvant sur B. Normallement, vous devriez vous connecter sur B, puis sur C à partir de B. Avec ssh-agent:
```
  A$ ssh B
  B$ ssh-add
  B$ exit
  A$ ssh C
  C$
```
  Votre agent a retenu l'identité que vous lui avez fournis lorsque vous étiez connecté sur B.
- ssh-add -x permet de bloquer votre ssh-agent (quand vous allez prendre un café)

# script pour décharger les clefs en fonction d'xscreensaver

Posté par nodens le 26 septembre 2005 à 10:04. Évalué à 1.

Ce petit script de rien du tout permet de vider l'agent de ses clef quand on verrouille la session via xscreensaver. Quand on déverrouille la session, il recharge les clefs et redemande la (les) phrase(s) de passe. A lancer dans le .xsession ou via le Desktop Manager, comme ssh-agent.

#!/usr/bin/perl
# unload identity when screen is locked

# put your favourite graphical ssh-askpass here, unless you use SSH_ASKPASS
# environment variable
my $ssh_askpass = "/usr/lib/openssh/gnome-ssh-askpass";

$ENV{SSH_ASKPASS} = "$ssh_askpass" unless ($ENV{SSH_ASKPASS});

my $locked;
open (IN, "xscreensaver-command -watch |");
while () {
    if (m/^LOCK/) {
            system("ssh-add -d") if (! $locked);
            $locked = 1;
    } elsif (m/^UNBLANK/) {
            system("ssh-add < /dev/null") if ($locked);
            $locked = 0;
    }
}

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.