Title: Connexion SSH par clé subtitle: (Debian/Ubuntu) Date: 2012-08-15 10:20 Modified: 2012-08-15 19:30 Category: Système Tags: linux,ssh automatique,debian,ubuntu, sécurité keywords: linux,ssh automatique,debian,ubuntu, sécurité Slug: connexion-ssh-par-cle Authors: Victor Status: published
[TOC]
Si vous êtes comme moi et que vous faites des scripts sous linux, notamment de backup, vous avez sans doute le problème d'exécuter des commandes à distance automatiquement.
Pour cela, le ssh est l'idéal; sécurisé, crypté, facilement configurable et utilisable.
Cependant, l'un des gros problèmes d'un script automatique, c'est qu'un mot de passe, il a un peu de mal à le taper. Alors, on peut bidouiller me direz-vous :
echo "motdepasse" ssh root@serveurIP
Pourquoi pas. Mais bon, ça oblige à mettre le mot de passe en clair, ça ne marche pas toujours selon la configuration de votre serveur ssh, et la connexion en root, c'est mal.
C'est là qu'intervient un système sympa de ssh : la connexion par clé...
## Le principe : rapidementPour ceux qui ne sont pas trop au fait de quoi que c'est que ça, je vais rapidement rappeller le principe de se connecter à l'aide d'une clé.
En ssh, la connexion se fait en trois temps :
En fait, il y a l'identification du serveur (clé du serveur), puis notre identification (via le mot de passe)
Avec une connexion par clé, c'est quasi la même chose, sauf qu'on va nous aussi utiliser une clé pour s'identifier ! De cette façon, une fois la clé installée sur le serveur, elle ne sera plus demandée et il n'y aura plus besoin de mot de passe. (trop la classe)
Notez qu'on peut assortir la connexion par clé d'une phrase de sécurité, à rentrer lors de la connexion et qui sécurise encore le processus. Cependant, ce n'est pas intéressant pour une connexion auto donc on ne s'en servira pas ici
## Génération de la clé : les choses sérieuses commencentSur votre machine cliente, il va d'abord falloir générer la fameuse clé. Ou plutôt, le couple de clé, la clé publique et la clé privée. (Voir la cryptographie asymétrique)
Si ce n'est pas déjà fait, installez donc le client openssh :
$ sudo aptitude update && sudo aptitude install openssh-client
(Bien sûr, openssh serveur est installé sur votre machine distante)
Ensuite, générez la clé pour votre client :
$ ssh-keygen -t rsa -b 4096 Generating public/private rsa key pair.
Il vous faut ensuite répondre à plusieurs questions. La valeur par défaut est correcte, il suffit donc d'appuyer sur Entrée à chaque fois. Pour la passphrase, laissez vide pour qu'elle ne soit pas utilisée (c'est ce que l'on veut pour la connexion automatique)
Une fois la clé générée, un petit resumé est affiché :
Your identification has been saved in /home/utilisateur/.ssh/id_rsa. Your public key has been saved in /home/utilisateur/.ssh/id_rsa.pub. The key fingerprint is: XX:8a:XX:91:XX:ae:XX:23:XX:2e:XX:ed:XX:4e:XX:b8 utilisateur@machinecliente
Les deux clés (publique et privée) sont donc stockées directement dans votre dossier home, dans un dossier caché nommé .ssh/
## Envoi de la clé au serveur : tuyau cryptéLe moment délicat est arrivé. Il vous faut transmettre votre clé au serveur, de préférence via un moyen crypté. (Bah oui, envoyer la clé en clair via ftp par exemple vous expose à vous la faire piquer, et donc potentiellement pirater...)
Pour ça, le meilleur moyen reste encore ssh ! Il va vous falloir une dernière fois votre mot de passe pour vous connecter au serveur. Grâce aux outils ssh, il suffit de faire :
$ ssh-copy-id -i /home/login/.ssh/id_rsa.pub login@machineserveur Password :
Entrez votre mot de passe, et la clé sera directement copiée dans le dossier .ssh/authorized_keys de votre serveur. Ce dossier est dans le home de l'utilisateur du serveur (pas root hein ??)
Now try logging into the machine, with "ssh 'login@machineserveur'", and check in: .ssh/authorized_keys to make sure we haven't added extra keys that you weren't expecting.
Une fois celà fait, vous pouvez maintenant vous connecter à votre serveur sans avoir besoin d'aucun mot de passe.
Pour testez, faites donc un petit :
ssh login@machineserveur
La connexion doit s'effectuer sans mot de passe ! Vous pouvez maintenant utiliser à loisir ssh, scp, rsync, ... dans vos scripts !
## Problèmes éventuels : il peut arriver que...Jusqu'ici, je n'ai quasiment jamais rencontré de problèmes avec l'authentification par clé.
Cependant, si ça devait vous arriver, l'une des premières choses à vérifier est que les droits Unix sur le serveur sont corrects.
### ... Le serveur continue à me demander mon mot de passe !C'est balot. Logguez vous sur votre serveur avec le mot de passe, et vérifiez que :
$ ls -l /home drwxr-xr-x 5 login login 4096 3 jui. 2012 loginLes droits doivent être identiques à l'exemple, c'est à dire en 755. Pour eventuellement corriger ça, faites
$ chmod 755 /home/login
$ ls -l /home/login drwx------ 2 login login 4096 9 sept. 2011 .sshDe même que précedemment, si les droits ne sont pas corrects, faites
$ chmod 700 /home/login/.ssh
$ ls -l /home/login/.ssh/authorized_keys -rw------- 2 login login 4096 9 sept. 2011 authorized_keysSi ce n'est pas correct, un petit :
$ chmod 600 /home/login/.ssh/authorized_keysdevrait faire l'affaire
Il peut arriver que vous deviez utiliser la commande ssh-copy-id et que votre serveur utilise un port différent du port 22.
Dans ce cas, vous remarquerez que ssh-copy-id ne prend pas l'option "-p" habituellement utilisé avec ssh.
La solution est assez simple, il faut lui passer en tant qu'option ssh, de la manière suivante :
$ ssh-copy-id -i /home/login/.ssh/id_dsa.pub '-pPORT login@machineserveur'
En fait vous pouvez même passer toutes les options propres à ssh en mettant ça entre ''. (Par exemple l'algorithme de chiffrement, ...)
### Et si c'est pas ça ?C'est jusqu'ici les seuls problèmes que j'ai eu en utilisant correctement tous les outils ssh. Posez la question dans les commentaires :)